Diretrizes para Imagens

Ao criar uma lista de imagens no Oracle Cloud Infrastructure Marketplace, certifique-se de que as imagens criadas para a listagem estejam em conformidade com as diretrizes relevantes.

Diretrizes Obrigatórias para Imagens do Linux

A tabela a seguir lista as diretrizes de imagem obrigatórias e o código de erro correspondente. Cada diretriz deve ser seguida. Antes de uma imagem ser publicada no Oracle Cloud Infrastructure Marketplace, cada imagem é validada em relação a cada uma das diretrizes obrigatórias a seguir.

Código do Erro Descrição:
S01 As chaves de host SSH devem ser exclusivas de cada instância. Use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub. Isso removerá todas as chaves de host SSH, para que elas sejam geradas novamente na primeira inicialização.
S08 As imagens devem ingerir uma chave pública SSH fornecida por um cliente como parte do processo de inicialização da instância. Certifique-se de que a imagem esteja ativada para cloud-init.
S10 Qualquer arquivo authorized_keys só deve conter chaves fornecidas pelo usuário quando a instância for iniciada. Use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub.
S14 O log-in do usuário raiz deve ser desativado. Pelo menos 1 das 3 condições a seguir deve ser atendida:
  • O shell de login do usuário raiz deve ser definido como /sbin/nologin.
  • A configuração de serviço SSH /etc/ssh/sshd_config não deve permitir log-in raiz. Configure manualmente a seguinte configuração:
    PermitRootLogin no
  • Todas as entradas no arquivo /root/.ssh/authorized_keys devem conter
    no-port-forwarding, no-agent-forwarding,
                            no-X11-forwarding.
    O usuário raiz não deve ter entradas utilizáveis no arquivo authorized_keys. Use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub.

    Por padrão, as instâncias do Oracle Cloud Infrastructure iniciadas de imagens ativadas pelo cloud-init adicionam as opções de encaminhamento e usam a opção de comando do arquivo authorized_keys para desativar efetivamente qualquer chave SSH fornecida pelo usuário para o usuário raiz. O código abaixo é uma amostra do arquivo authorized_keys criado pelo Oracle Cloud Infrastructure usando cloud-init:

    no-port-forwarding,
    no-agent-forwarding,
    no-X11-forwarding,
    command="echo 'Please login as the user \"opc\" rather than the user \"root\".';echo;sleep 10"
S16 As imagens não devem ter usuários no nível do sistema operacional configurados com uma senha e NÃO DEVEM ter uma senha vazia.
G01 A imagem deve ser inicializada para todas as formas compatíveis. Verifique manualmente iniciando instâncias com sucesso para cada forma compatível.
G03 A imagem não deve ter endereços MAC codificados. Esvazie o arquivo /etc/udev/rules.d/70-persistent-net.rules.
G05 O DHCP deve ser ativado. Verifique se ele está configurado manualmente. Garantir que você possa usar SSH em uma instância desta imagem confirma que o DHCP está ativado.
G08 Certifique-se de que a imagem não use o Serviço de Metadados da Instância v1 (IMDSv1). Se a imagem usar pontos finais IMDSv1, a Oracle recomenda que você desative IMDSv1 e faça upgrade para IMDSv2. Consulte Fazendo Upgrade para o Serviço de Metadados da Instância v2 na documentação do Oracle Cloud Infrastructure.

Diretrizes Obrigatórias para Imagens do Windows

Código do Erro Descrição
W01 Antes de criar uma imagem do Windows personalizada, generalize a instância do Windows usando o Sysprep. Consulte Criando uma Imagem Generalizada.
W02 A conta opc não deve ser preservada ao executar a generalização do Sysprep. Consulte Criando uma Imagem Generalizada.
G08 Certifique-se de que a imagem não use o Serviço de Metadados da Instância v1 (IMDSv1). Se a imagem usar pontos finais IMDSv1, a Oracle recomenda que você desative IMDSv1 e faça upgrade para IMDSv2. Consulte Fazendo Upgrade para o Serviço de Metadados da Instância v2 na documentação do Oracle Cloud Infrastructure.

Diretrizes Recomendadas para Imagens do Linux

As diretrizes a seguir são recomendadas para imagens listadas no Oracle Cloud Infrastructure Marketplace. Cada diretriz é considerada uma prática recomendada que deve ser seguida, se possível.

Código do Erro Descrição
S02 O Controle de Acesso Obrigatório (MAC) deve ser ativado. Consulte https://www.linux.com/news/securing-linux-mandatory-access-controls.
S03 Um Firewall de Sistema Operacional (OS) deve estar ativado e configurado para bloquear qualquer porta não especificamente necessária, conforme indicado na documentação de listagem.
S04 Todos os dados confidenciais, como senhas e chaves privadas, devem ser removidos. Esse tipo de dados geralmente pode ser encontrado em arquivos de log, código-fonte ou artefatos de build. Para remover esses arquivos, use o utilitário oci-image-cleanup fornecido pelo pacote oci-utils em GitHub.
S07 Os pacotes cloud-init devem estar disponíveis para uso durante a inicialização da instância.
S11 Configure o serviço SSH para impedir o log-in baseado em senha. Configure manualmente as seguintes definições:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
S15 O software de imagem deve ser atualizado como parte do processo de empacotamento final.
S17 As senhas do aplicativo não devem ser codificadas. Todas as senhas devem ser geradas exclusivamente na primeira vez que a instância for iniciada:
G02 As imagens devem ser executadas no modo paravirtualizado. As imagens podem ser executadas no modo nativo. As imagens não devem ser executadas no modo emulado.
G04 Qualquer gerenciador de rede deve ser interrompido. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Disabling_Network_Manager.html.
G06 As imagens devem utilizar o serviço NTP fornecido pelo Oracle Cloud Infrastructure. Consulte Configurando o Serviço Oracle Cloud Infrastructure NTP para uma Instância.
G07 As imagens devem ter valores de timeout de iSCSI definidos para conectividade adequada de volume de inicialização. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Online_Storage_Reconfiguration_Guide/iscsi-modifying-link-loss-behavior-root.html.