RKE2 RPM仓库STIG合规性改造技术解析

背景概述

RKE2作为新一代Kubernetes发行版，其RPM软件仓库(rpm.rancher.io)在安全合规方面存在一个关键问题：缺少对repomd.xml元数据文件的数字签名验证。这不符合国际安全标准STIG(Security Technical Implementation Guide)中对软件仓库的基本要求。

问题本质

STIG标准要求软件仓库必须满足：

1. 所有仓库元数据文件(如repomd.xml)必须附带GPG签名
2. 客户端必须启用仓库级别的GPG验证(repo_gpgcheck=1)

原RKE2仓库存在两个缺陷：

• 缺少repomd.xml.asc签名文件
• 安装脚本默认设置repo_gpgcheck=0(禁用仓库验证)

技术解决方案

项目团队通过以下改造实现了STIG合规：

1. 仓库签名机制

• 为所有仓库元数据生成GPG签名文件
• 签名使用项目官方GPG密钥(公钥可通过指定URL获取)
• 同时支持x86_64和ARM架构
• 覆盖所有发行版(RHEL/CentOS 7/8/9)

2. 客户端验证配置

安装时自动生成.repo文件包含关键安全参数：

[rancher-rke2-common-stable]
gpgcheck=1       # 启用包级别验证
repo_gpgcheck=1  # 启用仓库元数据验证
gpgkey=https://rpm.rancher.io/public.key

验证过程

团队在多环境中进行了全面验证：

测试矩阵

架构	发行版	仓库渠道	结果
x86_64	RHEL 8	stable	通过
x86_64	RHEL 8	latest	通过
x86_64	RHEL 8	testing	通过
ARM64	RHEL 9	stable	通过
ARM64	RHEL 9	latest	通过

关键验证点

1. 成功安装各版本RKE2组件
2. 集群核心组件正常启动(etcd/kube-apiserver等)
3. 网络插件(Canel)和核心DNS服务正常运行
4. 通过dnf list验证可获取完整版本列表

技术实现细节

改造涉及两个核心组件：

1. rke2-selinux仓库

• 更新SELinux策略以支持新的安全验证流程
• 确保GPG验证不会与现有安全策略冲突

2. rke2-packaging仓库

• 重构RPM构建流程自动生成签名
• 为每个仓库渠道(stable/latest/testing)单独配置
• 支持多版本并行存在时的签名管理

用户影响与升级建议

现有用户需要注意：

1. 新安装：自动获得STIG合规配置
2. 已存在系统：建议更新.repo文件配置
3. 企业环境可能需要将GPG密钥加入本地信任链

对于安全敏感环境，建议：

• 定期验证仓库签名状态
• 监控GPG密钥更新情况
• 考虑设置本地镜像仓库时保持签名验证

总结

通过本次改造，RKE2的RPM仓库达到了企业级安全标准要求，为对合规性要求严格的场景提供了更好的支持。该改进不仅满足STIG要求，也提升了整个软件供应链的安全性，是RKE2向企业级生产环境迈进的重要一步。