本文介绍ACK基于Alibaba Cloud Linux 2实现等保2.0三级版以及如何配置等保合规的基线检查。

背景信息

阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,ACK基于云原生操作系统Alibaba Cloud Linux实现等保2.0三级版。您可以使用ACK的等保加固配置满足以下等保合规要求:
  • 身份鉴别
  • 访问控制
  • 安全审计
  • 入侵防范
  • 恶意代码防范

ACK使用Alibaba Cloud Linux等保2.0三级版

在创建ACK集群时,您可以选择配置启用等保加固,这样集群在创建时会自动配置对应的等保加固项,使其满足国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统的等级保护要求。
图 1. 等保加固配置图
OS
注意
  • 为了满足等保2.0三级版的标准要求,ACK会在等保加固的Alibaba Cloud Linux 2操作系统中默认创建ack_admin、ack_audit、ack_security三个普通用户。
  • 为了满足等保2.0三级版的标准要求,等保加固的Alibaba Cloud Linux 2禁止使用Root用户通过SSH登录。您可通过ECS控制台使用VNC方式,登录系统创建可使用SSH的普通用户。具体操作,请参见通过VNC远程连接登录Linux实例

Alibaba Cloud Linux等保2.0三级版镜像检查规则说明

Alibaba Cloud Linux等保2.0三级版镜像按照GB/T22239-2019信息安全技术网络安全等级保护基本要求进行等级保护加固,满足对应的检查项。详细信息如下表所示。

检查项类型 检查项名称 检查内容
身份鉴别 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  • 检查是否存在空密码账户。
  • 身份标识(UID)具有唯一性。
  • 设置密码复杂度要求。
  • 定期更换密码。
  • 设置密码最短修改时间,防止非法用户短期更改多次。
  • 限制密码重用。
  • 确保root是唯一的UID为0的帐户。
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
  • 检查SSHD是否强制使用V2安全协议。
  • 禁止Telnet等不安全的远程连接服务。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 检测是否配置登录失败锁定策略,是否设置空闲会话断开时间和启用登录时间过期后断开与客户端的连接设置。
访问控制 应对登录的用户分配账户和权限。
  • 除系统管理用户之外,应该分配普通用户、审计员、安全员帐户。
  • 确保用户umask为027或更严格。
  • 确保每个用户的home目录权限设置为750或者更严格。
应重命名或删除默认账户,修改默认账户的默认口令。
  • Linux下root账号不应删除,检查是否禁止SSH直接登录即可。
  • root之外的系统默认帐户、数据库帐户禁止登录(non-login)。
  • 确保无弱密码存在,对应的弱密码基线检测通过。
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。 检查重要文件,如访问控制配置文件和用户权限配置文件的权限,是否达到用户级别的粒度。
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  • root之外的系统默认帐户、数据库帐户禁止登录(non-login)。
  • 锁定或删除shutdown、halt帐户。
应授予管理用户所需的最小权限,实现管理用户的权限分离。
  • 确保su命令的访问受限制。
  • 检查/etc/sudoers配置sudo权限的用户,根据需要给root以外用户配置sudo权限,但除管理员外不能所有用户都配置(ALL)权限。
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  • 确保用户home目录权限设置为750或者更严格。
  • 无主文件或文件夹的所有权,根据需要重置为系统上的某个活动用户。
  • 设置ssh主机公钥文件的权限和所有权。
  • 设置ssh主机私钥文件的权限和所有权。
安全审计 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 检查auditd文件大小、日志拆分配置或者备份至日志服务器。若自动修复失败,请先修复启用安全审计功能检查项。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 满足启用安全审计功能检查项,即满足此项。
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
  • 启用auditd服务。
  • 启用rsyslog或syslog-ng服务。
  • 确保收集用户的文件删除事件。
  • 确保收集对系统管理范围(sudoers)的更改。
  • 确保收集修改用户或用户组信息的事件。如使用了第三方日志收集服务,可自行举证并忽略此项。
应保护审计进程,避免受到未预期的中断。 auditd是审计进程audit的守护进程,syslogd是日志进程syslog的守护进程,查看系统进程是否启动。
入侵防范 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 云安全中心的漏洞检测和修复功能可以满足。
应遵循最小安装的原则,仅安装需要的组件和应用程序。 应卸载NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。
应关闭不需要的系统服务、默认共享和高危端口。
  • 应关闭不需要的系统服务、文件共享服务。
  • 关闭21 、23、25、111、427、631等高危端口。
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 云安全中心有入侵检测和告警功能。如有其他方式,可自行举证并忽略此项。
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
  • /etc/hosts.allow文件指定允许连接到主机的IP地址,不应配为ALL:ALL
  • /etc/hosts.deny文件指定禁止连接到主机到IP,应该配置为ALL:ALL,默认禁止所有连接。
两者需要配合使用,且必须先配置/etc/hosts.allow规则。若是已通过其他方式实现如网络安全组、防火墙等,可自行举证并忽略此项。
恶意代码防范 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 检测是否安装使用云安全中心,如安装了其他防恶意代码软件,可自行举证并忽略此项。

Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置

阿里云已为Alibaba Cloud Linux等保2.0三级版镜像提供了等保合规的基线检查标准和扫描程序,下文将说明如何配置等保合规的基线检查策略。

  1. 购买云安全中心企业版。
    仅企业版支持基线检查服务。具体操作,请参见购买云安全中心
  2. 登录ECS管理控制台
  3. 在左侧导航栏,单击实例与镜像 > 实例
  4. 在顶部菜单栏左上角处,选择地域。
  5. 实例列表中,单击您已创建的Alibaba Cloud Linux操作系统的ECS实例ID。
  6. 实例详情页签,单击右侧的安全防护状态
    安全防护状态
  7. 在云安全中心管理控制台,配置并执行等保合规的基线检查策略。
    1. 在左侧导航栏,选择安全防范 > 基线检查
    2. 基线检查策略区域,单击默认策略,然后单击+添加策略
      添加策略
    3. 基线检查策略面板,完成配置,并单击确定
      配置说明如下:
      • 策略名称:输入用于识别该策略的名称。例如:Alibaba Cloud Linux 2等保合规检查
      • 检测周期:选择检测周期(每隔1天、3天、7天、30天检测一次)和检测触发时间(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
      • 基线名称:在搜索框输入等保合规进行搜索,在搜索结果中选中等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查基线名称
      • 生效服务器:选择需要应用该策略的分组资产。新购买的服务器默认归属在所有分组未分组中,如需对新购资产自动应用该策略,请选择未分组
      关于基线检查策略的详细说明,请参见设置基线检查策略
    4. 基线检查页面的右上角,单击策略管理
    5. 在面板底部,选中基线检查等级,并单击确定
    6. 基线检查策略区域,单击默认策略,然后单击已创建的策略名称。
    7. 单击立即检查
      立即检查
      您可以单击进度详情查看。当显示如下信息时,表示检查完毕。进度详情
  8. 检查完毕后,在基线检查页面的列表中,单击基线名称。
    基线列表
  9. 等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查面板,查看检查结果。
    您可以查看或验证基线检查结果,也可以使用快照回滚实例。具体操作,请参见查看和处理基线检查结果