Documentazione di Oracle Cloud Infrastructure

Linee guida per le immagini

Quando crei un elenco di immagini in Oracle Cloud Infrastructure Marketplace, assicurati che le immagini create per l'elenco siano conformi alle linee guida pertinenti.

Linee guida obbligatorie per le immagini Linux

Nella tabella seguente sono elencate le linee guida obbligatorie per l'immagine e il codice di errore corrispondente. Ogni linea guida deve essere seguita. Prima che un'immagine venga pubblicata su Oracle Cloud Infrastructure Marketplace, ogni immagine viene convalidata in base a ciascuna delle seguenti linee guida obbligatorie.

Codice di errore descrizione;
S01 Le chiavi host SSH devono essere univoche per ogni istanza. Utilizzare la utility oci-image-cleanup fornita dal pacchetto oci-utils su GitHub. Questa operazione rimuoverà tutte le chiavi host SSH in modo che vengano rigenerate al primo boot.
S08 Le immagini devono includere una chiave pubblica SSH fornita da un cliente nell'ambito del processo di avvio dell'istanza. Assicurarsi che l'immagine sia abilitata cloud-init.
S10 Gli eventuali file authorized_keys devono contenere solo chiavi fornite dall'utente all'avvio dell'istanza. Utilizzare la utility oci-image-cleanup fornita dal pacchetto oci-utils su GitHub.
S14 È necessario disabilitare il login utente root. Devono essere soddisfatte almeno 1 delle seguenti 3 condizioni:
  • La shell di login dell'utente root deve essere impostata su /sbin/nologin.
  • La configurazione del servizio SSH /etc/ssh/sshd_config non deve consentire il login root. Configurare manualmente l'impostazione seguente:
    PermitRootLogin no
  • Tutte le voci nel file /root/.ssh/authorized_keys devono contenere 
    no-port-forwarding, no-agent-forwarding,
                        no-X11-forwarding.
    L'utente root non deve avere voci utilizzabili nel file authorized_keys. Utilizzare la utility oci-image-cleanup fornita dal pacchetto oci-utils su GitHub.

    Per impostazione predefinita, le istanze di Oracle Cloud Infrastructure avviate dalle immagini abilitate cloud-init aggiungono le opzioni di inoltro e utilizzano l'opzione di comando del file authorized_keys per disabilitare in modo efficace qualsiasi chiave SSH fornita dall'utente per l'utente root. Il codice riportato di seguito è un esempio del file authorized_keys creato da Oracle Cloud Infrastructure utilizzando cloud-init:

    no-port-forwarding,
no-agent-forwarding,
no-X11-forwarding,
command="echo 'Please login as the user \"opc\" rather than the user \"root\".';echo;sleep 10"
S16 Le immagini non devono avere utenti a livello di sistema operativo configurati con una password e NON DEVONO avere una password vuota.
G01 L'immagine deve essere avviata per tutte le forme compatibili. Verifica manuale avviando correttamente le istanze per ogni forma compatibile.
G03 L'immagine non deve avere indirizzi MAC non modificabili. Svuotare il file /etc/udev/rules.d/70-persistent-net.rules.
G05 DHCP deve essere abilitato. Assicurarsi che sia configurato manualmente. Assicurarsi di poter eseguire l'accesso SSH a un'istanza di questa immagine conferma che DHCP è abilitato.
G08 Assicurarsi che l'immagine non utilizzi il servizio metadati dell'istanza v1 (IMDSv1). Se l'immagine utilizza gli endpoint IMDSv1, Oracle consiglia di disabilitare IMDSv1 e di eseguire l'upgrade a IMDSv2. Vedere Upgrading to the Instance Metadata Service v2 nella documentazione di Oracle Cloud Infrastructure.

Linee guida obbligatorie per le immagini Windows

Codice di errore descrizione;
W01 Prima di creare un'immagine Windows personalizzata, è necessario generalizzare l'istanza Windows utilizzando Sysprep. Vedere Creazione di un'immagine generalizzata.
W02 L'account opc non deve essere conservato quando si esegue la generalizzazione di Sysprep. Vedere Creazione di un'immagine generalizzata.
G08 Assicurarsi che l'immagine non utilizzi il servizio metadati dell'istanza v1 (IMDSv1). Se l'immagine utilizza gli endpoint IMDSv1, Oracle consiglia di disabilitare IMDSv1 e di eseguire l'upgrade a IMDSv2. Vedere Upgrading to the Instance Metadata Service v2 nella documentazione di Oracle Cloud Infrastructure.

Linee guida consigliate per le immagini Linux

Le seguenti linee guida sono consigliate per le immagini elencate in Oracle Cloud Infrastructure Marketplace. Ogni linea guida è considerata una buona pratica che dovrebbe essere seguita, se possibile.

Codice di errore descrizione;
S02 Il controllo dell'accesso obbligatorio (MAC) deve essere abilitato. Vedere https://www.linux.com/news/securing-linux-mandatory-access-controls.
S03 Un firewall del sistema operativo deve essere abilitato e configurato in modo da bloccare qualsiasi porta non richiesta in modo specifico come indicato nella documentazione dell'elenco.
S04 È necessario rimuovere tutti i dati sensibili come le password e le chiavi private. Questo tipo di dati è spesso disponibile nei file di log, nel codice sorgente o negli artifact della build. Per rimuovere questi file, utilizzare la utility oci-image-cleanup fornita dal pacchetto oci-utils su GitHub.
S07 I pacchetti cloud-init devono essere disponibili per l'uso durante l'avvio dell'istanza.
S11 Configurare il servizio SSH per impedire il login basato su password. Configurare manualmente le impostazioni riportate di seguito.
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
S15 Il software di immagine deve essere aggiornato come parte del processo di confezionamento finale.
S17 Le password dell'applicazione non devono essere codificate. Qualsiasi password deve essere generata in modo univoco la prima volta che l'istanza viene avviata:
G02 Le immagini devono essere eseguite in modalità pseudo-virtualizzata. Le immagini possono essere eseguite in modalità nativa. Le immagini non devono essere eseguite in modalità emulata.
G04 I gestori di rete devono essere fermati. Vedere https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html.
G06 Le immagini devono utilizzare il servizio NTP fornito da Oracle Cloud Infrastructure. Vedere Configurazione del servizio Oracle Cloud Infrastructure NTP per un'istanza.
G07 Per le immagini devono essere impostati valori di timeout iSCSI per la connettività corretta del volume di avvio. Vedere https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html.