Richtlinien für Bilder
Wenn Sie eine Imageliste im Oracle Cloud Infrastructure Marketplace erstellen, stellen Sie sicher, dass die Images, die Sie für den Eintrag erstellen, den relevanten Richtlinien entsprechen.
Obligatorische Richtlinien für Linux-Images
In der folgenden Tabelle sind die erforderlichen Bildrichtlinien und der entsprechende Fehlercode aufgeführt. Jede Richtlinie muss befolgt werden. Bevor ein Image auf dem Oracle Cloud Infrastructure Marketplace veröffentlicht wird, wird jedes Image anhand der folgenden obligatorischen Richtlinien validiert.
Fehlercode | Beschreibung |
---|---|
S01 | SSH-Hostschlüssel müssen für jede Instanz eindeutig sein. Verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird. Dadurch werden alle SSH-Hostschlüssel entfernt, sodass sie beim ersten Booten neu generiert werden. |
S08 | Images müssen einen SSH-Public Key aufnehmen, der von einem Kunden im Rahmen des Instanzstartprozesses bereitgestellt wird. Stellen Sie sicher, dass das Image cloud-init aktiviert ist. |
S10 | Alle authorized_keys -Dateien dürfen nur Schlüssel enthalten, die vom Benutzer beim Starten der Instanz bereitgestellt werden. Verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird. |
S14 | Die Anmeldung beim Root-Benutzer muss deaktiviert sein. Mindestens 1 der folgenden 3 Bedingungen muss erfüllt sein:
|
S16 | Für Images dürfen keine Benutzer auf Betriebssystemebene mit einem Kennwort konfiguriert sein und dürfen kein leeres Kennwort haben. |
G01 | Das Image muss für alle kompatiblen Ausprägungen booten. Manuell prüfen, indem Instanzen für jede kompatible Ausprägung erfolgreich gestartet werden. |
G03 | Das Bild darf keine fest codierten MAC-Adressen aufweisen. Leeren Sie die Datei /etc/udev/rules.d/70-persistent-net.rules . |
G05 | DHCP muss aktiviert sein. Stellen Sie sicher, dass die Konfiguration manuell erfolgt. Wenn Sie sicherstellen, dass Sie eine SSH-Verbindung zu einer Instanz dieses Images herstellen können, wird bestätigt, dass DHCP aktiviert ist. |
G08 | Stellen Sie sicher, dass das Image den Instance Metadata Service v1 (IMDSv1) nicht verwendet. Wenn das Image IMDSv1-Endpunkte verwendet, empfiehlt Oracle, IMDSv1 zu deaktivieren und ein Upgrade auf IMDSv2 durchzuführen. Siehe Upgrade auf den Instance Metadata Service v2 in der Oracle Cloud Infrastructure-Dokumentation. |
Erforderliche Richtlinien für Windows-Images
Fehlercode | Beschreibung |
---|---|
W01 | Bevor Sie ein benutzerdefiniertes Windows-Image erstellen, müssen Sie die Windows-Instanz mit Sysprep verallgemeinern. Siehe Generalisierte Images erstellen. |
W02 | Das opc-Konto darf bei der Ausführung von Sysprep generalize nicht beibehalten werden. Siehe Generalisierte Images erstellen. |
G08 | Stellen Sie sicher, dass das Image den Instance Metadata Service v1 (IMDSv1) nicht verwendet. Wenn das Image IMDSv1-Endpunkte verwendet, empfiehlt Oracle, IMDSv1 zu deaktivieren und ein Upgrade auf IMDSv2 durchzuführen. Siehe Upgrade auf den Instance Metadata Service v2 in der Oracle Cloud Infrastructure-Dokumentation. |
Empfohlene Richtlinien für Linux-Images
Die folgenden Richtlinien werden für Images empfohlen, die im Oracle Cloud Infrastructure Marketplace aufgeführt werden. Jede Richtlinie gilt als Best Practice, die nach Möglichkeit befolgt werden sollte.
Fehlercode | Beschreibung |
---|---|
S02 | Obligatorische Zugriffskontrolle (MAC) muss aktiviert sein. Siehe https://www.linux.com/news/securing-linux-mandatory-access-controls. |
S03 | Eine Betriebssystemfirewall muss aktiviert und so konfiguriert sein, dass nicht speziell erforderliche Ports blockiert werden, wie in der Auflistungsdokumentation angegeben. |
S04 | Alle sensiblen Daten wie Passwörter und Private Keys sollten entfernt werden. Dieser Datentyp kann häufig in Logdateien, Quellcode oder Build-Artefakten gefunden werden. Um solche Dateien zu entfernen, verwenden Sie das Utility oci-image-cleanup, das vom Package oci-utils auf GitHub bereitgestellt wird. |
S07 | cloud-init -Packages müssen während des Instanzstarts verfügbar sein. |
S11 | Konfigurieren Sie den SSH-Service, um eine kennwortbasierte Anmeldung zu verhindern. Konfigurieren Sie die folgenden Einstellungen manuell:PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no |
S15 | Die Bildsoftware sollte im Rahmen des endgültigen Verpackungsprozesses aktualisiert werden. |
S17 | Anwendungskennwörter dürfen nicht hartcodiert sein. Alle Kennwörter müssen beim ersten Start der Instanz eindeutig generiert werden: |
G02 | Bilder sollten im paravirtualisierten Modus ausgeführt werden. Bilder können im nativen Modus ausgeführt werden. Bilder dürfen nicht im emulierten Modus ausgeführt werden. |
G04 | Netzwerkmanager sollten gestoppt werden. Siehe https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html. |
G06 | Images sollten den von Oracle Cloud Infrastructure bereitgestellten NTP-Service verwenden. Siehe Oracle Cloud Infrastructure NTP-Service für Instanzen konfigurieren. |
G07 | Für Images müssen iSCSI-Timeoutwerte für die ordnungsgemäße Boot-Volume-Konnektivität festgelegt sein. Siehe https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html. |