AI 助理
备案控制台
开发者社区 安全 文章 正文

AlibabaCloudLiunx等保2.0三级版云服务器初体验

2022-04-02 1581
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
推荐场景:
阿里云WAAP安全再获技术&市场双认可
云安全中心 防病毒版,最高20核 3个月
云安全中心 免费版,不限时长
简介: 体验由AlibabaCloudLiunx等保2.0三级版镜像创建的阿里云服务器

1. 前言

在阿里云的弹性服务器中,可以选择AlibabaCloudLiunx等保2.0三级版,这个名称就吸引了我,我们一起来看看这个Liunx镜像到底做了哪些优化和加固,可以叫等保2.0三级版。

image.png

2. 简介

产品文档:Alibaba Cloud Linux 2等保2.0三级版镜像概述 (aliyun.com)

Alibaba Cloud Linux 2等保2.0三级版镜像是基于Alibaba Cloud Linux 2默认标准镜像进行等保加固的镜像版本,该镜像符合等保2.0三级安全保护的基本要求。镜像可满足以下等保合规要求:

  • 身份鉴别
  • 访问控制
  • 安全审计
  • 入侵防范
  • 恶意代码防范

如果企业自身业务需要通过等保2.0需求,那创建云服务器时直接选择Alibaba Cloud Linux 2等保2.0三级版镜像可以减少自己很多的工作量。

3. 使用镜像

3.1  初始化

登录后,就会看到等保镜像的专属登录提示:

image.png

由于等保需要三个角色的用户,系统提供了一个脚本让用户进行创建;

image.png

可以看到,这个脚本就是做三类等保要求用户创建的。

3.2 基线检查

在“云安全中心”的菜单中有“基线检测”和“合规检查”2个菜单。咱们这里选择“基线检查”。

image.png

在策略管理中,添加标准策略,就可以进行检查了,在检查过程中有卡死超时的现象,不知道是不是操作失误。

image.png

3.3 检测项

基线加固内容一共5个方面19项,其中只有用户角色需要开始手动执行,其他的都是系统内置;

查项类型

检查项名称

检查内容

身份鉴别

应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
  • 检查是否存在空密码账户。
  • 身份标识(UID)具有唯一性。
  • 设置密码复杂度要求。
  • 定期更换密码。
  • 设置密码最短修改时间,防止非法用户短期更改多次。
  • 限制密码重用。
  • 确保root是唯一的UID为0的账户。

当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
  • 检查SSHD是否强制使用V2安全协议。
  • 禁止Telnet等不安全的远程连接服务。

应具有登录失败处理

功能

,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

检测是否配置登录失败锁定策略,是否设置空闲会话断开时间和启用登录时间过期后断开与客户端的连接设置。

访问控制

应对登录的用户分配账户和权限。
  • 除系统管理用户之外,应该分配普通用户、审计员、安全员账户。
  • 确保用户umask为027或更严格。
  • 确保每个用户的home目录权限设置为750或者更严格。

应重命名或删除默认账户,修改默认账户的默认口令。
  • Linux下root账号不应删除,检查是否禁止SSH直接登录即可。
  • root之外的系统默认账户、数据库账户禁止登录(non-login)。
  • 确保无弱密码存在,对应的弱密码基线检测通过。

访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。

检查重要文件,如访问控制配置文件和用户权限配置文件的权限,是否达到用户级别的粒度。

应及时删除或停用多余的、过期的账户,避免共享账户的存在。
  • root之外的系统默认账户、数据库账户禁止登录(non-login)。
  • 锁定或删除shutdown、halt账户。

应授予管理用户所需的最小权限,实现管理用户的权限分离。
  • 确保su命令的访问受限制。
  • 检查/etc/sudoers配置sudo权限的用户,根据需要给root以外用户配置sudo权限,但除管理员外不能所有用户都配置(ALL)权限。

应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
  • 确保用户home目录权限设置为750或者更严格。
  • 无主文件或文件夹的所有权,根据需要重置为系统上的某个活动用户。
  • 设置SSH主机公钥文件的权限和所有权。
  • 设置SSH主机私钥文件的权限和所有权。

安全审计

应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

检查auditd文件大小、日志拆分配置或者备份至日志服务器。若自动修复失败,请先修复启用安全审计功能检查项。

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

满足启用安全审计功能检查项,即满足此项。

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
  • 启用auditd服务。
  • 启用rsyslog或syslog-ng服务。
  • 确保收集用户的文件删除事件。
  • 确保收集对系统管理范围(sudoers)的更改。
  • 确保收集修改用户或用户组信息的事件。如使用了第三方日志收集服务,可自行举证并忽略此项。

应保护审计进程,避免受到未预期的中断。

auditd是审计进程audit的守护进程,syslogd是日志进程syslog的守护进程,查看系统进程是否启动。

入侵防范

应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

云安全中心的漏洞检测和修复功能可以满足。

应遵循最小安装的原则,仅安装需要的组件和应用程序。

应卸载NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。

应关闭不需要的系统服务、默认共享和高危端口。
  • 应关闭不需要的系统服务、文件共享服务。
  • 关闭21 、23、25、111、427、631等高危端口。

应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

云安全中心入侵检测和告警功能可以满足。如果已有其他检测与告警方式,可自行举证并忽略此项。

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
  • /etc/hosts.allow文件指定允许连接到主机的IP地址,不应配为ALL:ALL。
  • /etc/hosts.deny文件指定禁止连接到主机到IP,应该配置为ALL:ALL,默认禁止所有连接。

两者需要配合使用,且必须先配置

/etc/hosts.allow

规则。若是已通过其他方式实现如网络安全组、防火墙等,可自行举证并忽略此项。

恶意代码防范

应安装防恶意代码软件,并及时

更新

防恶意代码软件版本和恶意代码库。

检测是否安装使用云安全中心,如安装了其他防恶意代码软件,可自行举证并忽略此项。

4. 小结

总体来说由AlibabaCloudLiunx等保2.0三级版镜像创建的云服务器,的的确确是按照等保标准进行了主机的加固,可以大大减少用户在安全运维方面的工作,降低用户成本,并且提高了系统的安全性。当然现在的云服务器安全方面已经相当复杂,云安全中心的功能也十分丰富,十分值得学习!

文章标签:
云服务器 ECS
访问控制
云安全中心
终端访问控制系统
运维
Linux
云安全
网络安全
数据安全/隐私保护
安全
数据库
关键词:
云服务器 ECS初体验
相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
瀛洲骇客
目录
相关文章
游客nl6fbt2wd2nvi
|
4月前
|
弹性计算 人工智能 运维
阿里ECS&OS Copilot智能助手初体验
探索阿里云新推出的OS Copilot,与通义千问对比,体验其在Linux运维中的应用。创建ECS实例、重置密码、设置RAM Access Key过程略显复杂。OS Copilot安装简便,能准确解答问题,提供Shell脚本,对运维工作帮助大,评分9分。作为运维新手,认为文档对新人不友好,期待正式版并愿推荐给同行。功能上,突出知识问答和命令执行辅助,优于其他产品,期望优化连续问答和文档处理能力,与ECS整合以增强系统错误排查。
游客nl6fbt2wd2nvi
129 10
阿里ECS&OS Copilot智能助手初体验
蓝易云
|
6月前
|
监控 负载均衡 网络协议
DNS服务器的搭建之初体验
通过这些步骤,你可以在初次搭建DNS服务器时获得基本的体验,了解如何为域名提供解析服务,促进网络的正常运行。 买CN2云服务器,免备案服务器,高防服务器,就选蓝易云。百度搜索:蓝易云
蓝易云
103 7
李轻舟
|
弹性计算 关系型数据库 MySQL
基于ECS和云数据库RDS MySQL Serverless快速搭建个人博客初体验
通过安装Apache+PHP+WordPress网站环境,并结合RDS MySQL版数据库实例,快速搭建自己的云上博客。
李轻舟
288 2
游客y3zgtsp5mza6s
|
SQL 弹性计算 数据库
飞天加速计划——ECS使用初体验
1
游客y3zgtsp5mza6s
292 0
游客znxfsiud4znws
|
机器学习/深度学习 弹性计算 Linux
大四计算机学生云服务器ESC初体验
本文是一位计算机科学与技术专业的大学生分享自己参加阿里云举办的高校学生在家实践活动的经历。该活动为学生提供了免费的算力平台,使学生能够更好地使用机器学习和数据处理工具。作者通过使用阿里云的ECS云服务器进行数据处理和机器学习模型的训练,发现其效率比个人电脑更高,对自己的研究和项目提供了很大的帮助。通过参加活动,作者深入了解了云服务器和机器学习的应用,并意识到其便利性和高效性。此外,作者也认为阿里云为高校学生提供免费算力服务的举措非常有帮助,可以让学生更好地掌握最新的技术和发展趋势,为未来的发展奠定更加坚实的基础。
游客znxfsiud4znws
201 0
游客3dirmzrsk6aeq
|
弹性计算 Apache 数据安全/隐私保护
ECS云服务器使用初体验感想
本周体验并使用ECS云服务器,有以下感想
游客3dirmzrsk6aeq
148 0
ECS云服务器使用初体验感想
游客y3zgtsp5mza6s
|
SQL 弹性计算 数据库
飞天加速计划——ECS使用初体验
关于初次参与飞天加速计划以及初次使用阿里云ECS平台的体验。
游客y3zgtsp5mza6s
254 0
游客yb75ef4rgxchk
|
弹性计算 数据安全/隐私保护 云计算
浅谈ECS初体验
有关阿里云ECS的实验报告
游客yb75ef4rgxchk
124 0
llluojiaqi-49332
|
弹性计算 关系型数据库 Linux
ECS使用初体验
基于Alibaba Cloud Linux,在 ECS云服务器的环境下,通过部署 LAMP环境并安装 WordPress 快速搭建个人博客
llluojiaqi-49332
97 0
游客nycqedcwk6wrc
|
弹性计算 关系型数据库 Apache
ECS使用初体验
ECS使用初体验
游客nycqedcwk6wrc
121 0

热门文章

最新文章

  • 1
    尝鲜:如何搭建一个简单的webrtc服务器
  • 2
    【过关斩将般的一步步实现】windows本机通过xftp/xshell连接Ubuntu虚拟机服务器
  • 3
    ecs进阶训练营心得第一天
  • 4
    云服务器VPS和独立服务器的区别是什么?
  • 5
    ECS使用体验 —— 元宇宙放映室构想 | vue | lingo3d | express | docker
  • 6
    阿里云ECS新T5的体验
  • 7
    linux复制文件到另一台服务器
  • 8
    基于ECS搭建GitLab服务
  • 9
    【Java学习笔记】TCP客户端/服务器端
  • 10
    构建企业服务之windows 2008 负载均衡服务器部署
  • 1
    ECS使用体验的文章
    49
  • 2
    `pytest-httpserver`是一个pytest插件,它允许你在测试期间启动一个轻量级的HTTP服务器,并模拟HTTP请求和响应。
    145
  • 3
    SSL(Secure Sockets Layer)是一种安全协议,用于在客户端和服务器之间建立加密的通信通道。
    212
  • 4
    我们将使用Python的内置库`http.server`来创建一个简单的Web服务器。虽然这个示例相对简单,但我们可以围绕它展开许多讨论,包括HTTP协议、网络编程、异常处理、多线程等。
    80
  • 5
    使用`http.server`模块搭建简单HTTP服务器
    62
  • 6
    高校学生在家实践ECS弹性云服务器
    44
  • 7
    流媒体服务器与视频服务器有什么区别?
    177
  • 8
    防火墙和堡垒服务器有什么区别?
    77
  • 9
    阿里云ecs使用体验
    59
  • 10
    服务器数据恢复—EMC存储raid5阵列故障导致存储瘫痪的数据恢复案例
    64

    • 相关课程

    更多
  • ECS上云入门三部曲
  • 服务器硬件基础
  • Linux Web服务器Nginx搭建与配置
  • 7天玩转云服务器
  • 云服务器选型、迁云最佳实践
  • 云服务器ECS基本操作

    • 相关电子书

    更多
  • 如何运维千台以上游戏云服务器
  • 网站/服务器取证 实践与挑战
  • ECS块储存产品全面解析

    • 相关实验场景

    更多
  • 使用ECS和RDS搭建个人博客
  • 利用云备份Cloud Backup实现ECS文件备份
  • 基于ECS搭建FTP服务
  • 基于ECS和NAS搭建个人网盘
  • 使用ECS和OSS搭建个人网盘
  • 基于ECS搭建云上博客
    • 下一篇
    无影云桌面