Directrices para imágenes

Al crear una lista de imágenes en Oracle Cloud Infrastructure Marketplace, asegúrese de que las imágenes que crea para la lista cumplen las directrices pertinentes.

Directrices obligatorias para imágenes de Linux

En la siguiente tabla, se muestran las directrices de imagen obligatorias y el código de error correspondiente. Se debe seguir cada directriz. Antes de publicar una imagen en Oracle Cloud Infrastructure Marketplace, cada imagen se valida en función de cada una de las siguientes directrices obligatorias.

Código de Error Descripción
S01 Las claves de host SSH deben ser únicas para cada instancia. Utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub. Esto eliminará todas las claves de host SSH, de modo que se regeneren en el primer inicio.
S08 Las imágenes deben ingerir una clave pública SSH proporcionada por un cliente como parte del proceso de inicio de la instancia. Asegúrese de que la imagen está activada para cloud-init.
S10 Los archivos authorized_keys solo deben contener claves proporcionadas por el usuario cuando se inicia la instancia. Utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub.
S14 El inicio de sesión del usuario root debe estar desactivado. Deben cumplirse al menos 1 de las 3 condiciones siguientes:
  • El shell de inicio de sesión del usuario root se debe definir en /sbin/nologin.
  • La configuración del servicio SSH /etc/ssh/sshd_config no debe permitir el inicio de sesión root. Configure manualmente la siguiente configuración:
    PermitRootLogin no
  • Todas las entradas del archivo /root/.ssh/authorized_keys deben contener
    no-port-forwarding, no-agent-forwarding,
                            no-X11-forwarding.
    El usuario root no debe tener entradas utilizables en el archivo authorized_keys. Utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub.

    Por defecto, las instancias de Oracle Cloud Infrastructure que se inician desde imágenes activadas para cloud-init agregan las opciones de reenvío y utilizan la opción de comando del archivo authorized_keys para desactivar de forma efectiva cualquier clave SSH proporcionada por el usuario para el usuario raíz. El siguiente código es un ejemplo del archivo authorized_keys creado por Oracle Cloud Infrastructure con cloud-init:

    no-port-forwarding,
    no-agent-forwarding,
    no-X11-forwarding,
    command="echo 'Please login as the user \"opc\" rather than the user \"root\".';echo;sleep 10"
S16 Las imágenes no deben tener ningún usuario de nivel de sistema operativo configurado con una contraseña y NO DEBEN tener una contraseña vacía.
G01 La imagen se debe iniciar para todas las unidades compatibles. Verifíquelo manualmente iniciando correctamente instancias para cada unidad compatible.
G03 La imagen no debe tener direcciones MAC de codificación fija. Vacíe el archivo /etc/udev/rules.d/70-persistent-net.rules.
G05 DHCP debe estar activado. Asegúrese de que esté configurado manualmente. Asegurarse de que puede utilizar SSH en una instancia de esta imagen confirma que DHCP está activado.
G08 Asegúrese de que la imagen no utiliza el servicio de metadatos de instancia v1 (IMDSv1). Si la imagen utiliza puntos finales IMDSv1, Oracle recomienda desactivar IMDSv1 y actualizar a IMDSv2. Consulte Actualización al servicio de metadatos de instancia v2 en la documentación de Oracle Cloud Infrastructure.

Directrices obligatorias para imágenes de Windows

Código de Error Descripción
W01 Antes de crear una imagen de Windows personalizada, debe generalizar la instancia de Windows mediante Sysprep. Consulte Creating a Generalized Image.
W02 La cuenta opc no se debe conservar al ejecutar la generalización de Sysprep. Consulte Creating a Generalized Image.
G08 Asegúrese de que la imagen no utiliza el servicio de metadatos de instancia v1 (IMDSv1). Si la imagen utiliza puntos finales IMDSv1, Oracle recomienda desactivar IMDSv1 y actualizar a IMDSv2. Consulte Actualización al servicio de metadatos de instancia v2 en la documentación de Oracle Cloud Infrastructure.

Directrices recomendadas para imágenes de Linux

Se recomiendan las siguientes directrices para las imágenes que se muestran en Oracle Cloud Infrastructure Marketplace. Cada directriz se considera una mejor práctica que debe seguirse si es posible.

Código de Error Descripción
S02 El control de acceso obligatorio (MAC) debe estar activado. Consulte https://www.linux.com/news/securing-linux-mandatory-access-controls.
S03 Se debe activar y configurar un firewall del sistema operativo (SO) para bloquear los puertos que no sean específicamente necesarios, como se indica en la documentación de la lista.
S04 Se deben eliminar todos los datos confidenciales, como contraseñas y claves privadas. Este tipo de datos se puede encontrar a menudo en archivos log, código fuente o artefactos de compilación. Para eliminar dichos archivos, utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub.
S07 Los paquetes cloud-init deben estar disponibles para su uso durante el inicio de la instancia.
S11 Configure el servicio SSH para evitar el inicio de sesión basado en contraseña. Configure manualmente los siguientes valores:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
S15 El software de imagen debe actualizarse como parte del proceso de empaquetado final.
S17 Las contraseñas de la aplicación no deben estar codificadas. Las contraseñas se deben generar de forma única la primera vez que se inicie la instancia:
G02 Las imágenes se deben ejecutar en modo paravirtualizado. Las imágenes se pueden ejecutar en modo nativo. Las imágenes no se deben ejecutar en modo emulado.
G04 Se debe detener cualquier gestor de red. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html.
G06 Las imágenes deben utilizar el servicio NTP proporcionado por Oracle Cloud Infrastructure. Consulte Configuración del servicio Oracle Cloud Infrastructure NTP para una instancia.
G07 Las imágenes deben tener valores de timeout de iSCSI configurados para una conectividad de volumen de inicio adecuada. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html.