云服务器内容精选
-
加密挂载教程-Linux 安装stunnel。 stunnel是一个开源网络中继。stunnel会监听本地端口,并将发到其上的流量加密转发到SFS Turbo文件系统,要使用加密传输功能需要先安装stunnel。请执行以下命令进行安装: ubuntu或Debian操作系统安装命令 sudo apt update sudo apt-get install stunnel CentOS,EulerOS或HCE OS操作系统安装命令 sudo yum install stunnel 推荐使用Stunnel版本为5.56或以上。 选取未被占用的端口作为本地监听端口。 如下示例,执行如下命令查看本地已被占用的端口: netstat -anp | grep 127.0.0.1 图1 本地已被占用端口 由于20049已被占用,所以需要在20050到21049之间选择一个未被占用的端口作为本地监听端口。 配置stunnel配置文件。 在/etc/stunnel路径下新建stunnel_[本地监听端口].conf文件,在此文件中写入: client = yes sslVersion = TLSv1.2 [nfs] ciphers = ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256 accept = 127.0.0.1:[本地监听端口] connect = [dns name]:2052 执行如下命令拉起stunnel进程。 stunnel /etc/stunnel/stunnel_[本地监听端口].conf 执行如下挂载命令。 mount -t nfs -o vers=3,nolock,tcp,port=[本地监听端口],mountport=[本地监听端口] 127.0.0.1:/ [挂载点] 加密挂载完成后,在此挂载点上的所有文件操作与非加密场景的文件操作一致。 如果stunnel进程异常退出会导致文件操作卡住,可以利用crontab等linux能力,保证stunnel进程退出后自动拉起。
-
操作流程 本章节介绍如何将第三方(非华为云)安全日志接入 安全云脑 ,同时,也支持将安全云脑日志转出至第三方系统/产品。具体流程如下: 图1 日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 (可选)步骤一:购买E CS 安装日志采集器。 (可选)步骤二:购买数据磁盘 保障日志采集器有足够的运行空间。 (可选)步骤三:挂载数据磁盘 保障日志采集器有足够的运行空间。 步骤四:创建非管理员 IAM 账户 用于租户侧日志采集器登录访问安全云脑。 步骤五:网络连通配置 实现租户VPC与云脑网络网络连通。 步骤六:安装组件控制器(isap-agent) 纳管日志采集器节点(ECS)到安全云脑。 步骤七:安装日志采集组件(Logstash) 配置日志采集进程。 (可选)步骤八:创建日志存储管道 将非华为 云日志 转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 (可选)步骤十:配置日志解析器 格式转换,无码化将源日志转换成您需要的数据类型。 步骤十一:配置日志采集通道 完成各功能组件连接,实现安全云脑和日志采集器正常工作。 步骤十二:测试验证 测试验证日志是否接入成功。 父主题: 日志接入或转出操作指导
-
操作步骤 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,选中目标ECS单击操作”列的“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装组件控制器。 粘贴2复制的安装命令,并以root权限执行,在ECS中安装组件控制器。 根据界面提示,输入步骤四:创建非管理员IAM账户中创建的机机账户 域名 、用户名、密码。 如果界面回显“install isap-agent successfully”信息时,则表示组件控制器安装成功。 图2 安装成功 安装过程中,如果安装失败请参考组件控制器安装失败问题排查进行排查处理;如果提示内存不足,请参见磁盘分区进行处理。 确认已安装后,返回安全云脑的新增节点页面(即2),单击页面右下角“确认”。 安装完成后,可以在节点管理页面查看已新增的节点。 图3 已新增节点
-
事件响应流程 识别身份凭证是否受损或泄露。 如果您收到如下提示信息,您需要排查并识别您的身份凭证是否受损或泄露: 来自华为云服务(例如,华为 云证书管理服务 CCM、安全云脑SecMaster、 云审计 服务 CTS 等)、外部监控系统的告警或指标; 来自承包商或第三方服务提供商的提示信息; 通过内部或外部安全研究人员的排查信息; 内部系统信息; 匿名举报信息; 其他途径的信息。例如,攻击者通过被泄露的凭证,窃取您的数据,并修改您面向公众的资源。 确认已针对该事件提交工单或案例。如果没有,请手动提交。 确定并记录问题对最终用户的影响。 无论此类场景是否造成直接的用户影响,都请将调查结果记录在与此事件相关的工单或案例中。 对于自动创建的工单或案例,确定哪些告警或指标是存在问题的。 例如触发告警或指标可能是CTS服务指标指示您的IAM配置某些方面不合规,或者IAM服务警报表明可能存在凭证泄露。也可能是一个计费警报,当您的计费成本已超过预定阈值,触发告警或通知。 确定已泄露的凭证集。 如果已创建工单或案例,请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查,您可以在控制台查看基线检查结果,找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务,您可以在控制台事件列表,查看结果。“资源名称”为访问密钥,Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作,在该时间后创建的任何资源应被视为被泄露。 如果您的应用程序发生服务中断,需确定造成中断的可能事件。如果中断事件与凭证泄漏无关,需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务,协助查看所有账户活动的日志。 事件沟通: 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人,包括法务人员、技术团队和开发人员,并确保他们被添加到工单和作战室中,以进行持续更新。 外部沟通: 确保您的法律顾问了解情况,并将其纳入内部利益相关者的状态更新,特别是外部沟通的状态更新。 将负责公共或外部沟通的同事添加到工单中,以便他们可以定期接收到有关事件的状态更新,并履行其沟通职责。 如果您所在辖区有法规要求报告此类事件,请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门,以获取有关收集和保存证据和监管局的指导。即使法规没有要求,向开放数据库、政府机构或非政府组织报告,您的报告也可能有助于分析类似的活动或帮助其他人。 控制事件。 您可以通过禁用受损凭证或撤销与这些凭证相关的权限,从而阻止使用受损凭证调用API。 禁用1识别到的受损凭证。 如果是永久IAM用户凭证,请在IAM控制台,删除用户凭证,具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证,则会关联到IAM角色。您可以通过如下方法禁用这些功能: 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证,并继续攻击,跳转到2.a.ii.2。 删除添加到该角色的所有IAM策略,修改已有策略以阻止所有访问,或者修改角色的策略以防止攻击者承担该角色。 由于凭证在颁发后的指定时间段内仍然有效,因此请务必注意,修改信任策略后,凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证,包括任何合法用户或应用程序。 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证,无论是访问密钥、IAM用户还是角色,确认受损凭证已被禁用。 消除事件。 您需要排查凭证在受损后执行了哪些API操作,创建、删除或修改了哪些资源,并采取相应措施,消除影响。 使用您的首选监控工具,访问CTS服务,并采集受损凭证执行的所有API操作,日志采集时间为受损时间到当前时间。 如果您使用的是第三方工具(如Splunk或其他工具)采集云审计服务日志,请按照从该工具获取日志信息的正常过程进行操作。 如果您不使用第三方工具,而是将日志发送到华为云 对象存储服务 (OBS),您可以使用华为 云日志服务LTS 采集、查询和存储日志。 在日志服务LTS控制台,查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中,确定哪些API调用: 访问敏感数据,例如,OBS Object。 创建新的华为云资源,例如数据库、云服务器等。 创建资源的服务,包括ECS弹性伸缩组等。 创建或修改权限,同时,还应排查包括(但不限于)以下API方法:CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果,确定是否有任何应用程序可能受到影响。如果有,获取受影响的每个资源的ID或标记信息,并通知资源的所有者。 基于以上结果,如果创建了额外的凭证获取资源(IAM用户、角色等),根据2.a,禁用和删除这些资源的所有凭证。 重复3.a到3.e,排查是否仍存在额外发现的凭证,直到全部处置完成。 从事故中恢复。 恢复被修改的资源: 如果资源可以被销毁和替换,则添加新的资源。 如果资源无法被替换,请执行以下任一操作: 从备份还原资源。 准备新资源并将其配置到应用程序的基础架构中,同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源,或继续将其隔离以备取证。 恢复删除的资源: 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出,且华为云配置支持该资源,则检查华为云的配置。 如果删除的资源可以从备份中恢复,请直接恢复;如果删除的资源无法从备份中恢复,请查阅CMDB以获取资源的配置,重新创建资源并将其配置到应用程序的基础架构中。 事故后活动。 针对某些受损资源进行调查取证,分析攻击者对受损资源使用了哪些攻击手段,并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。 对于任何已隔离以供进一步分析的受损资源,对这些资源执行取证活动,并将调查结果纳入事后报告。 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。 审查事件本身和对它的响应,确定哪些措施起作用,哪些措施不起作用,根据这些信息更新改进流程,并记录调查结果。
-
创建委托 登录 统一身份认证 服务控制台,在左侧导航栏单击“委托”,进入“委托”界面。 单击“创建委托”,进入“创建委托”界面。 填写委托信息。 委托名称:输入您自定义的委托名称,此处以“serverless_trust”为例。 委托类型:选择“云服务”。 云服务:选择“ 函数工作流 FunctionGraph”。 持续时间:选择“永久”。 描述:填写描述信息。 单击“下一步”,进入委托选择页面,在“配置权限”界面勾选“CTS Administrator”和“SMN Administrator”。 SMN Administrator:拥有该权限的用户可以对SMN服务下的资源执行任意操作。 选择“CTS Administrator”,由于该策略有依赖,在勾选时,还会自动勾选依赖的策略:Tenant Guest。 单击“下一步”,根据实际业务需求选择资源授权范围,单击“确定”,完成权限委托设置。
-
新版&旧版功能说明 目前 容器安全服务 已整合至 企业主机安全 控制台进行统一管理,优化了既有功能的能力,同时新增了部分新功能。 表1 新版&旧版CGS功能说明 功能项 CGS旧版(原CGS) CGS新版(HSS新版) 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常 √ √ 容器配置异常 √ √ 容器异常启动 √ √ 容器恶意程序 √ √ 高危系统调用 √ √ 敏感文件访问 √ √ 容器软件信息 √ √ 容器文件信息 √ √ 白名单管理 √ √ 容器策略管理 √ √
-
升级Agent原理 在企业主机安全控制台单击升级Agent后,系统将自动按照先卸载Agent1.0,然后安装Agent2.0的顺序执行,无需人为操作。 升级时Agent在旧版控制台反馈的状态: 升级成功:已经升级成功,可切换至企业主机安全(新版)查看防护情况。 升级中:Agent正在升级。 升级失败:Agent升级失败。 升级时Agent在新版控制台反馈的状态: 未安装:目标主机在新版控制台还未进行Agent安装。 在线:Agent运行正常。 离线:Agent通信异常。
-
失败常见原因 自动执行升级完成后,需要等待5~10分钟左右Agent才会自动刷新Agent状态。 Agent升级失败或超过等待时间仍不显示可能原因如下: DNS无法解析:Agent升级只能通过内网DNS解析,因此需要保证内网 DNS地址 的正确性。 10180端口被限制访问:Agent升级需要通过端口10180进行访问。 可用内存不足:Agent升级需要占用一定内存,主机剩余内存小于300M会影响正常升级。 无法正常获取metadata:Agent升级需要获取服务器的ID、名称、Region等信息。
-
关闭操作 远程登录目标服务器。 华为云主机 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 非华为云主机 请使用远程管理工具(例如:PuTTY、Xshell等)连接您服务器的弹性IP,远程登录到您的服务器。 在命令窗口执行关闭命令。 临时关闭 在命令窗口执行以下命令临时关闭SELinux。 setenforce 0 在重启系统后将恢复开启状态。 永久关闭 在目录窗口执行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SELINUX=enforcing,按i进入编辑模式,将参数修改为SELINUX=disabled。 图1 编辑selinux状态 修改完成后,按下键盘Esc键,执行以下命令保存文件并退出。 :wq 执行永久关闭命令并保存退出后,执行以下命令立即重启服务器。 shutdown -r now 执行永久关闭的命令后不会立即生效,重启服务器后才会生效。 重启后运行以下命令,验证SELinux的状态为disabled,表明SELinux已关闭。 getenforce
-
解决办法 登录集群任一节点目录。 创建hss-rbac.yaml文件,并将以下内容复制并保存至hss-rbac.yaml文件中。 {"metadata":{"namespace":"hss","name":"hssRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"Role","rules":[{"resources":["configmaps"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":[""]},{"resources":["daemonsets","deployments","deployments/rollback","replicasets"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["apps"]},{"resources":["cronjobs","jobs"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["batch"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["extensions"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["networking.k8s.io"]}]}{"metadata":{"namespace":"hss","name":"hssRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"RoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"Role","name":"hssRole"}}{"metadata":{"name":"hssClusterRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","rules":[{"resources":["namespaces","pods","nodes","services","endpoints","configmaps","events","persistentvolumeclaims","persistentvolumes","podtemplates","replicationcontrollers","serviceaccounts","pods/log"],"verbs":["get","list"],"apiGroups":[""]},{"resources":["pods/status"],"verbs":["update"],"apiGroups":[""]},{"resources":["daemonsets","deployments","replicasets","statefulsets"],"verbs":["get","list"],"apiGroups":["apps"]},{"resources":["horizontalpodautoscalers"],"verbs":["get","list"],"apiGroups":["autoscaling"]},{"resources":["cronjobs","jobs"],"verbs":["get","list"],"apiGroups":["batch"]},{"resources":["endpointslices"],"verbs":["get","list"],"apiGroups":["discovery.k8s.io"]},{"resources":["events"],"verbs":["get","list"],"apiGroups":["events.k8s.io"]},{"resources":["ingresses"],"verbs":["get","list"],"apiGroups":["extensions"]},{"resources":["ingressclasses","ingresses","networkpolicies"],"verbs":["create","delete","update","get","list"],"apiGroups":["networking.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["create","delete","deletecollection","patch","update","watch"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["get","list"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["storageclasses","volumeattachments"],"verbs":["get","list"],"apiGroups":["storage.k8s.io"]}]}{"metadata":{"name":"hssClusterRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"ClusterRole","name":"hssClusterRole"}} 执行以下命令,配置HSS所需的全量rbac权限 kubectl apply -f hss-rbac.yaml 登录HSS控制台,查看权限列表中“是否有权限”列均为“是”,表示权限恢复正常,问题解决。 详细操作请参考问题现象中查看权限列表的操作。 如果您一直停留在HSS权限列表页面,请在配置完成后刷新下页面。
-
升级说明 整个升级Agent过程均为免费。 升级过程中不影响您在云服务器上业务的正常使用。 升级后将在新版console进行计费,旧版停止计费。 升级后需切换至企业主机安全(新版)查看云服务器防护状态,企业主机安全(旧版)将停止防护。 当前支持切换至企业主机安全的Region为华北-乌兰察布二零一、华北-乌兰察布二零二、西南-贵阳一、华南-深圳、华南-广州-友好用户环境、华东-上海一、华东-上海二、华北-北京一、华北-北京四。 切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。 升级后支持开启增强版勒索病毒防护。 升级后将提升Agent运行时的安全性、稳定性、可靠性。
-
工作原理 在主机中安装Agent后,您的主机将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 各组件功能及工作流程说明如下: 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收Agent上报的主机信息,分析主机中存在的安全风险和异常信息,将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信,默认端口:10180。 每日凌晨定时执行检测任务,全量扫描主机;实时监测主机的安全状态;并将收集的主机信息(包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息)上报给云端防护中心。 根据您配置的安全策略,阻止攻击者对主机的攻击行为。 说明: 如果未安装Agent或Agent状态异常,您将无法使用企业主机安全。 Agent可安装在华为云弹性云服务器(Elastic Cloud Server,ECS)/裸金属服务器(Bare Metal Server,BMS)、线下IDC以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、 容器安全 与主机安全共用同一个Agent,您只需在同一主机安装一次。
-
不同规格主机Agent资源占用一览 Agent运行时,不同规格的云服务器CPU、内存占用情况如表1所示。 表1 Agent资源占用一览 vCPUs规格 占用CPU资源比例(峰值) 执行病毒查杀时,占用CPU资源比例(峰值) 内存占用(峰值) 执行病毒查杀时,内存占用(均值) 1vCPUs 20% 50% 500MB 800MB 2vCPUs 10% 40% 500MB 800MB 4vCPUs 5% 35% 500MB 800MB 8vCPUs 2.5% 32.5% 500MB 800MB 12vCPUs 约1.67% 约31.67% 500MB 800MB 16vCPUs 约1.25% 约31.25% 500MB 800MB 24vCPUs 约0.84% 约30.84% 500MB 800MB 32vCPUs 约0.63% 约30.63% 500MB 800MB 48vCPUs 约0.42% 约30.42% 500MB 800MB 60vCPUs 约0.34% 约30.34% 500MB 800MB 64vCPUs 约0.32% 约30.32% 500MB 800MB
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
