Autonomous Linux sichern
Autonomous Linux verwaltet, überwacht und kontrolliert den BS-Softwareinhalt von Instanzen und stellt so sicher, dass diese mit den neuesten Sicherheitspatches auf dem neuesten Stand sind. Befolgen Sie diese Best Practices zur Sicherheit, um Autonomous Linux zu sichern.
Zuständigkeiten
Erfahren Sie mehr über Ihre Zuständigkeiten im Bereich Sicherheit und Compliance, um Autonomous Linux sicher zu verwenden.
Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind sowohl Sie als auch Oracle verantwortlich.
Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:
- Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle Services in Oracle Cloud Infrastructure ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.
Ihre Sicherheitsberechtigungen sind auf dieser Seite beschrieben. Sie umfassen:
- Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.
- Patch: Halten Sie die Software mit den neuesten Sicherheitspatches auf dem neuesten Stand, um Schwachstellen zu vermeiden.
Erste Sicherheitsaufgaben
Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von Autonomous Linux in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.
| Aufgabe | Weitere Informationen |
|---|---|
| Mit IAM-Policys Benutzern Zugriffsberechtigungen erteilen | Autonomous Linux-Policys |
| Gruppen zur Kontrolle des Zugriffs auf den Service konfigurieren | Benutzergruppe |
| Fügen Sie dem Service nur die Softwarequellen hinzu, die Sie benötigen | Softwarequellen auswählen |
| Mit Profilen die an eine Instanz angehängten Softwarequellen steuern | Softwarequellen auswählen |
Routine-Sicherheitsaufgaben
Nachdem Sie die ersten Schritte mit Autonomous Linux ausgeführt haben, ermitteln Sie anhand dieser Checkliste, welche Sicherheitsaufgaben Sie regelmäßig ausführen sollten.
| Aufgabe | Weitere Informationen |
|---|---|
| Neueste Sicherheits-Patches einspielen | Software patchen |
| Sicherheitsupdates mit Ksplice einspielen | Software patchen |
| Nicht erforderliche Packages auf Instanzen entfernen | Entfernen nicht erforderlicher Pakete |
| Berichte zur Überprüfung der Sicherheitscompliance prüfen | Berichte prüfen |
IAM-Policys
Verwenden Sie Policys, um den Zugriff auf Autonomous Linux zu begrenzen.
Siehe Autonomous Linux-Policys.
Fügen Sie die folgenden Policys hinzu, um die Verwendung von Benachrichtigungen in Autonomous Linux zuzulassen.
So lassen Sie zu, dass der Autonomous Linux-Service Benachrichtigungen veröffentlicht:
Allow any-user to use ons-topics in tenancy where request.principal.type='alx-notification'- Policys auf Mandantenebene
-
So können Benutzer Benachrichtigungsthemen erstellen und verwenden:
allow group <user_group> to manage ons-topics in tenancy - Policys auf Compartment-Ebene (wenn sie nicht auf Mandantenebene verwendet werden)
-
Wenn der Mandantenadministrator das Festlegen von IAM-Policys auf Mandantenebene nicht zulässt, können Sie die Verwendung von autonomen Linux-Ressourcen auf ein Compartment und die zugehörigen untergeordneten Compartments einschränken (Policys verwenden Compartment-Vererbung).
So können Benutzer Benachrichtigungsthemen in einem Compartment im Mandanten erstellen und verwenden:
allow group <user_group> to manage ons-topics in compartment <compartment_name>
Softwarequellen auswählen
Fügen Sie dem Service nur die minimale Anzahl an erforderlichen Anbietersoftwarequellen hinzu. Wenn Sie benutzerdefinierte Softwarequellen erstellen, verwenden Sie Filter, oder geben Sie eine Packageliste an, um den für Instanzen verfügbaren Inhalt weiter zu reduzieren. Nehmen Sie nur die Packages auf, die zur Unterstützung Ihrer Workload erforderlich sind.
Wenn Sie ein Softwarequellenprofil erstellen, schließen Sie nur erforderliche Softwarequellen ein. Dadurch wird die Anzahl der für die Instanz verfügbaren Packages minimiert, wodurch der Footprint der Packageinstallation reduziert wird. Entsprechend beim Erstellen einer Gruppe
Wenn Sie Drittanbieter- oder private Quellen hinzufügen, verwenden Sie HTTPS-Protokoll für die Repository-URLs und GPG-Schlüssel, um den Inhalt bei der Installation zu validieren. Siehe Repository-URL und GPG-Schlüssel.
Software patchen
Vergewissern Sie sich, dass auf Ihren Managed Instances die neuesten Sicherheitsupdates ausgeführt werden.
Aktualisieren Sie die Instanzsoftware mit Sicherheitspatches. Es wird empfohlen, regelmäßig die neuesten verfügbaren Softwareupdates in Instanzen einzuspielen, die bei Autonomous Linux registriert sind. Verwenden Sie mehrere Aktualisierungsjobs, um Instanzen auf dem neuesten Stand zu halten.
- Aktualisierungsjobs erstellen
-
Um sicherzustellen, dass Instanzen regelmäßige Updates erhalten, können Sie einen Job zum Planen wiederkehrender Updates erstellen. Informationen hierzu finden Sie unter:
- Ksplice-Updates ausführen
-
Verwenden Sie Oracle Ksplice, um kritische Sicherheitspatches in Kernel auf Oracle Linux-Instanzen einzuspielen, ohne dass ein Neustart erforderlich sein muss. Ksplice aktualisiert auch die glibc- und OpenSSL-Benutzerbereichs-Librarys und spielt kritische Sicherheitspatches, ohne Workloads zu unterbrechen. Erstellen Sie einen wiederkehrenden Aktualisierungsjob, der Ksplice-Updates anwendet.
Entfernen nicht erforderlicher Pakete
Entfernen Sie unnötige Packages aus Instanzen, um den Installations-Footprint zu reduzieren und potenzielle Sicherheitsprobleme zu vermeiden.
Das Entfernen einer Softwarequelle entfernt nicht Pakete, die von der Softwarequelle installiert wurden. Beispiel: Sie wechseln von UEK R6 zu UEK R7. Sie fügen die Softwarequelle für UEK R7 hinzu und entfernen anschließend die Softwarequelle für UEK R6. Alle installierten UEK R6-Packages verbleiben auf dem System. Diese Pakete werden jedoch nicht mehr aktualisiert, da die Softwarequelle entfernt wurde. Daher werden sie möglicherweise in Sicherheitsscans angezeigt.
Informationen zum Entfernen von Packages finden Sie unter:
Berichte prüfen
Autonomous Linux generiert Berichte für Sicherheitsupdates, Bugupdates und Instanzaktivitäten. Prüfen Sie diese Berichte, um alle veralteten Instanzen zu ermitteln. Siehe Berichte anzeigen.