- 最新动态
- 功能总览
- 服务公告
- 技术画册
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 产品咨询
-
Agent相关
- 购买HSS会自动安装Agent吗?
- Agent是否和其他安全软件有冲突?
- 如何卸载Agent?
- Agent安装失败应如何处理?
- Agent状态异常应如何处理?
- Agent的默认安装路径是什么?
- Agent检测时占用多少CPU和内存资源?
- 购买不同版本HSS,可以共用同一Agent吗?
- 如何查看未安装Agent的主机?
- Agent如何升级?
- 企业主机安全升级失败怎么处理?
- 服务器安装Agent后会访问哪些资源?
- 如何使用镜像批量安装Agent?
- 无法访问Windows或Linux版本Agent下载链接?
- 升级Agent失败,提示“替换文件失败”
- 批量安装Agent失败,提示“网络不通”
- 如何验证主机与HSS服务端的网络是否打通成功?
- 防护相关
- 漏洞管理
- 检测与响应
- 异常登录
- 账户暴力破解
- 基线检查
- 网页防篡改
- 容器安全
- 勒索防护
- 区域和可用区
- 安全配置
- 防护配额
- 其他
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
使用HSS增强主机登录安全
应用场景
在主机被入侵、破解成功前,通常攻击者是以账号、密码为首要目标进行攻击,因此,增强主机登录时的安全性成为了防护主机安全、保证业务正常运行的第一道安全门。
本方案为您介绍如何通过HSS增强主机登录安全。
方案架构及优势
您可在企业主机安全通过配置常用登录地、常用登录IP、SSH登录IP白名单、双因子认证、弱口令检测、登录安全检测来增强服务器登录时的安全性。
前提条件
主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述。
约束与限制
- 开启双因子认证后,仅以下登录方式支持双因子认证:
- Linux:使用SSH密码方式登录云服务器,且OpenSSH版本小于8。
- Windows:使用RDP文件登录Windows云服务器。
- Windows主机使用双因子认证功能时,不支持使用Windows系统的“用户每次登录时须更改密码”功能,如果您需要正常使用该功能,须关闭双因子认证。
- 在Windows主机上,双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突,建议停止“网防G01”软件和服务器版360安全卫士。
实施步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 单击页面左上方的,选择“安全与合规 > 企业主机安全”,进入企业主机安全页面。
- 配置常用登录地
单一账号最多可添加10个常用登录地。
- 在左侧导航栏,选择“安装与配置 > 主机安装与配置”,进入“主机安装与配置”页面。
- 选择“安全配置 > 常用登录地”,进入“常用登录地”页面。
- 单击“添加常用登录地”,弹出“添加常用登录地”对话框。
图2 添加常用登录地
- 在对话框中,选择要添加的常用登录地和常用登录地生效的服务器,确认无误后单击“确定”,添加完成。
常用登录地生效的服务器可选择多个。图3 填写常用登录地信息
- 返回“常用登录地”页面,查看到新增的常用登录地,表示添加成功。
- 配置常用登录IP
单一账号最多可添加20个常用登录IP。
- 选择“安全配置 > 常用登录IP”,进入“常用登录IP”页面。
- 单击“添加常用登录IP”,弹出“添加常用登录IP”对话框。
图4 添加常用登录IP
- 在对话框中,输入“常用登录IP”,勾选需要生效的云服务器,确认无误后单击“确定”,添加完成。
- “常用登录IP”必须填写公网IP或者IP段。
- 生效服务器可选择多个。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成。
图5 填写常用登录IP
- 返回“常用登录IP”页面,查看到新增的常用登录IP,表示添加成功。
- 配置SSH登录IP白名单
- 选择“安全配置 > SSH登录IP白名单”,进入“SSH登录IP白名单”页面。
- 单击“添加白名单IP”,弹出“添加白名单IP”对话框。
图6 添加IP白名单
- 在对话框中,输入“白名单IP”,勾选需要生效的云服务器,确认无误后单击“确定”,添加完成。
- “常用登录IP”必须填写公网IP或者IP段。
- 生效服务器可选择多个。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成。
图7 填写白名单IP信息
- 返回“SSH登录IP白名单”页面,查看到新增的白名单IP,表示添加成功。
- 配置双因子认证
- 选择“双因子认证”,进入“双因子认证”页面。
- 在目标服务器所在行的“操作”列,单击“开启双因子认证”,弹出“开启双因子认证”对话框。
您也可以勾选多台目标服务器,单击列表上方“开启双因子认证”,批量开启多台服务器双因子认证。图8 开启双因子认证
- 在对话框中,选择“验证方式”。
- 短信邮件验证
短信邮件验证需要选择消息通知服务主题。
- 下拉框只展示状态已确认的消息通知服务主题。
- 如果没有主题,请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题。
- 如果您的主题中包含多个手机号码/邮箱,在双因子认证过程中:
- 填写手机号码进行验证时,该主题内的所有订阅终端(手机号、邮箱)都会收到系统发出的验证码消息。
- 填写邮箱进行验证时,仅该验证邮箱会收到系统发出的验证码邮件。
如果您只希望一个手机号码收到验证码,请修改对应主题,仅在主题中保留您希望收到验证码的手机号码。
图9 短信邮件验证
- 验证码验证
选择验证码验证,仅通过实时收到的验证码进行验证。图10 验证码验证
- 短信邮件验证
- 单击“确定”,完成开启双因子认证的操作。
- 返回“双因子认证”页面,查看目标服务器“双因子认证状态”变更为“开启”,表示开启成功。
开启双因子认证成功后,需要等大约5分钟才生效。
在开启双因子认证功能的Windows主机上远程登录其他Windows主机时,需要在开启双因子主机上手动添加凭证,否则会导致远程登录其他Windows主机失败。
添加凭证:打开路径“开始菜单 > 控制面板 > 用户账户 > 凭据管理器 > 添加Windows凭据”,添加您需要访问的远程主机的用户名和密码。
- 配置弱口令检测
- 在左侧导航栏,选择“安全运营 > 策略管理”,进入“策略管理”页面。
- 单击目标策略组名称,进入策略列表页面。
- 单击“策略名称”为“弱口令检测”的名称,弹出“弱口令检测”对话框。
- 根据业务实际情况修改“策略内容”中的参数,参数说明如表1所示。
图11 修改弱口令检测
表1 弱口令检测策略内容参数说明 参数
说明
取值样例
检测时间
配置弱口令检测的时间,可具体到每一天的每一分钟。
01:00
随机偏移时间(秒)
检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”。
3600
检测日
弱口令检测日期。勾选周一到周日检测弱口令的时间。
全选
自定义弱口令
您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的账户使用该弱口令,给主机带来危险。
填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。
test123*
是否开启口令复杂度策略检测
口令复杂度策略是指服务器设置的口令规则和标准。开启“口令复杂度策略”检测,企业主机安全会在用户手动执行基线检查时,对服务器设置的口令复杂度策略进行检测。
- 确认无误后,单击“确定”,完成修改。
后续HSS将按照您配置的弱口令检测策略,对服务器执行弱口令检测。
- 配置登录安全检测
- 单击“策略名称”为“登录安全检测”的名称,弹出“登录安全检测”对话框。
- 根据业务实际情况修改“策略内容”中的参数,参数说明如表2所示。
图12 修改安全检测策略
- 确认无误后,单击“确定”,完成修改。
后续HSS将按照您配置的登录安全检测策略,对服务器执行登录安全检测。