API Guide
Table Of Contents
システムで FIPS が有効になっているかどうかを確認するには、次のコマンドを使用します。
OS10# show fips status
FIPS mode: Disabled
セキュア ブートの有効化と構成
OS10 セキュア ブートにより、OS10 イメージの信頼性と整合性を検証するためのメカニズムが提供されます。セキュア ブートで
は、起動プロセス中に悪意のあるコードが読み込まれて実行されないようにシステムを保護します。セキュア ブート機能を使用し
て、インストール中およびいつでもオン デマンドで OS10 イメージを検証します。
[セキュア ブートの有効化]
[論拠]:セキュア ブート機能を有効にすると、侵害されたカーネルとシステム バイナリーが起動操作中にロードされるのを防ぐ
ことができます。
[構成]:
OS10(config)# secure-boot enable
OS10(config)# exit
OS10# write memory
[スタートアップ構成ファイルの保護]
[論拠]:スタートアップ構成ファイルを保護することで、現在のスタートアップ設定ファイルの保護されたコピーを内部で保存で
きます。スイッチの起動中に、保護されているバージョンの起動構成がロードされます。スタートアップ構成ファイルを保護する
ことにより、システムの起動時に、侵害された構成ファイルがロードされないようにすることができます。
[構成]:
OS10(config)# secure-boot protect startup-config
OS10(config)# exit
OS10# write memory
[オン デマンドでの OS10 イメージ ファイルの検証]
[論拠]:OS10 イメージ ファイルの署名を検証して、OS10 イメージが侵害されていないことを確認します。
[構成]:
OS10# image verify image-filepath {sha256 signature signature-filepath | gpg signature
signature-filepath | pki signature signature-filepath public-key key-file}
[OS10 カーネル、システム バイナリー、およびスタートアップ構成ファイルの検証]
[論拠]:システム起動時に、OS10 カーネル バイナリー イメージ、システム バイナリー ファイル、およびスタートアップ構成フ
ァイルを検証します。スタートアップ時にこれらのファイルを検証することにより、システムが侵害されたファイルをロードしな
いようにします。
[構成]:
OS10# secure-boot verify {kernel | file-system-integrity | startup-config}
[OS10 アップグレード イメージ ファイルの検証]
[論拠]:OS10 アップグレードをインストールする前に、イメージ ファイルのデジタル署名を検証します。インストールする前に、
次のコマンドを使用して OS10 イメージを検証できます。
[構成]:
OS10# image secure-install image-filepath {sha256 signature signature-filepath | gpg
signature signature-filepath | pki signature signature-filepath public-key key-file}
OS10 セキュリティのベスト プラクティス 7