云服务器内容精选

  • 新版&旧版功能说明 目前 容器安全服务 已整合至 企业主机安全 控制台进行统一管理,优化了既有功能的能力,同时新增了部分新功能。 表1 新版&旧版CGS功能说明 功能项 CGS旧版(原CGS) CGS新版(HSS新版) 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常 √ √ 容器配置异常 √ √ 容器异常启动 √ √ 容器恶意程序 √ √ 高危系统调用 √ √ 敏感文件访问 √ √ 容器软件信息 √ √ 容器文件信息 √ √ 白名单管理 √ √ 容器策略管理 √ √
  • 升级Agent原理 在企业主机安全控制台单击升级Agent后,系统将自动按照先卸载Agent1.0,然后安装Agent2.0的顺序执行,无需人为操作。 升级时Agent在旧版控制台反馈的状态: 升级成功:已经升级成功,可切换至企业主机安全(新版)查看防护情况。 升级中:Agent正在升级。 升级失败:Agent升级失败。 升级时Agent在新版控制台反馈的状态: 未安装:目标主机在新版控制台还未进行Agent安装。 在线:Agent运行正常。 离线:Agent通信异常。
  • 失败常见原因 自动执行升级完成后,需要等待5~10分钟左右Agent才会自动刷新Agent状态。 Agent升级失败或超过等待时间仍不显示可能原因如下: DNS无法解析:Agent升级只能通过内网DNS解析,因此需要保证内网 DNS地址 的正确性。 10180端口被限制访问:Agent升级需要通过端口10180进行访问。 可用内存不足:Agent升级需要占用一定内存,主机剩余内存小于300M会影响正常升级。 无法正常获取metadata:Agent升级需要获取服务器的ID、名称、Region等信息。
  • 关闭操作 远程登录目标服务器。 华为云主机 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 非华为云主机 请使用远程管理工具(例如:PuTTY、Xshell等)连接您服务器的弹性IP,远程登录到您的服务器。 在命令窗口执行关闭命令。 临时关闭 在命令窗口执行以下命令临时关闭SELinux。 setenforce 0 在重启系统后将恢复开启状态。 永久关闭 在目录窗口执行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SELINUX=enforcing,按i进入编辑模式,将参数修改为SELINUX=disabled。 图1 编辑selinux状态 修改完成后,按下键盘Esc键,执行以下命令保存文件并退出。 :wq 执行永久关闭命令并保存退出后,执行以下命令立即重启服务器。 shutdown -r now 执行永久关闭的命令后不会立即生效,重启服务器后才会生效。 重启后运行以下命令,验证SELinux的状态为disabled,表明SELinux已关闭。 getenforce
  • 解决办法 登录集群任一节点目录。 创建hss-rbac.yaml文件,并将以下内容复制并保存至hss-rbac.yaml文件中。 {"metadata":{"namespace":"hss","name":"hssRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"Role","rules":[{"resources":["configmaps"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":[""]},{"resources":["daemonsets","deployments","deployments/rollback","replicasets"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["apps"]},{"resources":["cronjobs","jobs"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["batch"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["extensions"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["networking.k8s.io"]}]}{"metadata":{"namespace":"hss","name":"hssRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"RoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"Role","name":"hssRole"}}{"metadata":{"name":"hssClusterRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","rules":[{"resources":["namespaces","pods","nodes","services","endpoints","configmaps","events","persistentvolumeclaims","persistentvolumes","podtemplates","replicationcontrollers","serviceaccounts","pods/log"],"verbs":["get","list"],"apiGroups":[""]},{"resources":["pods/status"],"verbs":["update"],"apiGroups":[""]},{"resources":["daemonsets","deployments","replicasets","statefulsets"],"verbs":["get","list"],"apiGroups":["apps"]},{"resources":["horizontalpodautoscalers"],"verbs":["get","list"],"apiGroups":["autoscaling"]},{"resources":["cronjobs","jobs"],"verbs":["get","list"],"apiGroups":["batch"]},{"resources":["endpointslices"],"verbs":["get","list"],"apiGroups":["discovery.k8s.io"]},{"resources":["events"],"verbs":["get","list"],"apiGroups":["events.k8s.io"]},{"resources":["ingresses"],"verbs":["get","list"],"apiGroups":["extensions"]},{"resources":["ingressclasses","ingresses","networkpolicies"],"verbs":["create","delete","update","get","list"],"apiGroups":["networking.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["create","delete","deletecollection","patch","update","watch"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["get","list"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["storageclasses","volumeattachments"],"verbs":["get","list"],"apiGroups":["storage.k8s.io"]}]}{"metadata":{"name":"hssClusterRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"ClusterRole","name":"hssClusterRole"}} 执行以下命令,配置HSS所需的全量rbac权限 kubectl apply -f hss-rbac.yaml 登录HSS控制台,查看权限列表中“是否有权限”列均为“是”,表示权限恢复正常,问题解决。 详细操作请参考问题现象中查看权限列表的操作。 如果您一直停留在HSS权限列表页面,请在配置完成后刷新下页面。
  • 升级说明 整个升级Agent过程均为免费。 升级过程中不影响您在云服务器上业务的正常使用。 升级后将在新版console进行计费,旧版停止计费。 升级后需切换至企业主机安全(新版)查看云服务器防护状态,企业主机安全(旧版)将停止防护。 当前支持切换至企业主机安全的Region为华北-乌兰察布二零一、华北-乌兰察布二零二、西南-贵阳一、华南-深圳、华南-广州-友好用户环境、华东-上海一、华东-上海二、华北-北京一、华北-北京四。 切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。 升级后支持开启增强版勒索病毒防护。 升级后将提升Agent运行时的安全性、稳定性、可靠性。
  • 工作原理 在主机中安装Agent后,您的主机将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 各组件功能及工作流程说明如下: 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收Agent上报的主机信息,分析主机中存在的安全风险和异常信息,将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信,默认端口:10180。 每日凌晨定时执行检测任务,全量扫描主机;实时监测主机的安全状态;并将收集的主机信息(包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息)上报给云端防护中心。 根据您配置的安全策略,阻止攻击者对主机的攻击行为。 说明: 如果未安装Agent或Agent状态异常,您将无法使用企业主机安全。 Agent可安装在华为云弹性云服务器(Elastic Cloud Server,E CS )/裸金属服务器(Bare Metal Server,BMS)、线下IDC以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、 容器安全 与主机安全共用同一个Agent,您只需在同一主机安装一次。
  • CPU占用峰值 Agent运行时,CPU占用控制在1vCPU的20%以内。因此,实际占用比例与您购买的云服务器规格有关,详见不同规格主机Agent资源占用一览。 如果CPU占用比例超过1vCPU的20%,Agent会自动降CPU;自动降CPU后,Agent检测主机时间会延长,但不影响服务使用。如果CPU占用比例超过1vCPU的25%,Agent将自动重启。 Agent定时检测任务会基于使用地时间在每日00:00-04:00执行,全量扫描主机,不会影响主机系统的正常运行。 如果Agent正在执行病毒查杀任务,病毒查杀程序会额外占用部分CPU,占用最多不超过多核的30%。关于病毒查杀的详细介绍请参见病毒查杀。
  • 不同规格主机Agent资源占用一览 Agent运行时,不同规格的云服务器CPU、内存占用情况如表1所示。 表1 Agent资源占用一览 vCPUs规格 占用CPU资源比例(峰值) 执行病毒查杀时,占用CPU资源比例(峰值) 内存占用(峰值) 执行病毒查杀时,内存占用(均值) 1vCPUs 20% 50% 500MB 800MB 2vCPUs 10% 40% 500MB 800MB 4vCPUs 5% 35% 500MB 800MB 8vCPUs 2.5% 32.5% 500MB 800MB 12vCPUs 约1.67% 约31.67% 500MB 800MB 16vCPUs 约1.25% 约31.25% 500MB 800MB 24vCPUs 约0.84% 约30.84% 500MB 800MB 32vCPUs 约0.63% 约30.63% 500MB 800MB 48vCPUs 约0.42% 约30.42% 500MB 800MB 60vCPUs 约0.34% 约30.34% 500MB 800MB 64vCPUs 约0.32% 约30.32% 500MB 800MB
  • 内存占用峰值 Agent运行时,内存占用控制在500MB以内。如果Agent内存占用超过最大内存限制500MB,Agent会在5分钟内自动重启。 如果Agent正在执行病毒查杀任务,内存占用控制在均值800MB。关于病毒查杀的详细介绍请参见病毒查杀。 如果主机可用内存小于50MB,Agent会切换为“静默”状态。如果Agent内存占用超限重启,半小时达10次,Agent切换为“空载”状态;1小时达15次,Agent当天切换为“静默”状态。以下是状态说明: 空载状态:Agent所有防护功能关闭,可通过控制台执行升级、卸载操作。 静默状态:Agent所有防护功能关闭,不可通过控制台执行升级、卸载操作。 Agent后台状态可在Agent安装目录下的conf/framework.conf文件中查看“run_mode”字段。 如果需要将Agent恢复为正常状态,可按以下操作执行: 如果您开启了自保护策略,请先关闭自保护策略再执行以下操作。详细操作参考关闭自保护。 (可选)主机扩容。 主机可用内存小于50MB才需执行此操作。 修改Agent安装目录下的conf/framework.conf文件,将run_mode冒号后面的模式改为normal。 执行以下操作,删除记录重启次数的文件。 Linux:执行命令rm -f /usr/local/hostguard/run/restart.conf。 Windows:找到C:\Program Files\HostGuard\run\restart.conf并删除。 执行以下操作,重启Agent。 Linux:执行命令/etc/init.d/hostguard restart。 Windows: Agent为4.0.17及以下版本: 以管理员administrator权限登录主机。 打开“任务管理器”,选择“服务”页签。 选中Hostwatch,单击鼠标右键选择“停止”,等待状态改变为“已停止”后执行步骤4。 选择中Hostguard,单击鼠标右键选择“停止”。 选中Hostwatch,单击鼠标右键选择“开始”,完成重启。 启动Hostwatch后会自动拉起Hostguard。 Agent为4.0.18及以上版本: 以管理员administrator权限登录主机。 打开cmd命令提示符窗口,依次执行以下命令停止服务。 sc control hostwatch 198 sc control hostguard 198 如图 停止服务所示为正常现象,开启自保护的主机上不会生成sp_state.conf文件。 图1 停止服务 打开“任务管理器”,选择“服务”页签。 选中Hostwatch,单击鼠标右键选择“开始”,完成重启。 启动Hostwatch后会自动拉起Hostguard。
  • 暴力破解拦截原理 暴力破解是一种常见的入侵攻击行为,通过暴力破解或猜解主机密码,从而获得主机的控制权限,会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单,如果发现暴力破解主机的行为,HSS会对发起攻击的源IP进行拦截,默认拦截时间为12小时。如果被拦截的IP在默认拦截时间内没有再继续攻击,系统自动解除拦截。同时HSS支持双因子认证功能,双重认证用户身份,有效阻止攻击者对主机账号的破解行为。 您可以配置常用登录IP、配置SSH登录IP白名单,常用登录IP、SSH登录IP白名单中的IP登录行为不会被拦截。 使用鲲鹏计算EulerOS(EulerOS with Arm)的主机,在遭受SSH账户破解攻击时,HSS不会对攻击IP进行拦截,仅支持对攻击行为进行告警;SSH登录IP白名单功能也对其不生效。
  • 可检测的暴力破解攻击类型 HSS可检测到的暴力破解攻击类型如下: Windows系统 :SQL Server(暂不支持自动拦截) 、RDP Linux系统:MySQL、vfstpd、SSH 如果您的服务器上安装了MySQL、vfstpd或SSH,开启主机安全防护之后,Agent会在iptables中新增一些规则,用于暴力破解防护。当检测到暴破行为后会将暴破IP加入到阻断列表里面。 MySQL新增规则:IN_HIDS_MYSQLD_DENY_DROP vfstpd新增规则:IN_HIDS_VSFTPD_DENY_DROP SSH新增规则:如果主机上的SSH不支持TCP Wrapper的拦截方式,SSH会使用iptables进行拦截,因此会在Iiptables中新增IN_HIDS_SSHD_DENY_DROP规则;如果您配置了SSH登录白名单,则会在Iiptables中新增IN_HIDS_SSHD_DENY_DROP、IN_HIDS_SSHD_WHITE_LIST两条规则。 以MySQL为例,新增的规则如图 MySQL新增规则所示。 图1 MySQL新增规则
  • 什么是区域、可用区? 我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。
  • 如何选择区域? 选择区域时,您需要考虑以下几个因素: 地理位置 一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。不过,在基础设施、BGP网络品质、资源的操作与配置等方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可以不用考虑不同区域造成的网络时延问题。 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户,可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。
  • 防护的主机切换操作系统,HSS配额会发生变化吗? 不会变化。在切换主机操作系统前,请您先确认企业主机安全的Agent是否支持待切换的操作系统。不支持的操作系统,与Agent可能存在兼容性问题,建议您重装或者选择为Agent支持的操作系统版本,以便获得企业主机安全更好的服务体验。 企业主机安全的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 已停止服务的Linux系统版本或者Windows系统版本,与Agent可能存在兼容性问题,建议重装或者升级为Agent支持的操作系统版本,以便获得企业主机安全更好的服务体验。 表1 HSS对Windows操作系统的限制(x86架构) 操作系统版本 Agent支持情况 系统 漏洞扫描 支持情况 Windows 10(64位) √ 说明: 仅支持华为云 云桌面 使用该操作系统。 × Windows 11(64位) √ 说明: 仅支持华为云云桌面使用该操作系统。 × Windows Server 2012 R2 标准版 64位英文(40GB) √ √ Windows Server 2012 R2 标准版 64位简体中文(40GB) √ √ Windows Server 2012 R2 数据中心版 64位英文(40GB) √ √ Windows Server 2012 R2 数据中心版 64位简体中文(40GB) √ √ Windows Server 2016 标准版 64位英文(40GB) √ √ Windows Server 2016 标准版 64位简体中文(40GB) √ √ Windows Server 2016 数据中心版 64位英文(40GB) √ √ Windows Server 2016 数据中心版 64位简体中文(40GB) √ √ Windows Server 2019 数据中心版 64位英文(40GB) √ √ Windows Server 2019 数据中心版 64位简体中文(40GB) √ √ Windows Server 2022 数据中心版 64位英文(40GB) √ × Windows Server 2022 数据中心版 64位简体中文(40GB) √ × 表2 HSS对Linux操作系统的限制(x86架构) 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 CentOS 7.4(64位) √ √ CentOS 7.5(64位) √ √ CentOS 7.6(64位) √ √ CentOS 7.7(64位) √ √ CentOS 7.8(64位) √ √ CentOS 7.9(64位) √ √ CentOS 8.1(64位) √ × CentOS 8.2(64位) √ × CentOS 8(64位) √ × CentOS 9(64位) √ × Debian 9(64位) √ √ Debian 10(64位) √ √ Debian 11.0.0(64位) √ √ Debian 11.1.0(64位) √ √ Debian 12.0.0(64位) √ × EulerOS 2.2(64位) √ √ EulerOS 2.3(64位) √ √ EulerOS 2.5(64位) √ √ EulerOS 2.7(64位) √ × EulerOS 2.9(64位) √ √ EulerOS 2.10(64位) √ × EulerOS 2.12(64位) √ × Fedora 28(64位) √ × Fedora 31(64位) √ × Fedora 32(64位) √ × Fedora 33(64位) √ × Fedora 34(64位) √ × Ubuntu 16.04(64位) √ √ Ubuntu 18.04(64位) √ √ Ubuntu 20.04(64位) √ √ Ubuntu 22.04(64位) √ √ Ubuntu 24.04(64位) √ 说明: 暂不支持暴力破解检测。 × Red Hat 7.4(64位) √ × Red Hat 7.6(64位) √ × Red Hat 8.0(64位) √ × Red Hat 8.7(64位) √ × OpenEuler 20.03 LTS(64位) √ √ OpenEuler 20.03 LTS SP4(64位) √ × OpenEuler 22.03 LTS SP3(64位) √ × OpenEuler 22.03 LTS(64位) √ × OpenEuler 22.03 LTS SP4(64位) √ × AlmaLinux 8.4(64位) √ √ AlmaLinux 9.0(64位) √ × RockyLinux 8.4(64位) √ × RockyLinux 8.5(64位) √ × RockyLinux 9.0(64位) √ × HCE 1.1(64位) √ √ HCE 2.0(64位) √ √ SUSE 12 SP5(64位) √ √ SUSE 15(64位) √ × SUSE 15 SP1(64位) √ √ SUSE 15 SP2(64位) √ √ SUSE 15 SP3(64位) √ × SUSE 15.5(64位) √ × SUSE 15 SP6(64位) √ 说明: 暂不支持暴力破解检测。 × Kylin V10(64位) √ √ Kylin V10 SP3(64位) √ × 统信UOS 1050u2e √ 说明: 暂不支持文件逃逸检测。 √ 表3 HSS对Linux操作系统的限制(Arm架构) 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 CentOS 7.4(64位) √ √ CentOS 7.5(64位) √ √ CentOS 7.6(64位) √ √ CentOS 7.7(64位) √ √ CentOS 7.8(64位) √ √ CentOS 7.9(64位) √ √ CentOS 8.0(64位) √ × CentOS 8.1(64位) √ × CentOS 8.2(64位) √ × CentOS 9(64位) √ × EulerOS 2.8(64位) √ √ EulerOS 2.9(64位) √ √ Fedora 29(64位) √ × Ubuntu 18.04(64位) √ × Ubuntu 24.04(64位) √ 说明: 暂不支持暴力破解检测。 × Kylin V7(64位) √ × Kylin V10(64位) √ √ HCE 2.0(64位) √ √ 统信UOS V20(64位) √ √ 说明: 仅统信UOS V20服务器E版、D版支持系统漏洞扫描。 统信UOS V20 1060e(64位) √ √ 父主题: 防护配额