本文汇总Alibaba Cloud Linux等保2.0三级版镜像的常见问题及解决方案。

使用Alibaba Cloud Linux等保2.0三级版镜像有什么优势?

  • 节省成本:目前Alibaba Cloud Linux等保2.0三级版镜像是完全免费提供使用的。
  • 节省人力:云安全中心提供基线检查策略,系统将自动判断实例是否达到了等保合规的要求。
  • 节省时间:您可以通过已完成等保加固的自定义镜像,批量创建ECS实例。具体操作,请参见使用等保镜像批量创建实例

Alibaba Cloud Linux等保2.0三级版镜像有哪些加固项?加固的内容是什么?

系统从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等5个方面,共计19个加固项进行加固。每一个加固项以及对应的具体说明,请参见Alibaba Cloud Linux等保2.0三级版镜像检查规则说明,其中,检查项即为对应的加固项。

在实例内进行业务操作是否会影响Alibaba Cloud Linux等保2.0三级版镜像的等保加固配置?

等保镜像只保证系统初始状态的安全,您后续使用时,在系统内的部分操作可能影响到等保加固的配置项。如果加固项出现问题,您可以通过云安全中心进行基线检查,然后根据检查结果自行修复问题。具体操作,请参见Alibaba Cloud Linux等保2.0三级版镜像基线检查策略配置

Alibaba Cloud Linux等保2.0三级版镜像是否对系统的性能有影响?

等保加固的配置项中,只有手动启动的auditd服务会对系统性能产生影响,其它配置项默认不会对系统性能造成影响。

我为什么不能通过云安全中心进行Alibaba Cloud Linux等保2.0三级版镜像的基线检查?

云安全中心仅企业版支持基线检查服务,如果您需要进行基线检查,请先将云安全中心的版本升级至企业版。具体操作,请参见升级与降配

Alibaba Cloud Linux等保2.0三级版镜像为什么不支持SSH密钥对的方式登录?

等保加固中的多数配置项均为对密码的检查(例如,对密码强度、密码重用次数、密码失效日期以及密码失败策略等配置项的扫描与加固),但没有对SSH密钥对进行检查与加固。为保证等保镜像的安全性,当您完成了等保加固配置后,系统将禁止root用户直接登录,其中包含root用户的密钥登录方式。

如何在Alibaba Cloud Linux等保2.0三级版镜像中配置Kdump?

Alibaba Cloud Linux等保2.0三级版镜像按照GB/T22239-2019信息安全技术网络安全等级保护基本要求进行等级保护加固,满足对应的检查项应遵循最小安装的原则,仅安装需要的组件和应用程序,因此默认卸载了Kdump等软件。更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像检查规则说明

如果您仍然想在等保2.0三级版镜像中配置Kdump,请参考以下步骤:
  1. 远程连接使用等保2.0三级版镜像的ECS实例。

    连接方式的更多信息,请参见连接方式概述

  2. 运行以下命令,安装kexec-tools工具。
    yum install -y kexec-tools
  3. 配置Kdump。

    具体操作,请参见如何在Alibaba Cloud Linux 2系统中配置Kdump

Alibaba Cloud Linux等保2.0三级版操作系统内用户的密码过期时间为多久?密码过期后如何登录实例?

Alibaba Cloud Linux等保2.0三级版操作系统内用户(包含普通用户admin、审计员用户audit、安全员用户security等)的密码有效期为90天。当您的用户密码过期后,使用SSH或VNC任一方式登录实例时,您需要根据系统提示重置用户的密码信息,并使用新密码重新登录实例。