本文介绍Alibaba Cloud Linux等保2.0三级版镜像使用说明及如何配置等保合规的基线检查。
背景信息
阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,推出自研云原生操作系统Alibaba Cloud Linux等保2.0三级版镜像。您使用本镜像无需额外配置即可满足以下等保合规要求:
- 身份鉴别
- 访问控制
- 安全审计
- 入侵防范
- 恶意代码防范
您也可以对已创建的使用Alibaba Cloud Linux等保2.0三级版镜像的ECS实例,进行等保合规基线检查。具体操作,请参见Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置。
使用Alibaba Cloud Linux等保2.0三级版镜像
- 创建ECS实例。创建ECS实例的具体操作步骤,请参见使用向导创建实例。创建过程中需注意以下配置项:
- 在镜像区域选择
Alibaba Cloud Linux 2.1903 LTS 64位 等保2.0三级版镜像。
- 由于等保合规的要求,等保镜像不支持使用密钥对的方式远程连接ECS实例,只支持用户名密码的方式。因此登录凭证请选择自定义密码。
- 在镜像区域选择
- 远程连接ECS实例,并手动进行等级保护加固的配置。按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,同时也为了不影响用户正常登录和使用,部分配置需要用户手动执行命令进行配置。用户可以通过用户名密码方式远程连接ECS实例后,执行
/root/cybersecurity.sh脚本来实现等级保护的加固。- 远程连接ECS实例。具体操作,请参见使用用户名密码验证连接Linux实例。成功登录ECS实例后可以看到如下图所示的说明。
- 执行脚本,完成镜像加固。执行脚本后,需要根据系统提示依次创建普通用户、审计员和安全员账户三个用户。
- 执行脚本。
sh cybersecurity.sh - 输入普通用户
admin,并设置密码。 - 输入审计员用户
audit,并设置密码。 - 输入安全员用户
security,并设置密码。
脚本执行的内容示例如下图所示。
- 执行脚本。
- 远程连接ECS实例。
- 切换用户使用系统。等级保护加固的配置,限制了root用户直接登录。您需要使用已创建的普通用户、审计员或安全员账户登录系统,然后切换至root用户使用系统。本步骤使用普通用户作为示例,介绍如何登录系统并切换用户。切换操作的示例如下图所示。
Alibaba Cloud Linux等保2.0三级版镜像检查规则说明
Alibaba Cloud Linux等保2.0三级版镜像按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等级保护加固,满足对应的检查项。详细信息如下表所示。
| 检查项类型 | 检查项名称 | 检查内容 |
|---|---|---|
| 身份鉴别 | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 |
|
| 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。 |
|
|
| 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 | 检测是否配置登录失败锁定策略,是否设置空闲会话断开时间和启用登录时间过期后断开与客户端的连接设置。 | |
| 访问控制 | 应对登录的用户分配账户和权限。 |
|
| 应重命名或删除默认账户,修改默认账户的默认口令。 |
|
|
| 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。 | 检查重要文件,如访问控制配置文件和用户权限配置文件的权限,是否达到用户级别的粒度。 | |
| 应及时删除或停用多余的、过期的账户,避免共享账户的存在。 |
|
|
| 应授予管理用户所需的最小权限,实现管理用户的权限分离。 |
|
|
| 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。 |
|
|
| 安全审计 | 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 检查auditd文件大小、日志拆分配置或者备份至日志服务器。若自动修复失败,请先修复启用安全审计功能检查项。 |
| 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 满足启用安全审计功能检查项,即满足此项。 | |
| 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 |
|
|
| 应保护审计进程,避免受到未预期的中断。 | auditd是审计进程audit的守护进程,syslogd是日志进程syslog的守护进程,查看系统进程是否启动。 | |
| 入侵防范 | 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | 云安全中心的漏洞检测和修复功能可以满足。 |
| 应遵循最小安装的原则,仅安装需要的组件和应用程序。 | 应卸载NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。 | |
| 应关闭不需要的系统服务、默认共享和高危端口。 |
|
|
| 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | 云安全中心有入侵检测和告警功能。如有其他方式,可自行举证并忽略此项。 | |
| 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 |
/etc/hosts.allow规则。若是已通过其他方式实现如网络安全组、防火墙等,可自行举证并忽略此项。
|
|
| 恶意代码防范 | 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 | 检测是否安装使用云安全中心,如安装了其他防恶意代码软件,可自行举证并忽略此项。 |
Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置
阿里云已为Alibaba Cloud Linux等保2.0三级版镜像提供了等保合规的基线检查标准和扫描程序,下文将说明如何配置等保合规的基线检查策略。
- 在实例详情页签,单击右侧的安全防护状态。
- 在云安全中心管理控制台,配置并执行等保合规的基线检查策略。
- 在基线检查策略区域,单击默认策略,然后单击+添加策略。
- 在基线检查策略面板,完成配置,并单击确定。配置说明如下:
- 策略名称:输入用于识别该策略的名称。例如:
Alibaba Cloud Linux 2等保合规检查。 - 检测周期:选择检测周期(每隔1天、3天、7天、30天检测一次)和检测触发时间(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
- 基线名称:在搜索框输入等保合规进行搜索,在搜索结果中选中等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查。
- 生效服务器:选择需要应用该策略的分组资产。新购买的服务器默认归属在所有分组的未分组中,如需对新购资产自动应用该策略,请选择未分组。
- 策略名称:输入用于识别该策略的名称。例如:
- 单击立即检查。
您可以单击进度详情查看。当显示如下信息时,表示检查完毕。
- 在基线检查策略区域,单击默认策略,然后单击+添加策略。
- 检查完毕后,在基线检查页面的列表中,单击基线名称。
