检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在弹出的开启动态网页防篡改页面中,设置“Tomcat bin目录”。 开启动态网页防篡改需先设置Tomcat bin目录,系统会将setenv.sh脚本预置在bin目录中,用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 图3 设置Tomcat目录 单击“确定”,开启动态网页防篡改。
常用安全配置 配置主机登录保护 开启恶意程序隔离查杀 开启双因子认证 父主题: 接入HSS
开启动态网页防篡改后,状态是“已开启未生效”,怎么办? 动态网页防篡改提供tomcat应用运行时的自我保护。 开启动态网页防篡改需要满足以下条件: 仅针对Tomcat应用。 主机是Linux操作系统。 开启动态网页防篡改后,请等待大约20分钟后检查“tomcat/bin”目录下是否已生成“setenv.sh
、shiro-core、struts-core、tomcat-embed-el、tomcat-jdbc、tomcat-embed-websocket、tomcat-juli、tomcat-annotations-ap、tomcat-embed-core、spring-jdbc、d
静态网页防篡改为指定的目录提供防护,因此您需要配置静态网页防篡改防护目录,否则静态网页防篡改功能无法生效。 配置远端备份(可选) 针对Linux主机,HSS默认会将防护目录下的文件备份在您添加防护目录时配置的本地备份路径下,为了防止本地备份被攻击者破坏,您可以配置远端备份,再为网页备份数据加一层保障。
控制台。 步骤二:安装Agent 在企业主机安全控制台左侧导航栏选择“安装与配置 > 主机安装与配置”,进入“主机安装与配置”页面。 选择“Agent管理 > 未安装主机”,进入“未安装主机”页面。 在目标服务器的“操作”列,单击“安装Agent”,弹出“安装Agent”对话框。
获取集群配置 功能介绍 获取集群配置 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/container/kubernetes/clusters/configs/batch-query 表1 路径参数 参数 是否必选 参数类型 描述 project_id
准备工作 购买防护配额 您需要购买防护配额后,才能开启网页防篡改防护。 安装Agent Agent是HSS提供的客户端,用于执行检测任务,全量扫描主机;实时监测主机的安全状态,并将收集的主机信息上报给云端防护中心。 安装Agent后,您才能开启网页防篡改防护。 开通网页防篡改防护 设置告警通知
HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期,配置操作详情请参见配置检测。 HSS企业版、旗舰版、网页防篡改版、容器版可自定义弱口令的自动检测周期,配置操作详情请参见弱口令检测。 手动执行基线检查 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 >
版本策略下。 配置检测 单击“配置检测”,弹出“配置检测”策略详情界面。 在“配置检测”界面,修改“策略内容”。 图4 修改配置检测 表4 系统配置检测策略内容参数说明 参数 说明 检测时间 配置系统检测的时间,可具体到每一天的每一分钟。 随机偏移时间(秒) 配置系统检测的随机偏
锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改。 特权进程管理 配置特权进程白名单后,网页防篡改功能将主动放行可信任的进程,确保正常业务进程的运行。 缓存服务端静态网页 不支持特权进程管理 动态网页 提供tomcat应用运行时自我保护,能够检测针对数据库等动态数据的篡改行为。 不支持
nginx 图3 安装nginx(yum) 图4 安装nginx(apt) 查看nginx是否安装成功。 EulerOS、CentOS、Red Hat等支持rpm安装软件的OS: 自动执行安装,出现如图 nginx安装成功(rpm)所示“Complete!”表示安装成功。 图5 nginx安装成功(rpm)
t为最新版,以便为您提供更好的服务。 节点选择器配置 选择需要安装Agent的节点标签。不选择,默认在所有没有配置污点的节点上安装Agent。 容忍度配置 如果在进行“节点选择器配置”时,选择了污点节点标签,需要在该污点节点上安装Agent,可选择容忍节点污点。 单击“完成”,完成修改。
base/java.lang=ALL-UNNAMED”参数。 配置方法因应用类型和版本不同,而存在区别,如下以Apache Tomcat 11.0.0举例说明。 Tomcat(Windows) 在Tomcat安装目录bin目录下“catalina.bat”文件中,添加“--add-opens=java
、shiro-core、struts-core、tomcat-embed-el、tomcat-jdbc、tomcat-embed-websocket、tomcat-juli、tomcat-annotations-ap、tomcat-embed-core、spring-jdbc、d
基线检查包含口令复杂度策略检测、经典弱口令检测、配置检查,可检测主机中不安全的口令配置、关键软件中含有风险的配置信息,并针对所发现的风险为您提供修复建议,帮助您正确地处理服务器内的各种风险配置信息。 基线检查内容 检查项名称 检查详情说明 支持的检查方式 支持的HSS版本 配置检查 对常见的Tomcat配置、Ngin
步骤二:为华为云自建集群安装Agent 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航栏,选择“安装与配置 > 容器安装与配置”,进入“容器安装与配置”页面。 在“集群”页签,单击“安装容器安全Agent”,弹出“容器资产接入与安装”对话框。
策略内容的修改应用到其他同版本策略下。 (可选)为服务器部署策略。 如果在1.a中,您是基于新创建的自定义策略组进行弱口令策略配置,则完成策略组创建和策略配置后,您需要将新建的策略组部署应用到目标服务器,详细操作请参见部署策略。 执行弱口令检查。 企业主机安全默认每日凌晨01:0
打开Redis数据库的配置文件redis.conf。 执行以下命令,修改弱口令。 requirepass <password>; 如果已存在登录口令,则将其修改为复杂口令。 如果不存在登录口令,则添加为新口令。 说明: “password”为登录口令。 Tomcat 打开Tomcat根目录下的
JDK:JDK 8、JDK 11、JDK 17 Web应用: Windows(64位):Tomcat Linux(64位):Tomcat、Weblogic、Netty、Jetty 具体版本要求如下: Tomcat 7.0.55版本及以上 Weblogic 12C版本及以上 Netty 4.1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
