阿里云云市场第三方镜像安全规范

第三方镜像安全规范

1.系统组件安全1.1基本要求a)不允许使用任何盗版或者破解版程序

b)不允许存在任何木马后门、挂机、挖矿等恶意程序

c)不允许存在已公开的、可利用的且已存在修复方案的安全漏洞

d)不允许使用官方已经停止维护的发行版本,如Debina6、CentOS4、Win2003

e)镜像制作时必须安装所有官方安全更新

f)保证主机安全系统已安装并开机自启

1.2操作建议安装安全更新:

a)Windows:确保最新更新已安装

b)Ubuntu:使用aptupdateaptupgrade命令进行更新

c)CentOS:使用yumupdate命令自动进行更新

检查主机安全防护状态:

a)Windows:任务管理器-进程,检查是否有cloudhids进程

b)Linux:ps–ef|grepcloudhids,检查是否有cloudhids进程

1.3重要组件安全以下列出的组件必须保证无可被利用漏洞:

a)引导、内核层面:grub、kernel、initramfs、sysvinit、systemd、efistub等

b)运行依赖库:libc6、glibc、libssl(openssl)、libgnutls、OpenJDK、SunJDK、libtomcat、libxml、libgd、libpng、zlib、libpython、libnet、libkrb、libcup、libfuse、libdbus等

c)常见用户态程序:openssh、sshfs、shell(bash、zsh、csh、dash…)、ftp、wget、curl、tar、gzip、sudo、su、ppp、rsync、fcitx、exim、apt、dpkg、rpm、yum、dnf等

2.第三方组件安全2.1基本要求a)不允许存在已公开的、可利用的且已存在修复方案的安全漏洞

b)不允许使用停止维护的软件版本系列,比如PHP5.2、5.3、5.4、5.6系列,Mysql5.1系列、tomcat6及其以上版本

c)镜像制作时,第三方组件请使用当时最新的稳定版本

d)请通过官方渠道下载软件,切勿通过非官方站点下载,以防被植入后门

3.系统配置安全4.1基本要求a)合理配置系统安全更新(镜像源的配置)

b)禁止使用弱密码,请使用随机字符串作为各种程序的默认密码

c)系统密码要有一定长度、复杂度要求(至少8位,包含大写字母、小写字母、特殊符号、数字)

d)不允许出现非必须的SUID特权程序

e)合理配置系统关键目录的权限,比如/etc、/bin、~/.ssh等

f)除了/tmp目录,其他目录不允许出现777权限

g)默认日志服务保证正常运行,如dmesg、syslog、wtmp、btmp、sudo等

h)非公开服务端口不应用对外网开放(如redis6379、mongodb27017等),仅开放需要的

4.安全检测4.1安全检测原则a)原则不允许存在已知公开修复方法的安全漏洞

b)不上允许存在官方评级为“中危”以上的安全漏洞

c)不允许存在可导致用户信息泄露、拒绝服务、服务崩溃、远程命令执行、获取主机控制权等安全漏洞

d)应正确配置各类服务的访问权限,不允许出现如redis未授权访问、MongoDB弱口令等安全漏洞

e)不允许存在来历不明的或ISV无法证明其它具体用途的程序

f)不允许存在测试账户、测试数据等非生产环境必需的信息

g)应清除配置镜像时产生的所有临时数据

h)安全检测将对前述安全规范的执行情况进行检查,对于安全检测过程中发现的上述问题,将拒绝通过第三方镜像的安全检测环节,情节严重的将按照相关规定严肃追责