云市场

Products

云市场

Documentation > Products > 云市场 > 第三方镜像安全规范

第三方镜像安全规范

1.系统组件安全 1.1基本要求 a) 不允许使用任何盗版或者破解版程序

b) 不允许存在任何木马后门、挂机、挖矿等恶意程序

c) 不允许存在已公开的、可利用的且已存在修复方案的安全漏洞

d) 不允许使用官方已经停止维护的发行版本,如Debina6、CentOS4、Win2003

e) 镜像制作时必须安装所有官方安全更新

f) 保证主机安全系统已安装并开机自启

1.2操作建议 安装安全更新:

a) Windows:确保最新更新已安装

b) Ubuntu:使用 apt update && apt upgrade 命令进行更新

c) CentOS:使用 yum update 命令自动进行更新

检查主机安全防护状态:

a) Windows:任务管理器 -> 进程,检查是否有jdcloudhids进程

b) Linux:ps –ef | grep jdcloudhids,检查是否有jdcloudhids进程

1.3 重要组件安全 以下列出的组件必须保证无可被利用漏洞:

a) 引导、内核层面:grub、kernel、initramfs、sysvinit、systemd、efistub等

b) 运行依赖库:libc6、glibc、libssl(openssl)、libgnutls、OpenJDK、SunJDK、libtomcat、libxml、libgd、libpng、zlib、libpython、libnet、libkrb、libcup、libfuse、libdbus等

c) 常见用户态程序:openssh、sshfs、shell(bash、zsh、csh、dash…)、ftp、wget、curl、tar、gzip、sudo、su、ppp、rsync、fcitx、exim、apt、dpkg、rpm、yum、dnf等

2.第三方组件安全 2.1基本要求 a) 不允许存在已公开的、可利用的且已存在修复方案的安全漏洞

b) 不允许使用停止维护的软件版本系列,比如PHP 5.2、5.3、5.4、5.6系列,Mysql 5.1系列、 tomcat6及其以上版本

c) 镜像制作时,第三方组件请使用当时最新的稳定版本

d) 请通过官方渠道下载软件,切勿通过非官方站点下载,以防被植入后门

3.系统配置安全 4.1基本要求 a) 合理配置系统安全更新(镜像源的配置)

b) 禁止使用弱密码,请使用随机字符串作为各种程序的默认密码

c) 系统密码要有一定长度、复杂度要求(至少8位,包含大写字母、小写字母、特殊符号、数字)

d) 不允许出现非必须的SUID特权程序

e) 合理配置系统关键目录的权限,比如/etc、/bin、~/.ssh等

f) 除了/tmp目录,其他目录不允许出现777权限

g) 默认日志服务保证正常运行,如dmesg、syslog、wtmp、btmp、sudo等

h) 非公开服务端口不应用对外网开放(如redis 6379、mongodb 27017等),仅开放需要的

4.安全检测 4.1安全检测原则 a) 原则不允许存在已知公开修复方法的安全漏洞

b) 不上允许存在官方评级为“中危”以上的安全漏洞

c) 不允许存在可导致用户信息泄露、拒绝服务、服务崩溃、远程命令执行、获取主机控制权等安全漏洞

d) 应正确配置各类服务的访问权限,不允许出现如redis未授权访问、MongoDB弱口令等安全漏洞

e) 不允许存在来历不明的或ISV无法证明其它具体用途的程序

f) 不允许存在测试账户、测试数据等非生产环境必需的信息

g) 应清除配置镜像时产生的所有临时数据

h) 安全检测将对前述安全规范的执行情况进行检查,对于安全检测过程中发现的上述问题,将拒绝通过第三方镜像的安全检测环节,情节严重的将按照相关规定严肃追责

Update Time:2019-12-19 11:14:38