本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 FIPS 模式 AL2
<a name="fips-mode"></a>

本节介绍如何在上 AL2启用《联邦信息处理标准》(FIPS)。有关 FIPS 的更多信息，请参阅：
+ [美国联邦信息处理标准 (FIPS)](https://aws.amazon.com/compliance/fips/)
+ [合规性 FAQs：联邦信息处理标准](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)

**先决条件**
+ 可以访问互联网下载所需软件包的现有 AL2 Amazon EC2 实例。有关启动 AL2 Amazon EC2 实例的更多信息，请参阅[亚马逊 EC2 上的 AL2](ec2.md)。
+ 您必须使用 SSH 或连接到您的 Amazon EC2 实例AWS Systems Manager。

**重要**  
ED25519 FIPS 模式下不支持 SSH 用户密钥。如果您使用 ED25519 SSH 密钥对启动 Amazon EC2 实例，则必须使用其他算法（例如 RSA）生成新密钥，否则在启用 FIPS 模式后您可能会失去对实例的访问权限。有关更多信息，请参阅 *Amazon EC2 用户指南*中的[创建密钥对](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html)。

**启用 FIPS 模式**

1. 使用 SSH 或连接到您的 AL2 实例AWS Systems Manager。

1. 确保系统是最新版本。有关更多信息，请参阅 [程序包存储库](ec2.md#package-repository)。

1. 运行以下命令安装并启用该`dracut-fips`模块。

   ```
   sudo yum -y install dracut-fips
   sudo dracut -f
   ```

1. 使用以下命令在 Linux 内核命令行上启用 FIPS 模式。[这将为常见问题解答中列出的模块在系统范围内启用 FIPS 模式 AL2 ](https://aws.amazon.com/amazon-linux-2/faqs/) 

   ```
   sudo /sbin/grubby --update-kernel=ALL --args="fips=1"
   ```

1. 重启您的 AL2 实例。

   ```
   sudo reboot
   ```

1. 要验证是否已启用 FIPS 模式，请重新连接到实例并运行以下命令。

   ```
   sysctl crypto.fips_enabled
   ```

   您应看到以下输出：

   ```
   crypto.fips_enabled = 1
   ```

   您还可以通过运行以下命令来验证 OpenSSH 是否处于 FIPS 模式：

   ```
   ssh localhost 2>&1 | grep FIPS
   ```

   您应看到以下输出：

   ```
   FIPS mode initialized
   ```