主机安全

应用场景

在主机被入侵、破解成功前，通常攻击者是以账号、密码为首要目标进行攻击，因此，增强主机登录时的安全性成为了防护主机安全、保证业务正常运行的第一道安全门。

本方案为您介绍如何通过HSS增强主机登录安全。

方案架构及优势

您可在企业主机安全通过配置常用登录地、常用登录IP、SSH登录IP白名单、双因子认证、弱口令检测、登录安全检测来增强服务器登录时的安全性。

图1 主机登录安全加固

• 常用登录地

  配置常用登录地后，企业主机安全将对非常用登录地登录 云服务器 的行为进行告警。

• 常用登录IP

  配置常用登录IP后，企业主机安全将对非常用IP登录服务器的行为进行告警。

• SSH登录IP白名单

  SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。

• 双因子认证

  双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。

• 弱口令检测

  弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。

  企业主机安全默认会对使用经典弱口令的用户账号告警，主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令自行添加在自定义弱口令列表中，防止主机中的账户使用该弱口令，给主机带来危险。

• 登录安全检测

  配置登录安全检测策略后，可为目标服务器开启登录安全检测，可有效检测暴破攻击，自动阻断暴破IP，触发告警并上报。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS防护指引。

约束与限制

• 开启双因子认证后，仅以下登录方式支持双因子认证：
  • Linux：使用SSH密码方式登录云服务器，且OpenSSH版本小于8。
  • Windows：使用RDP文件登录Windows云服务器。
• Windows主机使用双因子认证功能时，不支持使用Windows系统的“用户每次登录时须更改密码”功能，如果您需要正常使用该功能，须关闭双因子认证。
• 在Windows主机上，双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突，建议停止“网防G01”软件和服务器版360安全卫士。

实施步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 单击页面左上方的，选择“ 安全与合规 > 企业主机安全”，进入企业主机安全页面。
4. 配置常用登录地

   单一账号最多可添加10个常用登录地。

   1. 在左侧导航栏，选择“安装与配置 > 主机安装与配置”，进入“主机安装与配置”页面。
   2. 选择“安全配置 > 常用登录地”，进入“常用登录地”页面。
   3. 单击“添加常用登录地”，弹出“添加常用登录地”对话框。
      图2 添加常用登录地
      
   4. 在对话框中，选择要添加的常用登录地和常用登录地生效的服务器，确认无误后单击“确认”，添加完成。
      常用登录地生效的服务器可选择多个。

      图3 填写常用登录地信息
      
   5. 返回“常用登录地”页面，查看到新增的常用登录地，表示添加成功。

5. 配置常用登录IP
   单一账号最多可添加20个常用登录IP。

   1. 选择“安全配置 > 常用登录IP”，进入“常用登录IP”页面。
   2. 单击“添加常用登录IP”，弹出“添加常用登录IP”对话框。
      图4 添加常用登录IP
      
   3. 在对话框中，输入“常用登录IP”，勾选需要生效的云服务器，确认无误后单击“确认”，添加完成。
      

      • “常用登录IP”必须填写 公网IP 或者IP段。
      • 生效服务器可选择多个。
      • 单次只能添加一个IP，若需添加多个IP，需重复操作添加动作，直至全部IP添加完成。
      图5 填写常用登录IP
      

   4. 返回“常用登录IP”页面，查看到新增的常用登录IP，表示添加成功。

6. 配置SSH登录IP白名单
   

   • 单一账号最多可添加10个SSH登录IP白名单。
   • 使用鲲鹏计算EulerOS（EulerOS with Arm）的主机，SSH登录IP白名单功能对其不生效。
   • 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP：
     • 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。

       若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。

     • IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。
   1. 选择“安全配置 > SSH登录IP白名单”，进入“SSH登录IP白名单”页面。
   2. 单击“添加白名单IP”，弹出“添加白名单IP”对话框。
      图6 添加IP白名单
      
   3. 在对话框中，输入“白名单IP”，勾选需要生效的云服务器，确认无误后单击“确认”，添加完成。
      

      • “常用登录IP”必须填写公网IP或者IP段。
      • 生效服务器可选择多个。
      • 单次只能添加一个IP，若需添加多个IP，需重复操作添加动作，直至全部IP添加完成。
      图7 填写白名单IP信息
      
   4. 返回“SSH登录IP白名单”页面，查看到新增的白名单IP，表示添加成功。

7. 配置双因子认证
   1. 选择“双因子认证”，进入“双因子认证”页面。
   2. 在目标服务器所在行的“操作”列，单击“开启双因子认证”，弹出“开启双因子认证”对话框。
      您也可以勾选多台目标服务器，单击列表上方“开启双因子认证”，批量开启多台服务器双因子认证。

      图8 开启双因子认证
      
   3. 在对话框中，选择“验证方式”。
      • 短信邮件验证

        短信邮件验证需要选择 消息通知 服务主题。

        • 下拉框只展示状态已确认的消息通知服务主题。
        • 如果没有主题，请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题。
        • 若您的主题里包含多个手机号码/邮箱，在认证过程中，该主题内的手机号码/邮箱都会收到系统发出的验证码短信或邮件。若您只希望有一个手机号码/邮箱收到验证码，请修改对应主题，仅在主题中保留您希望收到验证码的手机号码/邮箱。
        图9 短信邮件验证
        
      • 验证码验证
        选择验证码验证，仅通过实时收到的验证码进行验证。

        图10 验证码验证
        
   4. 单击“确定”，完成开启双因子认证的操作。
   5. 返回“双因子认证”页面，查看目标服务器“双因子认证状态”变更为“开启”，表示开启成功。
      开启双因子认证成功后，需要等大约5分钟才生效。

      

      在开启双因子认证功能的Windows主机上远程登录其他Windows主机时，需要在开启双因子主机上手动添加凭证，否则会导致远程登录其他Windows主机失败。

      添加凭证：打开路径“开始菜单 > 控制面板 > 用户账户 > 凭据管理器 > 添加Windows凭据”，添加您需要访问的远程主机的用户名和密码。

8. 配置弱口令检测
   1. 在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”页面。
   2. 单击目标策略组名称，进入策略列表页面。
      可根据默认“策略组描述”及“支持的版本”判断目标策略适配的操作系统及防护版本。

      

      若有特殊需求需要新建策略组，您可在创建策略组后按照此步骤进行操作配置。

   3. 单击“策略名称”为“弱口令检测”的名称，弹出“弱口令检测”对话框。
   4. 根据业务实际情况修改“策略内容”中的参数，参数说明如表1所示。
      图11 修改弱口令检测
      

      表1 弱口令检测策略内容参数说明

      参数	说明	取值样例
      检测时间	配置弱口令检测的时间，可具体到每一天的每一分钟。	01:00
      随机偏移时间（秒）	检测配置的弱口令时间的随机偏移时间，在“检测时间”的基础上偏移，可配置范围为“0~7200秒”。	3600
      检测日	弱口令检测日期。勾选周一到周日检测弱口令的时间。	全选
      自定义弱口令	您可以将疑似被泄露的口令添加在自定义弱口令文本框中，防止主机中的账户使用该弱口令，给主机带来危险。 填写多个弱口令时，每个弱口令之间需换行填写，最多可添加300条。	test123*

   5. 确认无误后，单击“确认”，完成修改。

      后续HSS将按照您配置的弱口令检测策略，对服务器执行弱口令检测。

9. 配置登录安全检测
   1. 单击“策略名称”为“登录安全检测”的名称，弹出“登录安全检测”对话框。
   2. 根据业务实际情况修改“策略内容”中的参数，参数说明如表2所示。
      图12 修改安全检测策略
      

      表2 登录安全检测策略内容参数说明

      参数	说明
      封禁时间（分钟）	可设置被阻断攻击IP的封禁时间，封禁时间内不可登录，封禁时间结束后自动解封，可配置范围为“1~43200”。
      是否审计登录成功	开启此功能后，HSS将上报登录成功的事件。 ：开启。 ：关闭。
      阻断攻击IP（非白名单）	开启阻断攻击IP后，HSS将阻断爆破行为的IP（非白名单）登录。
      白名单爆破行为是否告警	开启后，HSS将对白名单IP产生的爆破行为进行告警。 ：开启。 ：关闭。
      白名单	将IP添加到白名单后，HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单，且同时支持IPV4和IPV6。

   3. 确认无误后，单击“确认”，完成修改。

      后续HSS将按照您配置的登录安全检测策略，对服务器执行登录安全检测。