Directrices para imágenes
Al crear una lista de imágenes en Oracle Cloud Infrastructure Marketplace, asegúrese de que las imágenes que crea para la lista cumplen las directrices pertinentes.
Directrices obligatorias para imágenes de Linux
En la siguiente tabla, se muestran las directrices de imagen obligatorias y el código de error correspondiente. Se debe seguir cada directriz. Antes de publicar una imagen en Oracle Cloud Infrastructure Marketplace, cada imagen se valida en función de cada una de las siguientes directrices obligatorias.
| Código de Error | Descripción |
|---|---|
| S01 | Las claves de host SSH deben ser únicas para cada instancia. Utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub. Esto eliminará todas las claves de host SSH, de modo que se regeneren en el primer inicio. |
| S08 | Las imágenes deben ingerir una clave pública SSH proporcionada por un cliente como parte del proceso de inicio de la instancia. Asegúrese de que la imagen está activada para cloud-init. |
| S10 | Los archivos authorized_keys solo deben contener claves proporcionadas por el usuario cuando se inicia la instancia. Utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub. |
| S14 | El inicio de sesión del usuario root debe estar desactivado. Deben cumplirse al menos 1 de las 3 condiciones siguientes:
|
| S16 | Las imágenes no deben tener ningún usuario de nivel de sistema operativo configurado con una contraseña y NO DEBEN tener una contraseña vacía. |
| G01 | La imagen se debe iniciar para todas las unidades compatibles. Verifíquelo manualmente iniciando correctamente instancias para cada unidad compatible. |
| G03 | La imagen no debe tener direcciones MAC de codificación fija. Vacíe el archivo /etc/udev/rules.d/70-persistent-net.rules. |
| G05 | DHCP debe estar activado. Asegúrese de que esté configurado manualmente. Asegurarse de que puede utilizar SSH en una instancia de esta imagen confirma que DHCP está activado. |
| G08 | Asegúrese de que la imagen no utiliza el servicio de metadatos de instancia v1 (IMDSv1). Si la imagen utiliza puntos finales IMDSv1, Oracle recomienda desactivar IMDSv1 y actualizar a IMDSv2. Consulte Actualización al servicio de metadatos de instancia v2 en la documentación de Oracle Cloud Infrastructure. |
Directrices obligatorias para imágenes de Windows
| Código de Error | Descripción |
|---|---|
| W01 | Antes de crear una imagen de Windows personalizada, debe generalizar la instancia de Windows mediante Sysprep. Consulte Creating a Generalized Image. |
| W02 | La cuenta opc no se debe conservar al ejecutar la generalización de Sysprep. Consulte Creating a Generalized Image. |
| G08 | Asegúrese de que la imagen no utiliza el servicio de metadatos de instancia v1 (IMDSv1). Si la imagen utiliza puntos finales IMDSv1, Oracle recomienda desactivar IMDSv1 y actualizar a IMDSv2. Consulte Actualización al servicio de metadatos de instancia v2 en la documentación de Oracle Cloud Infrastructure. |
Directrices recomendadas para imágenes de Linux
Se recomiendan las siguientes directrices para las imágenes que se muestran en Oracle Cloud Infrastructure Marketplace. Cada directriz se considera una mejor práctica que debe seguirse si es posible.
| Código de Error | Descripción |
|---|---|
| S02 | El control de acceso obligatorio (MAC) debe estar activado. Consulte https://www.linux.com/news/securing-linux-mandatory-access-controls. |
| S03 | Se debe activar y configurar un firewall del sistema operativo (SO) para bloquear los puertos que no sean específicamente necesarios, como se indica en la documentación de la lista. |
| S04 | Se deben eliminar todos los datos confidenciales, como contraseñas y claves privadas. Este tipo de datos se puede encontrar a menudo en archivos log, código fuente o artefactos de compilación. Para eliminar dichos archivos, utilice la utilidad oci-image-cleanup proporcionada por el paquete oci-utils en GitHub. |
| S07 | Los paquetes cloud-init deben estar disponibles para su uso durante el inicio de la instancia. |
| S11 | Configure el servicio SSH para evitar el inicio de sesión basado en contraseña. Configure manualmente los siguientes valores:PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no |
| S15 | El software de imagen debe actualizarse como parte del proceso de empaquetado final. |
| S17 | Las contraseñas de la aplicación no deben estar codificadas. Las contraseñas se deben generar de forma única la primera vez que se inicie la instancia: |
| G02 | Las imágenes se deben ejecutar en modo paravirtualizado. Las imágenes se pueden ejecutar en modo nativo. Las imágenes no se deben ejecutar en modo emulado. |
| G04 | Se debe detener cualquier gestor de red. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html. |
| G06 | Las imágenes deben utilizar el servicio NTP proporcionado por Oracle Cloud Infrastructure. Consulte Configuración del servicio Oracle Cloud Infrastructure NTP para una instancia. |
| G07 | Las imágenes deben tener valores de timeout de iSCSI configurados para una conectividad de volumen de inicio adecuada. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html. |