云服务器内容精选

  • 预防措施 在 企业主机安全 已有的防护能力基础之上,可以从安全产品、应用、网络防护层面出发,做到全方位预防暴力破解。 安全产品层面 开启 云堡垒机 可对主机资源、应用服务器进行统一纳管,提供登录认证、资源管理、会话审计等功能。云 堡垒机 功能特性详情请参见功能特性。快速使用详情请参见快速入门。 开启云堡垒机后,入侵、破解将优先被云堡垒机监测拦截告警,与HSS形成双重防护。 应用层面 使用SSH KEY登录 为主机资源、应用服务器开启SSH KEY密钥登录,在每次登录时要求公钥和私钥必须相匹配才可登录成功。创建密钥对详情请参见创建密钥对。 开启双因子认证 双因子认证功能是一种双因素身份验证机制,结合短信/邮箱、登录验证码,对云服务器登录行为进行二次身份认证。 在“双因子认证”页面,勾选需要开启双因子的主机,单击“开启双因子认证”,开启双因子认证。详细操作请参见双因子认证。 网络层面 配置SSH登录白名单 SSH登录白名单功能是防护帐户破解的一个重要方式,配置后,在开启密钥登录的基础之上只允许白名单内的IP登录到服务器,拒绝白名单以外的IP。详细操作请参见配置SSH登录IP白名单。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。详细操作请参见怎样修改远程登录的端口?。 设置安全组规则,限制攻击源IP访问您的服务端口 建议设置对外开放的远程管理端口(如SSH、远程桌面登录),只允许固定的来源IP进行连接。 账户破解防护可实时检测攻击者对主机中帐户的暴力破解攻击,拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。 如果是远程登录端口,您可以只允许特定的IP地址远程登录到弹性云服务器。 例:仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云服务器的22端口,安全组规则如下所示: 表1 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH(22) 22 例如:192.168.20.2/32 设置安全强度高的口令 口令复杂度策略检测和弱口令检测可检测出主机系统中使用弱口令的帐户,您可以在控制台查看并处理主机中的口令风险。 口令的设置方法请参见如何设置安全的口令复杂度策略、如何设置安全的口令。
  • 告警通知项说明 通知项 通知内容 通知内容说明 每日告警通知 每日凌晨检测主机中的风险,汇总并统计检测结果后,将检测结果于每日上午10:00发送给你添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。 漏洞管理 紧急漏洞 检测系统中的紧急漏洞,通知用户尽快修复,防止攻击者利用该漏洞会对主机造成较大的破坏。 入侵检测 帐户破解防护 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内,帐户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。 关键文件变更 对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。 恶意程序 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。 网站后门 检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。 基线检查 弱口令 检测MySQL、FTP及系统帐号的弱口令。 风险帐号 检测系统中的可疑帐号、主机中无用的帐号,防止未授权的访问权限和使用操作。 配置风险 检测系统中的关键应用,如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。 帐户登录 异地登录 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施。 若在非常用登录地登录,则触发安全事件告警。 实时告警通知 事件发生时,及时发送告警通知。 入侵检测 帐户异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。 恶意程序 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。 关键文件变更 对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。 网站后门 检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。 帐户登录 登录成功通知 如果在“实时告警通知”项目中勾选了“登录成功通知”选项,则任何帐户登录成功的事件都会向您实时发送告警信息。 如果您所有主机上的帐户都由个别管理员负责管理,通过该功能可以对系统帐户进行严格的监控。 如果系统帐户由多人管理,或者不同主机由不同管理员负责管理,那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰,此时建议您登录企业主机安全服务控制台关闭该告警项。 说明: 登录成功并不代表发生了攻击,需要您确认登录IP是否是已知的合法IP。
  • 操作步骤 使用具有“管理员”权限的帐号(例如,administrator)登录Windows弹性云服务器。 在浏览器地址栏输入Agent安装包地址,下载并解压缩安装包。 运行“CMD命令提示符”,找到安装包所在路径。 执行.\hostguard_setup.exe /silent命令,完成安装Agent。 安装Agent成功后,建议删除Agent的安装包。 安装成功后,需要等待5~10分钟左右Agent才会自动刷新Agent状态。
  • 版本推荐说明 HSS提供基础版、企业版、旗舰版和网页防篡改版四种服务版本,各版本适用场景如表1所示,详细的服务版本功能差异,请参见服务版本差异。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机,导致企业内网整体沦陷,建议您的云上主机全部署主机安全服务。 购买企业版选择“按需计费”模式时,当E CS 关机后,企业主机安全将停止计费。 表1 版本推荐说明 版本 计费模式 推荐场景 基础版 按需计费 自开启基础版按需防护开始30个自然日内可 免费体验 使用基础版按需版防护,每台主机均可享受一次免费体验机会。 在购买ECS或者HECS时您可选择开启赠送的主机安全“基础版”,开启后可免费体验30天的主机安全“基础版”防护。 包年/包月 基础版包年/包月无试用期,若有使用需求您需要购买基础版包年/包月版本。 无数量限制,只支持部分功能的检测能力,不支持防护能力,不支持等保认证。 用于测试、个人用户防护主机帐户安全。 购买ECS/HECS时,可选择开启免费体验基础版(按需)。 基础版仅提供基线检查和入侵检测的部分功能,呈现一定云上资产安全风险总览。 说明: 包周期的基础版到期后,系统将会自动释放目标主机的防护状态,若需继续防护,您需要进行购买目标版本才可继续防护。 选择“包年/包月”时,若出现配额不足的提示,你需要进行购买,购买后开启防护即可。 企业版 按需计费 包年/包月 需要满足等保合规基本要求(例如:病毒木马查杀、漏洞一键修复、入侵检测)的主机。 旗舰版 包年/包月 对主机有高安全要求的用户(例如:应对护网行动、业务重要),推荐使用旗舰版或者网页防篡改版。 若预算有限,您可以将“旗舰版”或者“网页防篡改版”部署在关键或者高风险主机上,例如:对外暴露EIP的主机、保存关键资产的应用主机、以及数据库主机等。 网页防篡改版 包年/包月 有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,主要部署在网站或者应用的主机上,推荐使用网页防篡改版。 购买网页防篡改,即赠送旗舰版。
  • 约束条件 Linux操作系统 使用鲲鹏计算EulerOS(EulerOS with ARM)的主机,在遭受SSH帐户破解攻击时,HSS不会对攻击IP进行拦截,仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时,需要授权开启Windows防火墙,且使用企业主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙,HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙,也可能导致HSS不能拦截帐户暴力破解的攻击源IP。
  • 后续操作 如果您需要检测更多的项目,请根据服务各版本支持的功能手动配置检测项,如图9所示。 版本之间的功能差异请参见服务版本差异。 图9 手动配置的检测项 表1 手动配置检测项 功能 检测项 相关链接 安全配置 常用登录地/IP SSH登录IP白名单 开启恶意程序隔离查杀 安全配置 入侵检测 配置告警白名单 配置登录白名单 入侵检测 高级防御 程序运行认证 文件完整性管理 勒索病毒防护 高级防御 安全运营 安全报告 自定义策略管理 安全运营
  • 使用安装包安装(仅华为云主机支持) 下载企业主机安全服务的Agent软件,上传至待安装Agent的云主机后,在云主机中使用安装命令安装Agent。 登录管理控制台。 在左侧导航栏中,选择“安装与配置”,进入“安装Agent”界面,下载Agent安装包。 图3 下载Agent安装包 在弹出的对话框中,根据待安装Agent的云服务器操作系统版本,下载所需安装的Agent。 使用文件传输工具(例如:“Xftp”、“SecureFX”、“WinSCP”),将下载的Agent安装包上传至云主机。 远程登录待安装Agent的主机。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 若您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:“Xftp”、“SecureFX”、“WinSCP”)登录主机,并使用root帐号在主机中安装Agent。 使用cd 安装包所在目录命令,进入安装包所在目录。 使用如下命令,在云主机中安装Agent。 安装“.rpm”格式的安装包,请执行命令:rpm -ivh 安装包名称。 强制安装请执行命令:rpm -ivh --force 安装包名称 安装“.deb”格式的安装包,请执行命令:dpkg -i 安装包名称。 若界面回显信息与如下信息类似,则表示Agent安装成功。 Preparing... ########################## [100%]1:hostguard ########################## [100%]Hostguard is running.Hostguard installed. 使用service hostguard status命令,查看Agent的运行状态。 若界面回显如下信息,则表示Agent服务运行正常。 Hostguard is running 安装成功后,Agent不会立即生效,需要等待3~5分钟左右控制台才会刷新。
  • 约束与限制 华为云主机 主机与HSS必须在同一区域,并使用配额所在区域的安装命令或安装包为主机安装Agent,否则会导致HSS Agent安装失败。若主机与HSS配额不在同一区域,请退订重新购买主机所在区域的配额。 非华为云主机 当前仅“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”可接入非华为云的主机,请在以上区域内购买防护配额,并使用以上区域内的安装包或安装命令为主机安装Agent。 非华为云主机需要能通过公网IP访问华为云,才能接入HSS。安装Agent后,在防护列表中,您可以根据主机的IP地址查找该主机。 由于主机的性能差异,非华为云的主机与企业主机安全服务的兼容性可能较差,为使您获得良好的服务体验,建议您使用华为云主机。 安装Agent时,请暂时清理主机中可能干扰主机安装的应用进程和配置信息(例,McAfee软件、360安全卫士、腾讯管家等第三方安全防护软件),防止Agent安装失败。
  • 约束与限制 华为云主机 主机与HSS必须在同一区域,并使用配额所在区域的安装命令或安装包为主机安装Agent,否则会导致HSS Agent安装失败。若主机与HSS配额不在同一区域,请退订重新购买主机所在区域的配额。 非华为云主机 当前仅“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”可接入非华为云的主机,请在以上区域内购买防护配额,并使用以上区域内的安装包或安装命令为主机安装Agent。 非华为云主机需要能通过公网IP访问华为云,才能接入HSS。安装Agent后,在防护列表中,您可以根据主机的IP地址查找该主机。 由于主机的性能差异,非华为云的主机与企业主机安全服务的兼容性可能较差,为使您获得良好的服务体验,建议您使用华为云主机。 安装Agent时,请暂时清理主机中可能干扰主机安装的应用进程和配置信息(例,McAfee软件、360安全卫士、腾讯管家等第三方安全防护软件),防止Agent安装失败。
  • 网页防篡改原理 表1 网页防篡改原理 防护类型 原理说明 静态网页防护 锁定本地文件目录 驱动级锁定Web文件目录下的文件,禁止攻击者修改,网站管理员可通过特权进程进行更新网站内容。 主动备份恢复 若检测到防护目录下的文件被篡改时,将立即使用本地主机备份文件自动恢复被非法篡改的文件。 远端备份恢复 若本地主机上的文件目录和备份目录失效,还可通过远端备份服务恢复被篡改的网页。 动态网页防护 基于RASP过滤恶意行为 采用华为自研RASP检测应用程序行为,有效阻断攻击者通过应用程序篡改网页内容的行为。
  • 注意事项 按需变更为包周期。 按需变更为包周期,需要用户购买包周期配额,生成新的订单,用户支付订单后,包周期配额立即生效。包周期配额生效后,需要用户在云服务器列表页面,勾选目标主机,单击“开启防护”,选择包周期防护配额,直接开启包周期配额防护。 包周期变更为按需。 包周期转按需,需要用户在云服务器列表页面,勾选目标主机,单击“开启防护”,选择按需防护,按需的资费模式才会生效。 若企业主机安全服务的版本由高版本版切换为低版本后,主机遭受攻击的可能性将升高。 仅支持将主机安全防护的版本切换为“基础版”、“企业版”或者“旗舰版”,如需使用“网页防篡改版”,请先购买“网页防篡改版”的配额,再开启网页防篡改防护。
  • 相关操作 暂停防护:暂停“网页防篡改”服务对某一目录的防护,在暂停防护后,请您及时恢复防护,避免该目录下的文档被篡改。 编辑防护目录:根据需要修改已添加的防护目录。 删除防护目录:为方便管理,您可以删除已无需防护的目录。 执行暂停防护、编辑或删除防护目录后,防护目录下的文件将不再受“网页防篡改”功能的防护,建议您提前处理防护目录下的文档,再对文档执行暂停防护、编辑或删除的相关操作。 执行暂停防护、编辑或删除防护目录后,若您的文档不慎被删除,请在主机本地备份或远端主机的备份路径中查找。
  • 创建项目并授权 创建项目 进入管理控制台页面,单击右上方的用户名,在下拉列表中选择“ 统一身份认证 ”,进入统一身份认证服务页面。选择左侧导航中的“项目”,单击“创建项目”,选择区域并输入项目名称。 授权 通过为用户组授予权限(包括资源集和操作集),实现项目和用户组的关联。将用户加入到用户组,使用户具有用户组中的权限,从而精确地控制用户所能访问的项目,以及所能操作的资源。具体步骤如下: 在“用户组”页面,选择目标用户组,单击操作列的“权限配置”,进入“用户组权限”区域。在新创建的项目所在行,单击“设置策略”,给对应项目选择需要的云资源权限集。 在“用户”页面,选择目标用户,单击操作列的“修改”,进入修改用户页面。在“所属用户组”区域为用户添加用户组,完成授权过程。
  • 功能介绍 创建勒索病毒防护策略后,HSS通过机器学习引擎对服务器运行状态的自动学习和管理端智能分析,完成可信程序的判定。同时,学习服务器上的可信进程修改文件的行为。防护策略学习完成后,自动应用于关联服务器,在防护阶段对非可信程序的操作进行告警。 Linux防护勒索 创建Linux防护策略时,若开启诱饵防护,HSS将会在关联服务器上预置诱饵文件。若发现未知勒索病毒加密诱饵文件的行为,立即告警。 HSS会对预置诱饵文件进行标识,如果您在服务器中发现可疑文件,请确定是否为HSS预置的诱饵文件。 诱饵文件不会对您的业务产生影响,也不存在任何的恶意行为,若将诱饵文件删除,HSS将无法诱捕新型未知的勒索病毒。 创建Linux防护策略完成后,智能学习策略通过机器学习引擎学习关联服务器上的可信进程修改文件的行为,对绕过诱饵文件的勒索病毒进行告警。 Windows防护勒索 创建Windows防护策略完成后,智能学习策略通过机器学习引擎学习关联服务器上的可信进程修改文件的行为,对非可信进程修改文件的行为进行告警。
  • 增强口令复杂度策略 如需监测Linux主机中的口令复杂度策略,请先在主机中安装PAM(Pluggable Authentication Modules),详细操作请参见如何为Linux主机安装PAM? 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略? 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略? 验证:完成口令复杂度策略修改后,建议您(企业版和旗舰版)立即执行手动检测,查看修复结果。如果您未进行手动验证,HSS会在次日凌晨执行自动验证。