容器服务 Kubernetes 版 ACK：ACK等保加固使用说明

检查项类型

检查项名称

检查内容

身份鉴别

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

• 检查是否存在空密码账户。

• 身份标识（UID）具有唯一性。

• 设置密码复杂度要求。

• 定期更换密码。

• 设置密码最短修改时间，防止非法用户短期更改多次。

• 限制密码重用。

• 确保root是唯一的UID为0的账户。

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

• 检查SSHD是否强制使用V2安全协议。

• 禁止Telnet等不安全的远程连接服务。

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

检测是否配置登录失败锁定策略，是否设置空闲会话断开时间和启用登录时间过期后断开与客户端的连接设置。

访问控制

应对登录的用户分配账户和权限。

• 除系统管理用户之外，应该分配普通用户、审计员、安全员账户。

• 确保用户umask为027或更严格。

• 确保每个用户的home目录权限设置为750或者更严格。

应重命名或删除默认账户，修改默认账户的默认口令。

• Linux下root账号不应删除，检查是否禁止SSH直接登录即可。

• root之外的系统默认账户、数据库账户禁止登录（non-login）。

• 确保无弱密码存在，对应的弱密码基线检测通过。

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。

检查重要文件，如访问控制配置文件和用户权限配置文件的权限，是否达到用户级别的粒度。

应及时删除或停用多余的、过期的账户，避免共享账户的存在。

• root之外的系统默认账户、数据库账户禁止登录（non-login）。

• 锁定或删除shutdown、halt账户。

应授予管理用户所需的最小权限，实现管理用户的权限分离。

• 确保su命令的访问受限制。

• 检查/etc/sudoers配置sudo权限的用户，根据需要给root以外用户配置sudo权限，但除管理员外不能所有用户都配置（ALL）权限。

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

• 确保用户home目录权限设置为750或者更严格。

• 无主文件或文件夹的所有权，根据需要重置为系统上的某个活动用户。

• 设置SSH主机公钥文件的权限和所有权。

• 设置SSH主机私钥文件的权限和所有权。

安全审计

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

检查auditd文件大小、日志拆分配置或者备份至日志服务器。若自动修复失败，请先修复启用安全审计功能检查项。

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

满足启用安全审计功能检查项，即满足此项。

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

• 启用auditd服务。

• 启用rsyslog或syslog-ng服务。

• 确保收集用户的文件删除事件。

• 确保收集对系统管理范围（sudoers）的更改。

• 确保收集修改用户或用户组信息的事件。如使用了第三方日志收集服务，可自行举证并忽略此项。

应保护审计进程，避免受到未预期的中断。

auditd是审计进程audit的守护进程，syslogd是日志进程syslog的守护进程，查看系统进程是否启动。

入侵防范

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

云安全中心的漏洞检测和修复功能可以满足。如果有其他方式，可自行举证并忽略此项。

应遵循最小安装的原则，仅安装需要的组件和应用程序。

• Alibaba Cloud Linux 3：应卸载avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。

• Alibaba Cloud Linux 2：应卸载NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等软件。

应关闭不需要的系统服务、默认共享和高危端口。

• 应关闭不需要的系统服务、文件共享服务。

• 关闭21 、23、25、111、427、631等高危端口。

• 如果有特殊需求必须严格配置访问控制策略，需自行举证并忽略此项。

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

云安全中心入侵检测和告警功能可以满足。如果已有其他检测与告警方式，可自行举证并忽略此项。

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

• Alibaba Cloud Linux 3：

  1. 根据实际配置登录服务器的终端，编辑 /etc/ssh/sshd_config文件。

  2. 根据实际情况设置参数AllowUsers <user>@<host>。

     说明

     <user>表示需要登录的服务器用户名，<host>表示服务器的IP地址，请根据实际情况进行替换。

  3. 修改完成后按Esc键，并输入:wq后按下回车键，保存并退出。

  4. 执行sudo systemctl restart sshd命令重启sshd服务。

• Alibaba Cloud Linux 2：

  • /etc/hosts.allow文件指定允许连接到主机的IP地址，不应配置为ALL:ALL。

  • /etc/hosts.deny文件指定禁止连接到主机的IP地址，应该配置为ALL:ALL，默认禁止所有连接。

  两者需要配合使用，且必须先配置/etc/hosts.allow规则。若是已通过其他方式实现，例如网络安全组、防火墙等，可自行举证并忽略此项。

恶意代码防范

• Alibaba Cloud Linux 3：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

• Alibaba Cloud Linux 2：应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

检测是否安装使用云安全中心，如安装了其他防恶意代码软件，可自行举证并忽略此项。