作者
伯纪 阿里云基础软件部操作系统安全工程师 从事Alibaba Cloud Linux 的等保加固、CIS加固以及机密计算等相关工作。
晓贾 阿里云基础软件部操作系统产品专家 从事Alibaba Cloud Linux 的产品化相关工作。
CIS全名Center for Internet Security 是一个美国的第三方安全组织 他们致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案(各种benchmarks)。当前各个公司发布的Linux操作系统大多都已经提供CIS benchmark 包括Alibaba Cloud Linux 2 CentOS、Ubuntu等 详情可以参见CIS网站。当前发布CIS benchmark已经成为很多阿里云客户对于OS安全的重要评判依据之一。
Alibaba Cloud Linux 2 (原Aliyun Linux 2) 不仅是阿里云官方操作系统镜像 也是ACK的首选默认系统镜像。Alibaba Cloud Linux 2在2019年8月16日正式通过了CIS组织的全部认证流程并发布对应的CIS Aliyun Linux 2 Benchmark version 1.0.0。
CIS Aliyun Linux 2 Benchmark version 1.0.0是最新的CIS Aliyun Linux 2 Benchmark。您可以对其进行下载 具体操作 请参见下载CIS Aliyun Linux 2 Benchmark version 1.0.0进行下载。它一共包含204项 按照每一项所处的安全level分为Level 1 168项 和Level 2 36项 。其中Level 1与Level 2的主要区别如下
此外CIS Aliyun Linux 2 Benchmark从计分(Scoring Information) 的维度分为了Scored和Not Scored两类 其中
综上 CIS Aliyun Linux 2一共204项 可以分为四类
因为Level 2可能会影响性能且Not Scored项不纳入计分 因此对节点的Alibaba Cloud Linux 2操作系统 ACK集群只针做Level 1 Sorced项的安全加固。
在创建ACK集群时 您可以选择启用CIS加固 这样集群在创建时会自动配置对应的CIS加固项 使得ACK集群所有节点的Alibaba Cloud Linux 2镜像满足CIS Aliyun Linux 2 Benchmark version 1.0.0中大部分Level 1 Scored项的加固要求。关于具体满足的加固项 请参见ACK CIS加固集群满足的CIS Level 1 Scored加固项清单。
图1. CIS加固配置图
经过对CIS Aliyun Linux 2 Benchmark version 1.0.0所有Level 1 Scored 共145项 进行分析和测试 我们对除下表所列的17项以外的128项(88%以上)进行了安全加固。
表1. ACK集群中未加固的CIS Level 1 Scored项清单
加固项未加固的原因1.1.2 Ensure /tmp is configured(Scored)涉及到分区的修改1.1.18 Ensure sticky bit is set on all world-writable directories (Scored)影响ACK管控逻辑1.7.1.1 Ensure message of the day is configured properly(Scored)需要删除Alibaba Cloud Linux 2系统MOTD中的使用指南的链接3.1.1 Ensure IP forwarding is disabled (Scored)对ACK的terway的组件有影响3.5.1.1 Ensure default deny firewall policy (Scored)需要用户设置自己的防火墙策略3.5.1.2 Ensure loopback traffic is configured (Scored)需要用户设置自己的loopback规则3.5.1.4 Ensure firewall rules exist for all open ports (Scored)需要用户对开放的端口设置防火墙策略3.5.2.1 Ensure IPv6 default deny firewall policy (Scored)需要用户设置自己的IPv6防火墙策略3.5.2.2 Ensure IPv6 loopback traffic is configured (Scored)需要用户设置自己的 IPv6 loopback规则4.2.1.4 Ensure rsyslog is configured to send logs to a remote log host (Scored)需要用户配置rsyslog来设置自己的远程log host4.2.3 Ensure permissions on all logfiles are configured (Scored)改动文件太多 存在潜在风险5.2.10 Ensure SSH root login is disabled (Scored)需要用户自行创建其它登录账号或者选择VNC等非ssh登录方式 然后才能禁用root登录5.2.18 Ensure SSH access is limited (Scored)需要用户配置允许登录的用户和组5.2.3 Ensure permissions on SSH private host key files are configured(Scored)扫描脚本有误 ssh_keys的Gid被硬编码未998 但实际系统不一定是998 可能是996等 5.3.2 Ensure lockout for failed password attempts is configured (Scored)benchmark给出的修复建议跟Alibaba Cloud Linux 2系统对应的配置文件差异较大 建议谨慎修改6.1.11 Ensure no unowned files or directories exist (Scored)影响ACK管控逻辑6.1.12 Ensure no ungrouped files or directories exist (Scored)影响ACK管控逻辑如果您需要修复ACK集群中这些没修复的CIS Level 1 Scored项 您可以参考CIS Aliyun Linux 2 Benchmark version 1.0.0手册 每一项都有以下内容 您可根据该项的Remediation部分进行修复 然后按照Audit检查您的修复是否生效。
如果您想验证ACK集群的CIS加固效果 可以使用CIS官网提供的CIS-CAT工具进行扫描验证。CIS-CAT是一个安全配置评估软件工具 即扫描工具 它能够详细地提供目标系统的评估结果。通过运行该工具 可以得到目标系统在指定CIS Benchmark profile的合规分数 同时还会针对不合规的配置给出修复步骤。
CIS-CAT 分为 Lite和Pro版 Lite提供功能有限 且仅支持的系统包括Windows 10, ?Ubuntu 18.04和Google Chrome等 因此不支持Alibaba Cloud Linux 2操作系统 因此无法扫描ACK集群的CIS加固效果。
CIS-CAT Pro具有v4和v3两个版本系列。以v4为例 本文将阐述如何使用CIS-CAT Pro进行扫描验证ACK集群的CIS加固效果。
yum -y install java-1.8.0-openjdk java-1.8.0-openjdk-devel cat /etc/profile.d/java8.sh EOF export JAVA_HOME $(dirname $(dirname $(readlink $(readlink $(which javac))))) export PATH $PATH:$JAVA_HOME/bin export CLASSPATH .:$JAVA_HOME/jre/lib:$JAVA_HOME/lib:$JAVA_HOME/lib/tools.jar source /etc/profile.d/java8.sh
unzip Assessor-CLI-v4.0.23.zip cd Assessor-CLI chmod x ./Assessor-CLI.sh ./Assessor-CLI.sh -b ./benchmarks/CIS_Aliyun_Linux_2_Benchmark_v1.0.0-xccdf.xml -p Level 1 -html
目前越来越多的企业开始全面拥抱云原生 并充分利用云原生基础设施。云原生技术已经无处不在, 作为云原生服务的提供者 阿里云将会持续、高速发展云原生技术。而安全是云原生不可或缺的重要组成部分 Alibaba Cloud Linux 2 作为阿里云官方操作系统镜像和ACK的首选默认镜像 提高Alibaba Cloud Linux 2的安全水位对于云原生非常重要。为此 阿里云众多专家投入CIS benckmarks的分析和研究 经过大量测试 制定了适合ACK集群的CIS Level 1 Scored加固项清单。ACK支持对基于Alibaba Cloud Linux 2操作系统的集群进行CIS加固具有以下意义
与普通的IDC机房或服务器厂商相比,阿里云提供的云服务器ECS具有高可用性、安全...
最近,在为 Coco 优化分层架构之时,我陷入了各种决策困难之中。所以我通过不断...
本文转载自公众号读芯术(ID:AI_Discovery) 如果你即将要面临大型科技公司的技术...
一、数据中台是真的热 在2018年之前可能只有一少部分人在谈中台,从2018年下半年...
一、背景 ? 我们大部分人的编程习惯都是线性编程,所谓线性编程就是一个请求涉及...
游戏市场的热度已经不言而喻,随着民众生活水平的提升,大家对于精神娱乐生活的...
为了使伸缩组自动加入的实例自动部署应用,您需要创建私有镜像,确保该镜像上有...
来源 | 阿里飞天CIO学堂微信公众号 金融数字化转型过程中,市场的细微变化,客户...
计算的下一步发展是什么,将如何影响组织的战略?专家预测了边缘计算在2021年的发...
开源 RPC 框架有哪些呢?一类是跟某种特定语言平台绑定的,另一类是与语言无关即...