TencentOS 等保三级镜像是什么
TencentOS 等保2.0三级镜像是基于 TencentOS Server 3.3 /TencentOS Server 4 的标准镜像,按照国家颁布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求推出的镜像。系统从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面,共计40多项安全配置进行加固。具体加固项及说明,详见加固内容。
说明:
TencentOS 等保2.0三级镜像仅按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等配置进行默认加固。因规范内容较多,使用该镜像并不等同于,可以直接通过等保三级审查。
计费情况
加固内容
类型 | 名称 | 检查内容 | TencentOS 等保2.0三级镜像 |
身份鉴别 | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 | 确保 root 是唯一的 UID 为0的账户。 | 默认满足 |
| | 确保 UID/GID 是唯一的。 | 默认满足 |
| | 确保用户名/组名是唯一的。 | 默认满足 |
| | 确保设置密码满足复杂度要求。 | 默认满足 |
| | 确保限制重用历史密码的次数。 | 默认满足 |
| | 确保最短和最长更换密码时间。 | 默认满足 |
| 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 | 确保配置登录失败锁定策略。 | 默认满足 |
| | 确保设置空闲会话超时断开时间。 | 默认满足 |
| 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 | 禁止 Telnet 等不安全的远程连接服务。 | 默认满足 |
访问控制 | 应对登录的用户分配账户和权限。 | 确保管理员账号通过提权方式管理系统,避免直接通过 root 登录管理。 | 不满足。 注意: root 是唯一的系统管理员,禁掉后无法登录系统,需要禁用前创建其他用户 |
| | 确保账户 umask 为 027。 | 默认满足 |
| 应重命名或删除默认账户,修改默认账户的默认口令。 | 禁止 root 账户通过 SSH 直接登录,需要用户提前创建其他管理账号。 | 不满足 注意: root 是唯一的系统管理员,禁掉后无法登录系统,需要禁用前创建其他用户 |
| | 禁止无需登录的账号拥有登录能力。 | 默认满足。 |
| | 禁止 SSH 空密码登录。 | 默认满足 |
| | 确保密码通过弱密码字典检测。 | 默认满足 |
| 应授予管理用户所需的最小权限,实现管理用户的权限分离。 | 确保 su 命令继承用户环境变量不会引入提权。 | 默认满足 |
| | 确保管理用户通过 sudo 运行特权命令,检查/etc/sudoers 配置 sudo 权限的用户,除管理员外不能所有用户都配置(ALL)权限。 | 默认满足 |
| | 确保 su 命令受限使用,仅允许 wheel 组中的用户具有 su 的使用权限。 | 默认满足 |
| 应及时删除或停用多余的、过期的账户,避免共享账户的存在。 | 禁止存在不使用的账号。 | 默认满足 |
| | 正确设置临时账号有效期。 | 默认满足 |
| 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。 | 禁止存在无属主或属组的文件或目录,根据需要重置为系统上的某个活动用户或删除。 | 默认满足 |
| | 设置 SSH 主机公私钥文件的权限和所有权。 | 默认满足 |
| | 确保每个用户的 home 目录权限设置为755。 | 默认满足 |
| | 确保删除文件非必要的 SUID 和 SGID 位。 | 默认满足 |
安全审计 | 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 | 启用 auditd 服务。 | 默认满足 |
| | 启用 rsyslog 服务。 | 默认满足 |
| | 确保能够审计修改系统时间事件。 | 默认满足 |
| | 确保审计修改系统主机名、登录提示配置事件。 | 默认满足 |
| | 确保审计用户和用户组信息事件。 | 默认满足 |
| | 确保审计对系统 /etc/sudoers 的修改事件。 | 默认满足 |
| 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 只要审计打开,对应审计日志即可满足。 | 默认满足。 |
| 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 检查 auditd 日志大小、日志拆分、磁盘空间配置。 | 默认满足 |
| | 检查是否支持将日志备份到日志服务器 | 默认满足,需用户手动配置日志服务器地址 |
| | 确保 rsyslog 默认文件权限不超过640。 | 默认满足 |
| 应保护审计进程,避免受到未预期的中断 | 确保 auditd 审计守护进程正常运行。 | 默认满足 |
入侵防范 | 应遵循最小安装的原则,仅安装需要的组件和应用程序。 | 卸载不需要的软件包 | 默认满足 |
| 应关闭不需要的系统服务、默认共享和高危端口。 | 关闭不需要的高危端口 | 默认满足 |
| 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 | 配置 SSH 服务允许 IP 地址,需要根据实际部署情况进行配置 | 需用户根据业务,修改 /etc/ssh/sshd_config 配置文件 ListenAddress 字段后的 IP 地址,完成后重启服务,示例:
|
| 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | 及时检查漏洞并更新软件包 | |
| 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | 检测是否安装并使用入侵防范软件 | |
恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | 检测是否安装并使用恶意代码防范软件 | |