Diretrizes para Imagens
Ao criar uma lista de imagens no Oracle Cloud Infrastructure Marketplace, certifique-se de que as imagens criadas para a listagem estejam em conformidade com as diretrizes relevantes.
Diretrizes Obrigatórias para Imagens do Linux
A tabela a seguir lista as diretrizes de imagem obrigatórias e o código de erro correspondente. Cada diretriz deve ser seguida. Antes de uma imagem ser publicada no Oracle Cloud Infrastructure Marketplace, cada imagem é validada em relação a cada uma das diretrizes obrigatórias a seguir.
Código do Erro | Descrição: |
---|---|
S01 | As chaves de host SSH devem ser exclusivas de cada instância. Use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub. Isso removerá todas as chaves de host SSH, para que elas sejam geradas novamente na primeira inicialização. |
S08 | As imagens devem ingerir uma chave pública SSH fornecida por um cliente como parte do processo de inicialização da instância. Certifique-se de que a imagem esteja ativada para cloud-init . |
S10 | Qualquer arquivo authorized_keys só deve conter chaves fornecidas pelo usuário quando a instância for iniciada. Use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub. |
S14 | O log-in do usuário raiz deve ser desativado. Pelo menos 1 das 3 condições a seguir deve ser atendida:
|
S16 | As imagens não devem ter usuários no nível do sistema operacional configurados com uma senha e NÃO DEVEM ter uma senha vazia. |
G01 | A imagem deve ser inicializada para todas as formas compatíveis. Verifique manualmente iniciando instâncias com sucesso para cada forma compatível. |
G03 | A imagem não deve ter endereços MAC codificados. Esvazie o arquivo /etc/udev/rules.d/70-persistent-net.rules . |
G05 | O DHCP deve ser ativado. Verifique se ele está configurado manualmente. Garantir que você possa usar SSH em uma instância desta imagem confirma que o DHCP está ativado. |
G08 | Certifique-se de que a imagem não use o Serviço de Metadados da Instância v1 (IMDSv1). Se a imagem usar pontos finais IMDSv1, a Oracle recomenda que você desative IMDSv1 e faça upgrade para IMDSv2. Consulte Fazendo Upgrade para o Serviço de Metadados da Instância v2 na documentação do Oracle Cloud Infrastructure. |
Diretrizes Obrigatórias para Imagens do Windows
Código do Erro | Descrição |
---|---|
W01 | Antes de criar uma imagem do Windows personalizada, generalize a instância do Windows usando o Sysprep. Consulte Criando uma Imagem Generalizada. |
W02 | A conta opc não deve ser preservada ao executar a generalização do Sysprep. Consulte Criando uma Imagem Generalizada. |
G08 | Certifique-se de que a imagem não use o Serviço de Metadados da Instância v1 (IMDSv1). Se a imagem usar pontos finais IMDSv1, a Oracle recomenda que você desative IMDSv1 e faça upgrade para IMDSv2. Consulte Fazendo Upgrade para o Serviço de Metadados da Instância v2 na documentação do Oracle Cloud Infrastructure. |
Diretrizes Recomendadas para Imagens do Linux
As diretrizes a seguir são recomendadas para imagens listadas no Oracle Cloud Infrastructure Marketplace. Cada diretriz é considerada uma prática recomendada que deve ser seguida, se possível.
Código do Erro | Descrição |
---|---|
S02 | O Controle de Acesso Obrigatório (MAC) deve ser ativado. Consulte https://www.linux.com/news/securing-linux-mandatory-access-controls. |
S03 | Um Firewall de Sistema Operacional (OS) deve estar ativado e configurado para bloquear qualquer porta não especificamente necessária, conforme indicado na documentação de listagem. |
S04 | Todos os dados confidenciais, como senhas e chaves privadas, devem ser removidos. Esse tipo de dados geralmente pode ser encontrado em arquivos de log, código-fonte ou artefatos de build. Para remover esses arquivos, use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub. |
S07 | Os pacotes cloud-init devem estar disponíveis para uso durante a inicialização da instância. |
S11 | Configure o serviço SSH para impedir o log-in baseado em senha. Configure manualmente as seguintes definições:PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no |
S15 | O software de imagem deve ser atualizado como parte do processo de empacotamento final. |
S17 | As senhas do aplicativo não devem ser codificadas. Todas as senhas devem ser geradas exclusivamente na primeira vez que a instância for iniciada: |
G02 | As imagens devem ser executadas no modo paravirtualizado. As imagens podem ser executadas no modo nativo. As imagens não devem ser executadas no modo emulado. |
G04 | Qualquer gerenciador de rede deve ser interrompido. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html. |
G06 | As imagens devem utilizar o serviço NTP fornecido pelo Oracle Cloud Infrastructure. Consulte Configurando o Serviço Oracle Cloud Infrastructure NTP para uma Instância. |
G07 | As imagens devem ter valores de timeout de iSCSI definidos para conectividade adequada de volume de inicialização. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html. |