Container Service for Kubernetes：ACK等保加固使用說明

檢查項類型

檢查項名稱

檢查內容

身份鑒別

應對登入的使用者進行身份標識和鑒別，身份標識具有唯一性，身份鑒別資訊具有複雜度要求並定期更換。

• 檢查是否存在空密碼賬戶。

• 身份標識（UID）具有唯一性。

• 設定密碼複雜度要求。

• 定期更換密碼。

• 設定密碼最短修改時間，防止非法使用者短期內更改多次。

• 限制密碼重用。

• 確保root是唯一的UID為0的賬戶。

當對伺服器進行遠端管理時，應採取必要措施，防止鑒別資訊在網路傳輸過程中被竊聽。

• 檢查SSHD是否強制使用V2安全性通訊協定。

• 禁止Telnet等不安全的遠端連線服務。

應具有登入失敗處理功能，應配置並啟用結束會話、限制非法登入次數和當登入連線逾時自動結束等相關措施。

檢測是否配置登入失敗鎖定策略，是否設定空閑會話斷開時間，以及啟用登入時間超期後斷開與用戶端的串連設定。

存取控制

應對登入的使用者指派賬戶和許可權。

• 除系統管理使用者之外，應該分配普通使用者、審計員、安全員賬戶。

• 確保使用者umask為027或更嚴格。

• 確保每個使用者的home目錄使用權限設定為750或者更嚴格。

應重新命名或刪除預設賬戶，修改預設賬戶的預設口令。

• Linux下root帳號不應刪除，檢查是否禁止SSH直接登入即可。

• root之外的系統預設賬戶、資料庫賬戶禁止登入（non-login）。

• 確保無弱密碼存在，對應的弱密碼基準檢測通過。

存取控制的粒度應達到主體為使用者級或進程級，客體為檔案、資料庫表級。

檢查重要檔案，如存取控制設定檔和使用者權限設定檔的許可權，是否達到使用者層級的粒度。

應及時刪除或停用多餘的、到期的賬戶，避免共用賬戶的存在。

• root之外的系統預設賬戶、資料庫賬戶禁止登入（non-login）。

• 鎖定或刪除shutdown、halt賬戶。

應授予系統管理使用者所需的最小許可權，實現系統管理使用者的許可權分離。

• 確保su命令的訪問受限制。

• 檢查/etc/sudoers配置sudo許可權的使用者，根據需要給root以外使用者配置sudo許可權，但除管理員外不能給所有使用者配置（ALL）許可權。

應由授權主體配置存取控制策略，存取控制策略規定主體對客體的訪問規則。

• 確保使用者home目錄使用權限設定為750或者更嚴格。

• 無主檔案或檔案夾的所有權，根據需要重設為系統上的某個活動使用者。

• 設定SSH主機公開金鑰檔案的許可權和所有權。

• 設定SSH主機私密金鑰檔案的許可權和所有權。

安全審計

應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等情況。

檢查auditd檔案大小、日誌拆分配置或者備份至Log Service器。若自動修複失敗，請先修複啟用安全審計功能檢查項。

審計記錄應包括事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊。

滿足啟用安全審計功能檢查項，即滿足此項。

應啟用安全審計功能，審計覆蓋到每個使用者，對重要的使用者行為和重要安全事件進行審計。

• 啟用auditd服務。

• 啟用rsyslog或syslog-ng服務。

• 確保收集使用者的檔案刪除事件。

• 確保收集對系統管理範圍（sudoers）的更改。

• 確保收集修改使用者或使用者組資訊的事件。如使用了第三方日誌收集服務，可自行舉證並忽略此項。

應保護審計進程，避免受到未預期的中斷。

auditd是審計進程audit的守護進程，syslogd是日誌進程syslog的守護進程，查看系統進程是否啟動。

入侵防範

應能發現可能存在的已知漏洞，並在經過充分測試評估後，及時修補漏洞。

Security Center的漏洞檢測和修複功能可以滿足。如果有其他方式，可自行舉證並忽略此項。

應遵循最小安裝的原則，僅安裝需要的組件和應用程式。

• Alibaba Cloud Linux 3：應卸載avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等軟體。

• Alibaba Cloud Linux 2：應卸載NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等軟體。

應關閉不需要的系統服務、預設共用和高危連接埠。

• 應關閉不需要的系統服務、檔案分享權限設定服務。

• 關閉21 、23、25、111、427、631等高危連接埠。

• 如果有特殊需求必須嚴格配置存取控制策略，需自行舉證並忽略此項。

應能夠檢測到對重要節點進行入侵的行為，並在發生嚴重入侵事件時提供警示。

Security Center入侵檢測和警示功能可以滿足。如果已有其他檢測與警示方式，可自行舉證並忽略此項。

應通過設定終端接入方式或網路位址範圍對通過網路進行管理的管理終端進行限制。

• Alibaba Cloud Linux 3：

  1. 根據實際配置登入伺服器的終端，編輯 /etc/ssh/sshd_config檔案。

  2. 根據實際情況設定參數AllowUsers <user>@<host>。

     說明

     <user>表示需要登入的伺服器使用者名稱，<host>表示伺服器的IP地址，請根據實際情況進行替換。

  3. 修改完成後按Esc鍵，輸入:wq後按下斷行符號鍵，儲存並退出。

  4. 執行sudo systemctl restart sshd命令重啟sshd服務。

• Alibaba Cloud Linux 2：

  • /etc/hosts.allow檔案指定允許串連到主機的IP地址，不應配置為ALL:ALL。

  • /etc/hosts.deny檔案指定禁止串連到主機的IP地址，應該配置為ALL:ALL，預設禁止所有串連。

  兩者需要配合使用，且必須先配置/etc/hosts.allow規則。若是已通過其他方式實現，例如網路安全性群組、防火牆等，可自行舉證並忽略此項。

惡意代碼防範

• Alibaba Cloud Linux 3：應採用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，並將其有效阻斷。

• Alibaba Cloud Linux 2：應安裝防惡意代碼軟體，並及時更新防惡意代碼軟體版本和惡意程式碼程式庫。

檢測是否安裝使用Security Center，如安裝了其他防惡意代碼軟體，可自行舉證並忽略此項。