本文汇总Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三级版镜像的常见问题及解决方案。
使用Alibaba Cloud Linux等保2.0三级版镜像有什么优势?
节省成本:目前Alibaba Cloud Linux等保2.0三级版镜像是完全免费提供使用的。
节省人力:云安全中心提供基线检查策略,系统将自动判断实例是否达到了等保合规的要求。
节省时间:您可以通过已完成等保加固的自定义镜像,批量创建ECS实例。具体操作,请参见使用等保加固后的自定义镜像批量创建实例。
Alibaba Cloud Linux等保2.0三级版镜像有哪些加固项?加固的内容是什么?
系统从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等5个方面,共计19个加固项进行加固。每一个加固项以及对应的具体说明,请参见配置Alibaba Cloud Linux等保2.0三级版镜像基线检查策略,其中,检查项即为对应的加固项。
Alibaba Cloud Linux 3与Alibaba Cloud Linux 2等保2.0三级版镜像的加固内容有什么差异?
Alibaba Cloud Linux 3等保2.0三级版加固镜像相比于Alibaba Cloud Linux 2,在加固内容上主要有以下两点区别:
在
入侵防范
检查类型的应遵循最小安装的原则,仅安装需要的组件和应用程序
检查项中,Alibaba Cloud Linux 3不能卸载NetworkManager相关的软件包,这是因为Alibaba Cloud Linux 3默认采用NetworkManager网络管理服务,因此NetworkManager相关的软件包是Alibaba Cloud Linux 3不可缺少的软件包,因此不能卸载。在
入侵防范
检查类型的应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
检查项中,修改文件差异:Alibaba Cloud Linux 2:需要修改/etc/hosts.allow和/etc/hosts.deny文件
Alibaba Cloud Linux 3:需要修改/etc/ssh/sshd_config文件
在实例内进行业务操作是否会影响Alibaba Cloud Linux等保2.0三级版镜像的等保加固配置?
等保镜像只保证系统初始状态的安全,您后续使用时,在系统内的部分操作可能影响到等保加固的配置项。如果加固项出现问题,您可以通过云安全中心进行基线检查,然后根据检查结果自行修复问题。具体操作,请参见配置Alibaba Cloud Linux等保2.0三级版镜像基线检查策略。
Alibaba Cloud Linux等保2.0三级版镜像是否对系统的性能有影响?
等保加固的配置项中,只有手动启动的auditd
服务会对系统性能产生影响,其它配置项默认不会对系统性能造成影响。
我为什么不能通过云安全中心进行Alibaba Cloud Linux等保2.0三级版镜像的基线检查?
云安全中心仅企业版支持基线检查服务,如果您需要进行基线检查,请先将云安全中心的版本升级至企业版。具体操作,请参见升级与降配。
Alibaba Cloud Linux等保2.0三级版镜像为什么不支持SSH密钥对的方式登录?
等保加固中的多数配置项均为对密码的检查(例如,对密码强度、密码重用次数、密码失效日期以及密码失败策略等配置项的扫描与加固),但没有对SSH密钥对进行检查与加固。为保证等保镜像的安全性,当您完成了等保加固配置后,系统将禁止root
用户直接登录,其中包含root
用户的密钥登录方式。
如何在Alibaba Cloud Linux等保2.0三级版镜像中配置Kdump?
Alibaba Cloud Linux等保2.0三级版镜像按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等级保护加固,满足对应的检查项应遵循最小安装的原则,仅安装需要的组件和应用程序
,因此默认卸载了Kdump等软件。更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像检查规则说明。
如果您仍然想在等保2.0三级版镜像中配置Kdump,请参考以下步骤:
远程连接使用等保2.0三级版镜像的ECS实例。
连接方式的更多信息,请参见连接方式概述。
运行以下命令,安装kexec-tools工具。
sudo yum install -y kexec-tools
配置Kdump。
具体操作,请参见如何在Alibaba Cloud Linux 2系统中配置Kdump。
Alibaba Cloud Linux等保2.0三级版操作系统内用户的密码过期时间为多久?密码过期后如何登录实例?
Alibaba Cloud Linux等保2.0三级版操作系统内用户(包含普通用户admin
、审计员用户audit
、安全员用户security
等)的密码有效期为90天。当您的用户密码过期后,使用SSH或VNC任一方式登录实例时,您需要根据系统提示重置用户的密码信息,并使用新密码重新登录实例。