第三方镜像安全规范
1.系统组件安全1.1基本要求a)不允许使用任何盗版或者破解版程序
b)不允许存在任何木马后门、挂机、挖矿等恶意程序
c)不允许存在已公开的、可利用的且已存在修复方案的安全漏洞
d)不允许使用官方已经停止维护的发行版本,如Debina6、CentOS4、Win2003
e)镜像制作时必须安装所有官方安全更新
f)保证主机安全系统已安装并开机自启
1.2操作建议安装安全更新:
a)Windows:确保最新更新已安装
b)Ubuntu:使用aptupdateaptupgrade命令进行更新
c)CentOS:使用yumupdate命令自动进行更新
检查主机安全防护状态:
a)Windows:任务管理器-进程,检查是否有cloudhids进程
b)Linux:ps–ef|grepcloudhids,检查是否有cloudhids进程
1.3重要组件安全以下列出的组件必须保证无可被利用漏洞:
a)引导、内核层面:grub、kernel、initramfs、sysvinit、systemd、efistub等
b)运行依赖库:libc6、glibc、libssl(openssl)、libgnutls、OpenJDK、SunJDK、libtomcat、libxml、libgd、libpng、zlib、libpython、libnet、libkrb、libcup、libfuse、libdbus等
c)常见用户态程序:openssh、sshfs、shell(bash、zsh、csh、dash…)、ftp、wget、curl、tar、gzip、sudo、su、ppp、rsync、fcitx、exim、apt、dpkg、rpm、yum、dnf等
2.第三方组件安全2.1基本要求a)不允许存在已公开的、可利用的且已存在修复方案的安全漏洞
b)不允许使用停止维护的软件版本系列,比如PHP5.2、5.3、5.4、5.6系列,Mysql5.1系列、tomcat6及其以上版本
c)镜像制作时,第三方组件请使用当时最新的稳定版本
d)请通过官方渠道下载软件,切勿通过非官方站点下载,以防被植入后门
3.系统配置安全4.1基本要求a)合理配置系统安全更新(镜像源的配置)
b)禁止使用弱密码,请使用随机字符串作为各种程序的默认密码
c)系统密码要有一定长度、复杂度要求(至少8位,包含大写字母、小写字母、特殊符号、数字)
d)不允许出现非必须的SUID特权程序
e)合理配置系统关键目录的权限,比如/etc、/bin、~/.ssh等
f)除了/tmp目录,其他目录不允许出现777权限
g)默认日志服务保证正常运行,如dmesg、syslog、wtmp、btmp、sudo等
h)非公开服务端口不应用对外网开放(如redis6379、mongodb27017等),仅开放需要的
4.安全检测4.1安全检测原则a)原则不允许存在已知公开修复方法的安全漏洞
b)不上允许存在官方评级为“中危”以上的安全漏洞
c)不允许存在可导致用户信息泄露、拒绝服务、服务崩溃、远程命令执行、获取主机控制权等安全漏洞
d)应正确配置各类服务的访问权限,不允许出现如redis未授权访问、MongoDB弱口令等安全漏洞
e)不允许存在来历不明的或ISV无法证明其它具体用途的程序
f)不允许存在测试账户、测试数据等非生产环境必需的信息
g)应清除配置镜像时产生的所有临时数据
h)安全检测将对前述安全规范的执行情况进行检查,对于安全检测过程中发现的上述问题,将拒绝通过第三方镜像的安全检测环节,情节严重的将按照相关规定严肃追责
