Huawei Cloud EulerOS 2.0等保2.0三级版镜像概述
什么是Huawei Cloud EulerOS 2.0等保2.0三级版镜像
Huawei Cloud EulerOS 2.0等保2.0三级版镜像是基于Huawei Cloud EulerOS 2.0官方标准镜像,根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求推出的镜像。
您使用本镜像可满足以下等保合规要求:
- 身份鉴别
- 访问控制
- 安全审计
- 入侵防范
- 恶意代码防范
等保镜像使用场景及优势
- 若您的业务需要满足国家网络安全等级保护制度要求,您可以选择使用该镜像。
- 选择Huawei Cloud EulerOS 2.0等保2.0三级版镜像可以帮助客户所建设云平台快速满足国家等保要求,通过等保检测评测,节省时间成本与人力成本。
- 企业满足等保需求且通过等保评测后,能够直观的向客户展示本企业信息系统的安全性,使得客户能够更加放心的与企业合作。
等保镜像计费
Huawei Cloud EulerOS 2.0等保2.0三级版镜像是免费镜像,无须购买即可使用。按照HCE OS支持计划分阶段提供不同程度的软件维护和技术支持。当您选用Huawei Cloud EulerOS 2.0等保2.0三级版镜像创建弹性云服务器实例时,需要支付其他资源产生的费用,如vCPU、内存、存储、公网IP和带宽等。计费详情,请参见计费说明。
HCE OS 2.0等保2.0配置检查规则
Huawei Cloud EulerOS 2.0等保2.0三级版镜像对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范进行检查并加固。加固项如下所述。
检查项类型 |
检查项名称 |
检查内容 |
身份鉴别 |
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 |
确保root是唯一的UID为0的账户。 |
确保UID具有唯一的。 |
||
确保GID是唯一的。 |
||
确保账号名是唯一的。 |
||
确保组名是唯一的。 |
||
确保设置密码满足复杂度要求。 |
||
确保限制重用历史密码的次数。 |
||
确保定期更换密码,防止密码泄露被恶意长期利用。 |
||
确保设置密码最短修改时间,防止多次修改继续使用近期旧密码。 |
||
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 |
确保配置登录失败锁定策略。 |
|
确保设置空闲会话超时断开时间。 |
||
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 |
禁止Telnet等不安全的远程连接服务。 |
|
访问控制 |
a)应对登录的用户分配账户和权限。 |
确保管理员账号通过提权方式管理系统,避免直接通过root登录管理。 |
确保账户umask为027或更严格。 |
||
b)应重命名或删除默认账户,修改默认账户的默认口令。 |
禁止root账户通过SSH直接登录,需要用户提前创建其他管理账号。 |
|
禁止无需登录的账号拥有登录能力。 |
||
禁止SSH空密码登录。 |
||
确保密码通过弱密码字典检测。 |
||
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。 |
禁止存在不使用的账号。 |
|
应当正确设置临时账号有效期。 |
||
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。 |
确保su命令受限使用,仅允许wheel组中的用户具有su的使用权限。 |
|
确保su命令继承用户环境变量不会引入提权。 |
||
确保管理用户通过sudo运行特权命令,检查/etc/sudoers配置sudo权限的用户,除管理员外不能所有用户都配置(ALL)权限。 |
||
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。 |
禁止存在无属主或属组的文件或目录,根据需要重置为系统上的某个活动用户或删除。 |
|
设置SSH主机公私钥文件的权限和所有权。 |
||
确保每个用户的home目录权限设置为750或者更严格。 |
||
确保删除文件非必要的SUID和SGID位。 |
||
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。 |
检查重要文件,如访问控制配置文件和用户权限配置文件的权限,是否达到用户级别的粒度。 |
|
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 |
启用auditd服务。 |
确保审计对系统sudoers的修改事件。 |
||
确保审计修改系统时间事件。 |
||
确保审计修改系统hosts、主机名、登录提示配置事件。 |
||
确保审计用户和用户组信息事件。 |
||
启用rsyslog服务。 |
||
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 |
满足启用安全审计功能检查项,即满足此项。 |
|
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 |
检查auditd日志大小、日志拆分、磁盘空间配置。 |
|
检查是否支持将日志备份到日志服务器,请自行举证。 |
||
确保rsyslog默认文件权限不超过640。 |
||
d)应保护审计进程,避免受到未预期的中断。 |
确保auditd审计守护进程正常运行。 |
|
确保rsyslog日志守护进程正常运行。 |
||
入侵防范 |
a)应遵循最小安装的原则,仅安装需要的组件和应用程序。 |
卸载 X window、cups、ypbind、ypserv、telnet、openSLP等不常用或不安全软件。 |
b)应关闭不需要的系统服务、默认共享和高危端口。 |
确保关闭不需要的系统服务、文件共享服务: debug-shell、avahi、snmp、squid、samba、ftp、tftp、postfix |
|
关闭21(FTP)、23(TELNET)、25(SMTP)、111(rpcbind)、427(openSLP)、631(CUPS)等高危端口。 |
||
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 |
应该配置SSH服务侦听IP地址,请根据实际部署情况选择性配置,如果只有1个网卡无需配置。 |
|
应当配置认证黑白名单,请根据实际部署情况选择性配置,如果只有1个账号可以登录可以忽略本项。 |
||
d)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 |
HSS和VSS的漏洞检测和修复功能可以满足。如果有其他漏洞检查方式,可自行举证并忽略此项。 |
|
e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 |
HSS入侵检测和告警功能可以满足。如果已有其他检测与告警方式,可自行举证并忽略此项。 |
|
恶意代码防范 |
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 |
检测是否安装使用HSS,如安装了其他防恶意代码软件,可自行举证并忽略此项。 |
