ComplianceAsCode项目中RHEL 10启动容器与FIPS模式兼容性问题分析

在ComplianceAsCode项目的近期测试中，发现了一个关于RHEL 10启动容器与安全加固配置的兼容性问题。这个问题主要出现在使用STIG或ISM_O安全配置文件的场景下，导致容器无法正常启动。

问题现象

当尝试在RHEL 10系统上部署经过STIG或ISM_O安全配置文件加固的启动容器时，系统会在启动过程中失败。具体表现为系统在FIPS完整性检查阶段报错，提示无法找到内核文件的HMAC校验文件，最终导致系统拒绝继续启动。

通过虚拟机的控制台输出可以看到，系统在dracut阶段尝试进行FIPS完整性检查时失败，错误信息明确指出缺少/boot/.vmlinuz-6.12.0-48.el10.x86_64.hmac文件，这是FIPS模式下的关键校验文件。

问题根源

这个问题是由于RHEL 10中Anaconda安装程序的两个相关bug被修复后暴露出来的。这些修复使得系统现在严格执行FIPS模式下的完整性检查要求。在FIPS模式下，系统需要验证内核及其相关组件的完整性，这需要相应的HMAC校验文件存在。

在STIG和ISM_O安全配置文件中，通常会启用FIPS模式作为安全加固的一部分。然而，当前的容器部署流程似乎没有正确处理这些FIPS相关的校验文件，导致系统启动时无法完成必要的完整性验证。

技术背景

FIPS（Federal Information Processing Standards）是美国政府制定的一系列计算机安全标准。在RHEL系统中启用FIPS模式会带来以下变化：

1. 加密模块必须使用经过FIPS认证的实现
2. 系统组件需要进行完整性验证
3. 随机数生成必须符合FIPS标准
4. 内核和关键系统文件需要HMAC校验

在容器化部署场景下，这些要求带来了额外的复杂性，因为容器镜像需要包含所有必要的校验信息，而传统的容器部署流程可能没有考虑这些需求。

解决方案方向

要解决这个问题，需要考虑以下几个方面：

1. 容器镜像构建流程：确保在构建启动容器镜像时，包含所有必要的FIPS校验文件。

2. Anaconda集成：调整Anaconda安装程序对容器部署的支持，使其能够正确处理FIPS模式下的特殊要求。

3. 测试验证：更新测试用例，确保在FIPS模式下所有必需的校验机制都能正常工作。

4. 文档说明：为使用安全加固配置的用户提供明确的文档，说明在容器化部署时的特殊注意事项。

对用户的影响

这个问题主要影响以下用户场景：

1. 在RHEL 10上使用启动容器技术的用户
2. 需要符合STIG或ISM_O安全标准的部署环境
3. 启用了FIPS模式的安全敏感环境

对于这些用户，目前临时的解决方案可能是暂时禁用FIPS模式，但这会降低系统的安全合规性。长期解决方案需要等待相关修复的完成和测试验证。

总结

这个问题揭示了安全合规要求与新兴容器技术集成时的挑战。随着RHEL 10的演进和安全标准的更新，开发团队需要持续关注这类兼容性问题，确保安全加固措施能够无缝地应用于各种部署场景。对于企业用户来说，在规划安全合规的容器化部署时，需要特别注意这类底层兼容性问题，并在测试环境中充分验证部署方案。

未来，随着相关修复的完成和测试覆盖的完善，ComplianceAsCode项目将能够更好地支持在FIPS模式下部署安全加固的启动容器，为用户提供既安全又灵活的部署选项。