Richtlinien für Bilder

Wenn Sie eine Imageliste im Oracle Cloud Infrastructure Marketplace erstellen, stellen Sie sicher, dass die Images, die Sie für den Eintrag erstellen, den relevanten Richtlinien entsprechen.

Obligatorische Richtlinien für Linux-Images

In der folgenden Tabelle sind die erforderlichen Bildrichtlinien und der entsprechende Fehlercode aufgeführt. Jede Richtlinie muss befolgt werden. Bevor ein Image auf dem Oracle Cloud Infrastructure Marketplace veröffentlicht wird, wird jedes Image anhand der folgenden obligatorischen Richtlinien validiert.

Fehlercode Beschreibung
S01 SSH-Hostschlüssel müssen für jede Instanz eindeutig sein. Verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird. Dadurch werden alle SSH-Hostschlüssel entfernt, sodass sie beim ersten Booten neu generiert werden.
S08 Images müssen einen SSH-Public Key aufnehmen, der von einem Kunden im Rahmen des Instanzstartprozesses bereitgestellt wird. Stellen Sie sicher, dass das Image cloud-init aktiviert ist.
S10 Alle authorized_keys-Dateien dürfen nur Schlüssel enthalten, die vom Benutzer beim Starten der Instanz bereitgestellt werden. Verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird.
S14 Die Anmeldung beim Root-Benutzer muss deaktiviert sein. Mindestens 1 der folgenden 3 Bedingungen muss erfüllt sein:
  • Die Anmeldeshell des Root-Benutzers muss auf /sbin/nologin gesetzt sein.
  • Die SSH-Servicekonfiguration /etc/ssh/sshd_config darf keine Root-Anmeldung zulassen. Konfigurieren Sie die folgende Einstellung manuell:
    PermitRootLogin no
  • Alle Einträge in der Datei /root/.ssh/authorized_keys müssen Folgendes enthalten:
    no-port-forwarding, no-agent-forwarding,
                            no-X11-forwarding.
    Der Root-Benutzer darf keine verwendbaren Einträge in der Datei authorized_keys haben. Verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird.

    Standardmäßig fügen Oracle Cloud Infrastructure-Instanzen, die über cloud-init-fähige Images gestartet werden, die Weiterleitungsoptionen hinzu und verwenden die Befehlsoption der Datei authorized_keys, um einen vom Benutzer bereitgestellten SSH-Schlüssel für den Root-Benutzer effektiv zu deaktivieren. Der folgende Code ist ein Beispiel für die Datei authorized_keys, die von Oracle Cloud Infrastructure mit cloud-init: erstellt wurde

    no-port-forwarding,
    no-agent-forwarding,
    no-X11-forwarding,
    command="echo 'Please login as the user \"opc\" rather than the user \"root\".';echo;sleep 10"
S16 Für Images dürfen keine Benutzer auf Betriebssystemebene mit einem Kennwort konfiguriert sein und dürfen kein leeres Kennwort haben.
G01 Das Image muss für alle kompatiblen Ausprägungen booten. Manuell prüfen, indem Instanzen für jede kompatible Ausprägung erfolgreich gestartet werden.
G03 Das Bild darf keine fest codierten MAC-Adressen aufweisen. Leeren Sie die Datei /etc/udev/rules.d/70-persistent-net.rules.
G05 DHCP muss aktiviert sein. Stellen Sie sicher, dass die Konfiguration manuell erfolgt. Wenn Sie sicherstellen, dass Sie eine SSH-Verbindung zu einer Instanz dieses Images herstellen können, wird bestätigt, dass DHCP aktiviert ist.
G08 Stellen Sie sicher, dass das Image den Instance Metadata Service v1 (IMDSv1) nicht verwendet. Wenn das Image IMDSv1-Endpunkte verwendet, empfiehlt Oracle, IMDSv1 zu deaktivieren und ein Upgrade auf IMDSv2 durchzuführen. Siehe Upgrade auf den Instance Metadata Service v2 in der Oracle Cloud Infrastructure-Dokumentation.

Erforderliche Richtlinien für Windows-Images

Fehlercode Beschreibung
W01 Bevor Sie ein benutzerdefiniertes Windows-Image erstellen, müssen Sie die Windows-Instanz mit Sysprep verallgemeinern. Siehe Generalisierte Images erstellen.
W02 Das opc-Konto darf bei der Ausführung von Sysprep generalize nicht beibehalten werden. Siehe Generalisierte Images erstellen.
G08 Stellen Sie sicher, dass das Image den Instance Metadata Service v1 (IMDSv1) nicht verwendet. Wenn das Image IMDSv1-Endpunkte verwendet, empfiehlt Oracle, IMDSv1 zu deaktivieren und ein Upgrade auf IMDSv2 durchzuführen. Siehe Upgrade auf den Instance Metadata Service v2 in der Oracle Cloud Infrastructure-Dokumentation.

Empfohlene Richtlinien für Linux-Images

Die folgenden Richtlinien werden für Images empfohlen, die im Oracle Cloud Infrastructure Marketplace aufgeführt werden. Jede Richtlinie gilt als Best Practice, die nach Möglichkeit befolgt werden sollte.

Fehlercode Beschreibung
S02 Obligatorische Zugriffskontrolle (MAC) muss aktiviert sein. Siehe https://www.linux.com/news/securing-linux-mandatory-access-controls.
S03 Eine Betriebssystemfirewall muss aktiviert und so konfiguriert sein, dass nicht speziell erforderliche Ports blockiert werden, wie in der Auflistungsdokumentation angegeben.
S04 Alle sensiblen Daten wie Passwörter und Private Keys sollten entfernt werden. Dieser Datentyp kann häufig in Logdateien, Quellcode oder Build-Artefakten gefunden werden. Um solche Dateien zu entfernen, verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird.
S07 cloud-init-Packages müssen während des Instanzstarts verfügbar sein.
S11 Konfigurieren Sie den SSH-Service, um eine kennwortbasierte Anmeldung zu verhindern. Konfigurieren Sie die folgenden Einstellungen manuell:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
S15 Die Bildsoftware sollte im Rahmen des endgültigen Verpackungsprozesses aktualisiert werden.
S17 Anwendungskennwörter dürfen nicht hartcodiert sein. Alle Kennwörter müssen beim ersten Start der Instanz eindeutig generiert werden:
G02 Bilder sollten im paravirtualisierten Modus ausgeführt werden. Bilder können im nativen Modus ausgeführt werden. Bilder dürfen nicht im emulierten Modus ausgeführt werden.
G04 Netzwerkmanager sollten gestoppt werden. Siehe https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html.
G06 Images sollten den von Oracle Cloud Infrastructure bereitgestellten NTP-Service verwenden. Siehe Oracle Cloud Infrastructure NTP-Service für Instanzen konfigurieren.
G07 Für Images müssen iSCSI-Timeoutwerte für die ordnungsgemäße Boot-Volume-Konnektivität festgelegt sein. Siehe https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html.