Huawei Cloud EulerOS 2.0等保2.0三级版镜像概述
什么是Huawei Cloud EulerOS 2.0等保2.0三级版镜像
Huawei Cloud EulerOS 2.0等保2.0三级版镜像是基于Huawei Cloud EulerOS 2.0官方标准镜像,根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求推出的镜像。系统从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面,共计40多项安全配置进行加固。具体加固项及说明,详见HCE 2.0等保2.0配置检查规则。
等保镜像使用场景及优势
- 节省时间和人力:该镜像从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面,共计40多项安全配置进行加固,无需客户识别加固。
- 节省成本:Huawei Cloud EulerOS 2.0等保2.0三级版镜像是完全免费镜像。
- 等保镜像加固要求不等同于《HCE 2.0安全配置基线》,使用华为公司安全工具扫描会存在部分不满足项,若希望满足华为公司安全基线《HCE 2.0安全配置基线》,请参考安全加固工具章节进行加固。
- Huawei Cloud EulerOS 2.0等保2.0三级版镜像仅满足《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等默认配置加固,规范要求内容较多,使用该镜像并不代表可以直接通过等保2.0三级认证。
等保镜像计费
Huawei Cloud EulerOS 2.0等保2.0三级版镜像是免费镜像,无需购买即可使用。按照HCE支持计划分阶段提供不同程度的软件维护和技术支持。当您选用Huawei Cloud EulerOS 2.0等保2.0三级版镜像创建弹性云服务器实例时,需要支付其他资源产生的费用,如vCPU、内存、存储、公网IP和带宽等。计费详情,请参见计费说明。
检查项类型 | 检查项名称 | 检查内容 | HCE 2.0 等保2.0三级版镜像 |
身份鉴别 | a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 | 确保root是唯一的UID为0的账户。 | 默认满足 |
确保UID是唯一的。 | 默认满足 | ||
确保GID是唯一的。 | 默认满足 | ||
确保账号名是唯一的。 | 默认满足 | ||
确保组名是唯一的。 | 默认满足 | ||
确保设置密码满足复杂度要求。 | 默认满足 | ||
确保限制重用历史密码的次数。 | 默认满足 | ||
确保定期更换密码,防止密码泄露被恶意长期利用。 | root用户不生效,后续新建用户默认满足 | ||
确保设置密码最短修改时间,防止多次修改继续使用近期旧密码。 | 默认满足 | ||
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 | 确保配置登录失败锁定策略。 | 默认满足 | |
确保设置空闲会话超时断开时间。 | 默认满足 | ||
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 | 禁止Telnet等不安全的远程连接服务。 | 默认满足 | |
访问控制 | a)应对登录的用户分配账户和权限。 | 确保管理员账号通过提权方式管理系统,避免直接通过root登录管理。 | 默认不满足禁止root账号直接登录 根据登录提示信息,执行手动加固脚本/root/cybersecurity_enhance.sh 后满足 |
确保账户umask为0027或更严格。 | 默认满足 | ||
b)应重命名或删除默认账户,修改默认账户的默认口令。 | 禁止root账户通过SSH直接登录,需要用户提前创建其他管理账号。 | 根据登录提示信息,执行手动加固脚本/root/cybersecurity_enhance.sh 后满足 | |
禁止无需登录的账号拥有登录能力。 | 默认满足 | ||
禁止SSH空密码登录。 | 默认满足 | ||
确保密码通过弱密码字典检测。 | 默认满足 | ||
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。 | 禁止存在不使用的账号。 | 默认满足 | |
应当正确设置临时账号有效期。 | 默认满足 | ||
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。 | 确保su命令受限使用,仅允许wheel组中的用户具有su的使用权限。 | 默认满足 | |
确保su命令继承用户环境变量不会引入提权。 | 默认满足 | ||
确保管理用户通过sudo运行特权命令,检查/etc/sudoers配置sudo权限的用户,除管理员外不能所有用户都配置(ALL)权限。 | 默认满足 | ||
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。 | 禁止存在无属主或属组的文件或目录,根据需要重置为系统上的某个活动用户或删除。 | 默认满足 | |
设置SSH主机公私钥文件的权限和所有权。 | 默认满足 | ||
确保每个用户的home目录权限设置为750或者更严格。 | 默认满足 | ||
确保删除文件非必要的SUID和SGID位。 | 默认满足 | ||
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。 | 检查重要文件,如访问控制配置文件和用户权限配置文件的权限,是否达到用户级别的粒度。 | 默认满足 | |
安全审计 | a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 | 启用auditd服务。 | 默认满足,已默认启用audit 服务 |
确保审计对系统sudoers的修改事件。 | 默认满足,可通过 auditctl -l 查看当前配置规则 | ||
确保审计修改系统时间事件。 | 默认满足,可通过 auditctl -l 查看当前配置规则 | ||
确保审计修改系统hosts、主机名、登录提示配置事件。 | 默认满足,可通过 auditctl -l 查看当前配置规则 | ||
确保审计用户和用户组信息事件。 | 默认满足,可通过 auditctl -l 查看当前配置规则 | ||
启用rsyslog服务。 | 默认满足,已默认启用 rsyslog 服务 | ||
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 满足启用安全审计功能检查项,即满足此项。 | 默认满足 | |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 检查auditd日志大小、日志拆分、磁盘空间配置。 | 检查单个日志大小配置: 检查方法: # grep "max_log_file\s*=" /etc/audit/auditd.conf max_log_file = 8 修复方法: 编辑/etc/audit/auditd.conf文件中max_log_file字段的值(单位是MB),根据业务需要,合理配置对应字段内容: max_log_file = <numeric value in megabytes> 重新加载配置生效: # service auditd reload 检查 audit 日志拆分配置: 检查方法: # grep -iE "max_log_file_action|num_logs" /etc/audit/auditd.conf num_logs = 5 max_log_file_action = ROTATE 修复方法: 修改/etc/audit/auditd.conf文件中max_log_file_action和num_logs字段的值,根据业务需要,合理配置对应字段内容: # vim /etc/audit/auditd.conf num_logs = <file numbers> max_log_file_action = <action type> 重启auditd服务,使配置生效: # service restart auditd 检查磁盘空间配置: 检查方法: # cat /etc/audit/auditd.conf | grep -iE "space_left|space_left_action|admin_space_left|admin_space_left_action|disk_full_action|disk_error_action" 结果应显示为如下内容: space_left = 75 space_left_action = SYSLOG admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND disk_error_action = SUSPEND 修复方法: 修改/etc/audit/audit.conf文件,根据业务需要,合理配置对应字段内容: space_left = <numeric value in megabytes> space_left_action = <action> admin_space_left = <numeric value in megabytes> admin_space_left_action = <action> disk_full_action = <action> disk_error_action = <action> 重新加载配置生效: # service auditd reload | |
检查是否支持将日志备份到日志服务器,请自行举证。 | 检查/etc/rsyslog.d/目录下配置文件中是否配置远程日志服务器IP:Port相关字段 # grep -irE "^*.*@*:[0-9]+$" /etc/rsyslog.d/*.conf 配置方法: 在/etc/rsyslog.d/目录下新建以conf为后缀的配置文件,例如server.conf,然后加入配置如下,其中“.”指将所有的日志都打印到服务器(含义是:日志类型.日志级别,mail.info就表示只将mail的info日志打印到服务器),“@”表示使用UDP协议,“@@”表示使用TCP协议 # vim /etc/rsyslog.d/server.conf *.* @@<Remote IP>:<Port> # 如果是IPv6,则添加如下配置: *.* @@[<remove IPv6>%<interface name>]:<Port> 执行如下命令,重启服务,使配置生效: # systemctl restart rsyslog | ||
确保rsyslog默认文件权限不超过640。 | 默认满足 | ||
d)应保护审计进程,避免受到未预期的中断。 | 确保auditd审计守护进程正常运行。 | 默认满足 | |
确保rsyslog日志守护进程正常运行。 | 默认满足 | ||
入侵防范 | a)应遵循最小安装的原则,仅安装需要的组件和应用程序。 | 卸载 X window、cups、ypbind、ypserv、telnet、openslp等不常用或不安全软件。 | 默认满足 |
b)应关闭不需要的系统服务、默认共享和高危端口。 | 确保关闭不需要的系统服务、文件共享服务: debug-shell、avahi、snmp、squid、samba、ftp、tftp、postfix | 默认满足 | |
关闭21(FTP)、23(TELNET)、25(SMTP)、111(rpcbind)、427(openslp)、631(CUPS)等高危端口。 | 默认满足 | ||
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 | 应该配置SSH服务侦听IP地址,请根据实际部署情况选择性配置,如果只有1个网卡无需配置。 | 请根据业务实际场景,修改/etc/ssh/sshd_config文件,在ListenAddress字段后设置相应的IP地址,如果有多个,可以设置多行: # vim /etc/ssh/sshd_config ListenAddress <ip addr 1> ListenAddress <ip addr 2> # systemctl restart sshd | |
应当配置认证黑白名单,请根据实际部署情况选择性配置,如果只有1个账号可以登录可以忽略本项。 | 请根据业务实际场景,在/etc/ssh/sshd_config文件中添加相关Allow或Deny字段,可以任意组合,例如: # vim /etc/ssh/sshd_config AllowUsers <user1> AllowGroups <group1> DenyUsers <user2> DenyGroups <group2> # systemctl restart sshd | ||
d)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | HSS和VSS的漏洞检测和修复功能可以满足。如果有其他漏洞检查方式,可自行举证并忽略此项。 | 请确认是否使用 HSS 等漏洞修复检测功能,如果有其他漏洞检查方式,可自行举证并忽略此项。 | |
e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | HSS入侵检测和告警功能可以满足。如果已有其他检测与告警方式,可自行举证并忽略此项。 | 请确认是否使用 HSS 等入侵检测和告警功能,如果有其他入侵检测和告警功能方式,可自行举证并忽略此项。 | |
恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | 检测是否安装使用HSS,如安装了其他防恶意代码软件,可自行举证并忽略此项。 | 请确认是否使用 HSS 等恶意代码防范功能,如果有其他恶意代码防范方式,可自行举证并忽略此项。 |
