本文介绍ACK基于Alibaba Cloud Linux实现等保2.0三级版以及如何配置等保合规的基线检查。

背景信息

阿里云根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求,ACK基于云原生操作系统Alibaba Cloud Linux实现等保2.0三级版。您可以使用ACK的等保加固配置满足以下等保合规要求:
  • 身份鉴别
  • 访问控制
  • 安全审计
  • 入侵防范
  • 恶意代码防范

ACK使用Alibaba Cloud Linux等保2.0三级版

在创建ACK集群时,您可以选择配置启用等保加固,这样集群在创建时会自动配置对应的等保加固项,使其满足国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统的等级保护要求。
图 1. 等保加固配置图
93
重要
  • 为了满足等保2.0三级版的标准要求,ACK会在等保加固的Alibaba Cloud Linux操作系统中默认创建ack_admin、ack_audit、ack_security三个普通用户。
  • 为了满足等保2.0三级版的标准要求,等保加固的Alibaba Cloud Linux禁止使用Root用户通过SSH登录。您可通过ECS控制台使用VNC方式,登录系统创建可使用SSH的普通用户。具体操作,请参见通过密码认证登录Linux实例

Alibaba Cloud Linux等保2.0三级版镜像检查规则说明

Alibaba Cloud Linux等保2.0三级版镜像按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等级保护加固,满足对应的检查项。详细信息如下表所示。

检查项类型检查项名称检查内容
身份鉴别应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  • 检查是否存在空密码账户。
  • 身份标识(UID)具有唯一性。
  • 设置密码复杂度要求。
  • 定期更换密码。
  • 设置密码最短修改时间,防止非法用户短期更改多次。
  • 限制密码重用。
  • 确保Root是唯一的UID为0的账户。
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
  • 检查SSHD是否强制使用V2安全协议。
  • 禁止Telnet等不安全的远程连接服务。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。检测是否配置登录失败锁定策略,是否设置空闲会话断开时间和启用登录时间过期后断开与客户端的连接设置。
访问控制应对登录的用户分配账户和权限。
  • 除系统管理用户之外,应该分配普通用户、审计员、安全员账户。
  • 确保用户umask为027或更严格。
  • 确保每个用户的home目录权限设置为750或者更严格。
应重命名或删除默认账户,修改默认账户的默认口令。
  • Linux下Root账号不应删除,检查是否禁止SSH直接登录即可。
  • Root之外的系统默认账户、数据库账户禁止登录(non-login)。
  • 确保无弱密码存在,对应的弱密码基线检测通过。
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。检查重要文件,如访问控制配置文件和用户权限配置文件的权限,是否达到用户级别的粒度。
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  • Root之外的系统默认账户、数据库账户禁止登录(non-login)。
  • 锁定或删除shutdown、halt账户。
应授予管理用户所需的最小权限,实现管理用户的权限分离。
  • 确保su命令的访问受限制。
  • 检查/etc/sudoers配置sudo权限的用户,根据需要给Root以外用户配置sudo权限,但除管理员外不能所有用户都配置(ALL)权限。
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  • 确保用户home目录权限设置为750或者更严格。
  • 无主文件或文件夹的所有权,根据需要重置为系统上的某个活动用户。
  • 设置SSH主机公钥文件的权限和所有权。
  • 设置SSH主机私钥文件的权限和所有权。
安全审计应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。检查auditd文件大小、日志拆分配置或者备份至日志服务器。若自动修复失败,请先修复启用安全审计功能检查项。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。满足启用安全审计功能检查项,即满足此项。
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
  • 启用auditd服务。
  • 启用rsyslog或syslog-ng服务。
  • 确保收集用户的文件删除事件。
  • 确保收集对系统管理范围(sudoers)的更改。
  • 确保收集修改用户或用户组信息的事件。如使用了第三方日志收集服务,可自行举证并忽略此项。
应保护审计进程,避免受到未预期的中断。auditd是审计进程audit的守护进程,syslogd是日志进程syslog的守护进程,查看系统进程是否启动。
入侵防范应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。云安全中心的漏洞检测和修复功能可以满足。如果有其他方式,可自行举证并忽略此项。
应遵循最小安装的原则,仅安装需要的组件和应用程序。
  • Alibaba Cloud Linux 3:应卸载avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。
  • Alibaba Cloud Linux 2:应卸载NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。
应关闭不需要的系统服务、默认共享和高危端口。
  • 应关闭不需要的系统服务、文件共享服务。
  • 关闭21 、23、25、111、427、631等高危端口。
  • 如果有特殊需求必须严格配置访问控制策略,需自行举证并忽略此项。
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。云安全中心入侵检测和告警功能可以满足。如果已有其他检测与告警方式,可自行举证并忽略此项。
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
  • Alibaba Cloud Linux 3:
    1. 根据实际配置登录服务器的终端,编辑 /etc/ssh/sshd_config文件。
    2. 根据实际情况设置参数AllowUsers <user>@<host>
      说明 <user>表示需要登录的服务器用户名,<host>表示服务器的IP地址,请根据实际情况进行替换。
    3. 修改完成后按Esc键,并输入:wq后按下回车键,保存并退出。
    4. 执行sudo systemctl restart sshd命令重启sshd服务。
  • Alibaba Cloud Linux 2:
    • /etc/hosts.allow文件指定允许连接到主机的IP地址,不应配置为ALL:ALL
    • /etc/hosts.deny文件指定禁止连接到主机的IP地址,应该配置为ALL:ALL,默认禁止所有连接。
    两者需要配合使用,且必须先配置/etc/hosts.allow规则。若是已通过其他方式实现,例如网络安全组、防火墙等,可自行举证并忽略此项。
恶意代码防范
  • Alibaba Cloud Linux 3:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
  • Alibaba Cloud Linux 2:应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
检测是否安装使用云安全中心,如安装了其他防恶意代码软件,可自行举证并忽略此项。

Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置

阿里云已为Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三级版镜像提供了等保合规的基线检查标准和扫描程序。本文以Alibaba Cloud Linux 3为例为您介绍如何配置等保合规的基线检查策略,以实现对ECS实例进行等保合规基线检查。

  1. 购买支持基线检查的云安全中心。相关信息说明:
    • 云安全中心的不同版本对基线检查的支持情况不同。更多信息,请参见功能特性
    • 购买云安全中心的具体操作,请参见购买云安全中心
  2. 登录云安全中心控制台
  3. 在左侧导航栏选择风险管理 > 基线检查
  4. 基线检查页面右上角,单击策略管理
  5. 配置并执行等保合规的基线检查策略。
    1. 策略管理面板,单击添加标准策略页签。
    2. 基线检查策略面板,完成配置,并单击确认
      配置说明如下:
      • 策略名称:输入用于识别该策略的名称。例如:Alibaba Cloud Linux 3等保合规检查
      • 检测周期:选择检测周期(每隔1天、3天、7天、30天检测一次)。
      • 检测开始时间:选择检测开始时间(00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00)。
      • 基线名称:选择等保合规 > 等保三级-Alibaba Cloud Linux 3合规基线检查基线名称
      • 生效服务器:选择需要应用该策略的资产分组。新购买的服务器默认归属在未分组中,如需对新购资产应用该策略,请选择未分组
      关于基线检查策略的详细说明,请参见设置、执行基线检查策略
    3. 策略管理面板底部,选中基线检查等级,然后关闭策略管理
    4. 基线检查策略区域下方的下拉列表中,选择策略名称为Alibaba Cloud Linux 3等保合规检查的策略,然后单击立即检查
      立即检查
      刷新当前页面,然后重新选择Alibaba Cloud Linux 3等保合规检查策略,将鼠标悬浮至立即检查时,可以查看检查的进度,您也可以单击进度详情查看具体信息。检查进度
  6. 检查完毕后,在基线检查页面的列表中,单击基线名称。
    基线列表
  7. 等保三级-Alibaba Cloud Linux 3合规基线检查面板,查看检查结果。
    您可以查看或验证基线检查结果。具体操作,请参见查看和处理基线检查结果