Directives pour les images
Lorsque vous créez une liste d'images dans Oracle Cloud Infrastructure Marketplace, assurez-vous que les images que vous créez pour la liste sont conformes aux directives pertinentes.
Directives obligatoires pour les images Linux
Le tableau suivant répertorie les directives d'image obligatoires et le code d'erreur correspondant. Chaque ligne directrice doit être respectée. Avant la publication d'une image sur Oracle Cloud Infrastructure Marketplace, chaque image est validée selon chacune des directives obligatoires suivantes.
| Code d'erreur | Description |
|---|---|
| S01 | Les clés d'hôte SSH doivent être uniques à chaque instance. Utilisez l'utilitaire oci-image-cleanup fourni par l'ensemble oci-utils sur GitHub. Toutes les clés d'hôte SSH seront supprimées afin qu'elles soient régénérées au premier démarrage. |
| S08 | Les images doivent ingérer une clé publique SSH fournie par un client dans le cadre du processus de lancement de l'instance. Assurez-vous que l'image est activée pour cloud-init. |
| S10 | Les fichiers authorized_keys ne doivent contenir que des clés fournies par l'utilisateur lors du lancement de l'instance. Utilisez l'utilitaire oci-image-cleanup fourni par l'ensemble oci-utils sur GitHub. |
| S14 | La connexion de l'utilisateur racine doit être désactivée. Au moins 1 des 3 conditions suivantes doit être remplie :
|
| S16 | Les images ne doivent pas avoir d'utilisateurs au niveau du système d'exploitation configurés avec un mot de passe et NE DOIVENT PAS avoir un mot de passe vide. |
| G01 | L'image doit démarrer pour toutes les formes compatibles. Vérifiez manuellement en lançant les instances pour chaque forme compatible. |
| G03 | L'image ne doit pas avoir d'adresses MAC codées en dur. Videz le fichier /etc/udev/rules.d/70-persistent-net.rules. |
| G05 | DHCP doit être activé. Assurez-vous qu'il est configuré manuellement. S'assurer que vous pouvez utiliser SSH dans une instance de cette image confirme que DHCP est activé. |
| G08 | Assurez-vous que l'image n'utilise pas le service de métadonnées d'instance v1 (IMDSv1). Si l'image utilise des points d'extrémité IMDSv1, Oracle recommande de désactiver IMDSv1 et de procéder à la mise à niveau vers IMDSv2. Voir Mise à niveau vers le service de métadonnées d'instance v2 dans la documentation sur Oracle Cloud Infrastructure. |
Directives obligatoires pour les images Windows
| Code d'erreur | Description |
|---|---|
| W01 | Avant de créer une image Windows personnalisée, vous devez généraliser l'instance Windows à l'aide de Sysprep. Voir Création d'une image généralisée. |
| W02 | Le compte opc ne doit pas être conservé lors de l'exécution de la généralisation de Sysprep. Voir Création d'une image généralisée. |
| G08 | Assurez-vous que l'image n'utilise pas le service de métadonnées d'instance v1 (IMDSv1). Si l'image utilise des points d'extrémité IMDSv1, Oracle recommande de désactiver IMDSv1 et de procéder à la mise à niveau vers IMDSv2. Voir Mise à niveau vers le service de métadonnées d'instance v2 dans la documentation sur Oracle Cloud Infrastructure. |
Directives recommandées pour les images Linux
Les directives suivantes sont recommandées pour les images répertoriées dans Oracle Cloud Infrastructure Marketplace. Chaque ligne directrice est considérée comme une bonne pratique à suivre si possible.
| Code d'erreur | Description |
|---|---|
| S02 | Le contrôle d'accès obligatoire (MAC) doit être activé. Voir https://www.linux.com/news/securing-linux-mandatory-access-controls. |
| S03 | Un pare-feu de système d'exploitation doit être activé et configuré pour bloquer les ports qui ne sont pas spécifiquement requis, comme indiqué dans la documentation de fiche descriptive. |
| S04 | Toutes les données sensibles telles que les mots de passe et les clés privées doivent être supprimées. Ce type de données se trouve souvent dans les fichiers journaux, le code source ou les artefacts de compilation. Pour supprimer de tels fichiers, utilisez l'utilitaire oci-image-cleanup fourni par l'ensemble oci-utils sur GitHub. |
| S07 | Les ensembles cloud-init doivent être disponibles pour utilisation lors du lancement de l'instance. |
| S11 | Configurez le service SSH pour empêcher la connexion basée sur un mot de passe. Configurez manuellement les paramètres suivants :PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no |
| S15 | Le logiciel d'image doit être mis à jour dans le cadre du processus d'emballage final. |
| S17 | Les mots de passe d'application ne doivent pas être codés de façon permanente. Tout mot de passe doit être généré de manière unique lors du premier lancement de l'instance : |
| G02 | Les images doivent s'exécuter en mode paravirtualisé. Les images peuvent s'exécuter en mode natif. Les images ne doivent pas être exécutées en mode émulé. |
| G04 | Tout gestionnaire de réseau doit être arrêté. Voir https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html. |
| G06 | Les images doivent utiliser le service NTP fourni par Oracle Cloud Infrastructure. Voir Configuration du service Oracle Cloud Infrastructure NTP pour une instance. |
| G07 | Les images doivent avoir des valeurs de temporisation iSCSI définies pour une connectivité de volume de démarrage appropriée. Voir https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html. |