云服务器内容精选

  • 暴力破解防护限制 使用鲲鹏计算EulerOS(EulerOS with ARM)操作系统的主机,在遭受SSH账户破解攻击时,HSS不会对攻击IP进行拦截,仅支持对攻击行为进行告警。 为Windows主机开启防护时,需要授权开启Windows防火墙,且使用主机安全服务期间请勿关闭Windows防火墙。 如果关闭Windows防火墙,HSS无法拦截账户暴力破解的攻击源IP;即使手动关闭后开启Windows防火墙,也可能导致HSS不能拦截账户暴力破解的攻击源IP。
  • 资源和成本规划 本方案示例中涉及的资源如下: 表1 资源说明 资源 资源说明 数量 成本说明 云专线(Direct Connect) DC,作为连接第三方主机和云上资源的专属通道。 2 DC具体的计费方式及标准请参考DC计费说明。 弹性云服务器(Elastic Cloud Server) E CS ,作为代理服务器,将第三方服务器的请求转发至HSS后台。 2 ECS具体的计费方式及标准请参考ECS计费说明。 父主题: 第三方主机通过专线和代理服务器接入HSS
  • 操作流程 第三方云主机、线下IDC通过专线和代理服务器接入HSS的流程如下: 创建专线连接 第三方服务器如果不能访问公网,需要创建专线连接云上VPC,实现网络互通。 创建代理服务器 需要创建一台云上服务器,作为代理服务器,连接第三方服务器。 为代理服务器安装Agent 为代理服务器安装Agent,确保网络的畅通,辅助配置nginx的参数。 为代理服务器安装配置nginx nginx负责将第三方服务器的请求转发至HSS后台管理后台。 通过代理服务器制作Agent安装包或安装命令 根据第三方服务器操作系统类型制作对应的安装命令(Linux)或安装包(Windows)。 为第三方服务器安装Agent 为第三方服务器安装Agent,将第三方服务器接入HSS实现统一管理。 父主题: 第三方主机通过专线和代理服务器接入HSS
  • 操作流程 第三方云主机、线下IDC通过专线和 VPC终端节点 接入HSS的流程如下: 创建专线连接 第三方服务器如果不能访问公网,需要创建专线连接云上VPC,实现网络互通。 创建VPC终端节点 创建VPC终端节点,用于实现第三方服务器通过华为云内网访问HSS。 获取项目ID 获取VPC终端节点所在的项目ID,用于制作安装命令。 制作Agent安装包或安装命令 根据第三方服务器操作系统类型制作对应的安装命令(Linux)或安装包(Windows)。 为第三方服务器安装Agent 为第三方服务器安装Agent,将第三方服务器接入HSS实现统一管理。 父主题: 第三方主机通过专线和VPC终端节点接入HSS
  • 资源和成本规划 本方案示例中涉及的资源如下: 表1 资源说明 资源 资源说明 数量 成本说明 云专线(Direct Connect) DC,作为连接第三方主机和云上资源的专属通道。 2 DC具体的计费方式及标准请参考DC计费说明。 VPC终端节点(VPC Endpoint) VPCEP,在VPC内提供通道与终端节点服务进行连接,实现第三主机可通过华为云内网访问HSS。 1 免费。 父主题: 第三方主机通过专线和VPC终端节点接入HSS
  • 责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
  • 混合云解决方案 根据服务器的不同类别会采用不同的安装方式进行Agent安装,获取安装命令的方式也不一样。 表2 混合云方案安装命令获取方式 服务器场景类别 安装命令/安装包获取方式 华为云服务器 华为云控制台复制华为云安装命令。 非华为云服务器(互联网) 搭建代理服务,生成安装命令或安装包,使用专线代理服务器可避免访问公网。 局域网服务器(包含数据中心、政务云等) 若使用的服务器包含了华为云服务器、非华为云服务器(互联网)、局域网服务器(包含数据中心、政务云等)场景,华为云服务器的安装流程详情请参见安装Agent,非华为云服务器和局域网服务器(包含数据中心、政务云等)安装操作流程如图2所示。 图2 局域网服务器搭建流程
  • 什么是勒索软件攻击 勒索软件攻击已成为当今企业面临的最大安全挑战之一。勒索软件可以锁定受害者的数据或资产设备,攻击者会要求在支付赎金后才能赎回数据,防止数据被盗,也存在即使支付赎金也无法赎回数据情况。 一旦被勒索软件攻击成功,可能导致您的业务中断、数据泄露、数据丢失等严重问题,从而可能对企业的运转、经济、形象、信誉造成重大损失和不良影响,出现的安全问题可能对企业发展产生重大阻碍,出现一蹶不振的现象。 近年来,勒索病毒攻击量呈倍增趋势,且隐蔽性极强、变种多、变化快,攻击目标更多元,攻击路径更多样化,应对勒索软件攻击当下刻不容缓。 图1 勒索概述 父主题: 勒索病毒防护最佳实践
  • 修订记录 发布日期 修改说明 2023-11-17 第九次正式发布。 优化: 勒索病毒防护最佳实践,增加防护配置操作。 2023-10-27 第八次正式发布。 服务中文名称修改为“主机安全服务” 2023-10-10 第七次正式发布。 新增: 通过 云堡垒机 安装主机安全服务的Agent 2023-09-27 第六次正式发布。 优化: 护网或重保场景下HSS的应用实践 2023-08-18 第五次正式发布。 新增: 护网或重保场景下HSS的应用实践 2023-01-18 第四次正式发布。 新增如下: HSS多云纳管部署 勒索病毒防护最佳实践 2022-12-10 第三次正式发布。 修改勒索防护最佳实践。 2022-10-20 第二次正式发布。 新增HSS登录安全加固最佳实践。 2022-05-17 第一次正式发布。
  • 被勒索软件攻击的过程 在攻击云基础设施时,攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中,攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索: 事前侦查探测阶段:收集基础信息、寻找攻击入口,进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段:部署攻击资源、侦查网络资产并提升访问权限,窃取凭据、植入勒索软件,破坏检测防御机制并扩展感染范围。 事后勒索阶段:窃取机密数据、加密关键数据后加载勒索信息,基于文件重要等级索要赎金。 图1 被勒索过程 父主题: 勒索病毒防护最佳实践
  • 应用场景 主机安全服务(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、 容器安全 和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。HSS不受地理位置影响,为主机、容器等提供统一的可视化和控制能力。HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等,保护工作负载免受攻击。 本方案介绍在护网、重保场景下HSS应用实践,具体流程如下图所示:
  • 修订记录 发布日期 修改说明 2024-06-28 第十六次正式发布。 修改: 服务版本差异,增加容器审计、容器安装与配置功能说明;应用防护功能增加JNDI注入、表达式注入介绍。 约束与限制,增加支持的集群容器类型说明。 2024-03-25 第十五次正式发布。 优化: 服务版本差异,增加动态端口蜜罐功能说明。 约束与限制,HSS支持操作系统HCE 1.1。 2024-02-02 第十四次正式发布。 优化服务版本差异,修改漏洞管理功能检测周期。 2023-12-21 第十三次正式发布。 优化服务版本差异。 2023-10-27 第十二次正式发布。 优化: 监控安全风险,支持监控指标。 服务版本差异,新增容器集群防护、应用进程控制。 服务中文名称修改为“主机安全服务” 2023-07-25 第十一次正式发布。 新增: 1.8-隐私声明 优化: 服务版本差异,增加入侵检测项。 约束与限制,增加 漏洞扫描 和修复支持的操作系统说明。 2023-06-01 第十次正式发布。 主机安全高级版更名为专业版上线。 2022-12-10 第九次正式发布。 修改服务版本差异:优化勒索病毒防护的相关描述。 2022-11-15 第八次正式发布。 新增章节如下: 安全 2022-09-20 第七次正式发布。 新增支持基础版(包年/包月)的购买说明。 2022-08-31 第六次正式发布。 修改基础版使用模式,限期免费使用。 2022-08-15 第五次正式发布 主机安全告警类型新增如下: 恶意软件-恶意程序 漏洞利用-一般漏洞利用 系统异常行为-Crontab可疑任务 功能特性新增双因子特性的描述。 企业版支持“非法系统账号”告警事件类型的检测。 2022-08-10 第四次正式发布 新增应用防护的特性描述及能力说明。 2022-07-28 第三次正式发布。 新增支持的系统及版本说明,详情请参见HSS支持的操作系统。 2022-06-30 第二次正式发布。 新增Web框架和Web服务特性描述。 新增应用漏洞特性描述。 2021-12-31 第一次正式发布。
  • 修订记录 发布日期 修改说明 2024-06-28 第十七次正式发布。 新增: 集群连接组件(ANP-Agent)部署失败 集群权限异常 修改: 如何卸载Agent?,增加自保护影响说明。 如何开启/关闭主机安全服务自保护?,增加Linux自保护约束与限制说明。 如何使用镜像批量安装Agent?,优化操作步骤。 2024-01-08 第十六次正式发布。 新增: 批量安装Agent失败,提示“网络不通” 如何为高危命令执行类告警添加白名单? 2023-12-21 第十五次正式发布。 Agent检测时占用多少CPU和内存资源?,增加病毒查杀任务执行时占用说明。 如何让主机安全服务停止计费?,支持批量退订。 2023-10-27 第十四次正式发布。 新增: 手动扫描漏洞或批量修复漏洞时,为什么选不到目标服务器? 容器集群防护插件卸载失败怎么办? 升级Agent失败,提示“替换文件失败” 修改: 服务中文名称修改为“主机安全服务” 2023-09-27 第十三次正式发布。 新增: HSS支持跨账号使用吗? 无法访问Windows或Linux版本Agent下载链接? 升级HSS新版后,为什么收不到告警? 漏洞修复失败怎么办? 如何切换服务器绑定的防护配额版本? ECS已经删除,为什么HSS的服务器列表仍显示存在? 2023-07-25 第十二次正式发布。 新增: 如何开启/关闭主机安全服务自保护? Windows自保护无法关闭怎么办? 暴力破解记录未显示修改后的端口 自建K8s容器如何开启apiserver审计功能? 2023-07-19 第十一次正式发布。 新增: 如何取消自动续费? 优化: Agent如何升级?,增加手动升级Agent2.0操作。 2023-06-15 第十次正式发布。 新增: 企业项目为什么无法查看“所有项目”? 2023-05-24 第九次正式发布。 新增: HSS是否支持防护本地IDC服务器? HSS是否和其他安全软件有冲突? 购买HSS会自动安装Agent吗? 频繁收到HSS暴力破解告警 为什么收到华为云IP的暴力破解告警? 恶意程序检测、隔离查杀周期是多久? HSS拦截的IP是否需要处理? 如何防御勒索病毒攻击? HSS如何查询漏洞、基线已修复记录? 如何关闭节点防护? HSS可以跨区域使用吗? 如何清除HSS中配置的SSH登录IP白名单? 不能通过SSH远程登录主机,怎么办? 如何使用双因子认证? 开启双因子认证失败,怎么办? 开启双因子认证后收不到验证码? 开启双因子认证后登录主机失败? 如何添加双因子认证的手机号或邮箱? 双因子认证的验证码是一个固定的吗? 如何修改接收告警通知的手机号或邮箱? 配置告警通知时选不到消息主题? 是否可以不开启HSS告警通知? 如何修改告警通知的通知项? 云服务器列表为什么看不到购买的服务器? 开启防护时显示没有配额? HSS到期后不续费,对主机和业务有影响吗? 退订后重购HSS,是否需要重新安装Agent与配置主机防护信息? 2023-04-27 第八次正式发布。 新增: 如何为主机安全服务续费? 如何让主机安全服务停止计费? 2023-03-06 第七次正式发布。 新增FAQ: 如何使用镜像批量安装Agent? 2023-01-18 第六次正式发布。 新增FAQ: 购买了HSS版本为什么没有生效? 容器安全服务 如何切换至主机安全服务? 2022-11-15 第五次正式发布。 新增:主机安全服务不升级有什么影响? 2022-11-04 第四次正式发布。 新增:主机安全服务升级失败怎么处理? 2022-10-28 第三次正式发布。 新增章节: Agent如何升级? 勒索防护的备份与云备份有什么区别? 2022-10-20 第二次正式发布。 新增Agent问题所有章节。 2022-08-31 第一次正式发布。
  • 取消告警通知 开启主机安全防护后,如果您不想收到HSS的告警通知,您可以取消设置HSS告警通知。取消告警通知后,无论是否有风险,您都只能登录管理控制台自行查看,无法收到告警短信或邮件。 取消设置HSS告警通知方式,如下所示: 方式一:删除 消息通知 主题 删除主题后,您配置的告警通知将不会生效。 方式二:删除消息通知主题中的订阅 删除订阅后,您将不会收到告警通知。 方式三:取消或关闭消息通知主题中的订阅 取消订阅后,您将不会收到告警通知。
  • 设置口令复杂度策略 为了确保系统的安全性,建议设置的口令复杂度策略为:口令最小长度不小于8且必须包含大写字母、小写字母、数字和特殊字符。 以下配置为基础的安全要求,如需其他更多的安全配置,请执行以下命令获取Linux帮助信息。 基于Red Hat 7.0的CentOS、Fedora、EulerOS系统 man pam_pwquality 其他Linux系统 man pam_cracklib CentOS、Fedora、EulerOS操作系统 执行以下命令,编辑文件“/etc/pam.d/system-auth”。 vi /etc/pam.d/system-auth 找到文件中的以下内容。 基于Red Hat 7.0的CentOS、Fedora、EulerOS系统: password requisite pam_pwquality.so try_first_pass retry=3 type= 其他CentOS、Fedora、EulerOS系统: password requisite pam_cracklib.so try_first_pass retry=3 type= 添加参数“minlen”、“dcredit”、“ucredit”、“lcredit”、“ocredit”。如果文件中已有这些参数,直接修改参数值即可,参数说明如表1所示。 示例: password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 type= “dcredit”、“ucredit”、“lcredit”、“ocredit”中均需要配置为负数。 表1 参数说明 参数 说明 示例 minlen 口令最小长度配置项。 如果需要设置最小口令长度为8,则minlen的值应该设置为8。 minlen=8 dcredit 口令数字要求的配置项。 值为负数N时表示至少有N个数字,值为正数时对数字个数没有限制。 dcredit=-1 ucredit 口令大写字母要求的配置项。 值为负数N时表示至少有N个大写字母,值为正数时对大写字母个数没有限制。 ucredit=-1 lcredit 口令小写字母要求的配置项。 值为负数N时表示至少有N个小写字母,值为正数时对小写字母个数没有限制。 lcredit=-1 ocredit 特殊字符要求的配置项。 值为负数N时表示至少有N个特殊字符,值为正数时对特殊字符个数没有限制。 ocredit=-1 Debian、Ubuntu操作系统 执行以下命令,编辑文件“/etc/pam.d/common-password”。 vi /etc/pam.d/common-password 找到文件中的以下内容: password requisite pam_cracklib.so retry=3 minlen=8 difok=3 添加参数“minlen”、“dcredit”、“ucredit”、“lcredit”、“ocredit”。如果文件中已有这些参数,直接修改参数值即可,参数说明如表1所示。 示例: password requisite pam_cracklib.so retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=3