HSS登录安全加固最佳实践
在使用服务器的过程中,频频出现服务器被入侵、攻击的事件,但在被入侵、破解成功前通常攻击者是以账号、密码为首要目标进行攻击,因此,增强登录时的安全性成为了防护服务器安全、保证业务正常运行的第一道安全门。
前提条件
所有登录安全加固的配置场景均需要已购买云服务器且已开启防护。
登录安全加固场景
您可在主机安全服务通过配置常用登录地、常用登录IP、SSH白名单、双因子认证、弱口令检测、登录安全检测来增强服务器登录时的安全性。
为了登录时的高度安全性,建议您对所有场景进行配置。
![](https://support.huaweicloud.com/bestpractice-hss2.0/public_sys-resources/note_3.0-zh-cn.png)
登录安全检测需购买专业版及以上版本才可支持。
![](https://support.huaweicloud.com/bestpractice-hss2.0/zh-cn_image_0000001869283968.png)
常用登录地配置
配置常用登录地后,主机安全服务将对非常用登录地登录云服务器的行为进行告警,每台云服务器可添加多个登录地。
约束限制
单一账号最多可添加10个常用登录地。
操作步骤
- 选择“添加常用地登录”。
,单击图2 添加常用登录地
- 在弹出的对话框中依次选择地理位置、国家名称、城市名称,选择后勾选需要生效登录地信息的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
图3 填写常用登录地信息
- 返回 页面查看是否已新增,出现新增表示添加成功。
常用登录IP配置
配置常用登录IP后,主机安全服务将对非常用IP登录服务器的行为进行告警。
约束限制
单一账号最多可添加20个常用登录IP。
操作步骤
- 选择“添加常用登录IP”。
,单击图4 添加常用登录IP
- 在弹出的对话框中输入“常用登录IP”,勾选需要生效的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- “常用登录IP”必须填写公网IP或者IP段。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成。
图5 填写常用登录IP - 返回 页面查看是否已新增,出现新增表示添加成功。
SSH登录IP白名单配置
SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。
![](https://support.huaweicloud.com/bestpractice-hss2.0/public_sys-resources/note_3.0-zh-cn.png)
- 选择“添加白名单IP”。
,单击图6 添加IP白名单
- 在弹出的对话框中输入“白名单IP”,勾选需要生效的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- “常用登录IP”必须填写公网IP或者IP段。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成。
图7 填写白名单IP信息 - 返回 页面查看是否已新增,出现新增表示添加成功。
双因子认证配置
双因子认证功能是一种双因素身份验证机制,结合短信/邮箱验证码,对云服务器登录行为进行二次认证,极大地增强云服务器账户安全性。
开启双因子认证功能后,登录云服务器时,主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。
前提条件
- 用户已创建“协议”为“短信”或“邮箱”的消息主题。
- 主机已开启防护。
- Linux主机使用“密码”登录方式。
- 在Windows主机上,双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突,建议停止“网防G01”软件和服务器版360安全卫士。
- 开启双因子认证后,不能通过已安装图形化界面的Linux系统登录主机。
- 在Linux主机上,开启双因子认证后,不能通过云堡垒机登录主机。
- linux的openssh版本仅小于8时才支持双因子。
操作步骤
- 选择“双因子认证”页面。
,进入
- 单击“操作”列“开启双因子认证”开启单台服务器双因子认证
- 勾选多台目标服务器,单击上方“开启双因子认证”批量开启多台服务器双因子认证。
图8 开启双因子认证
- 在“开启双因子认证”弹窗中,选择“验证方式”。
- 短信邮件验证
短信邮件验证需要选择消息通知服务主题。
- 下拉框只展示状态已确认的消息通知服务主题。
- 如果没有主题,请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题。
- 若您的主题里包含多个手机号码/邮箱,在认证过程中,该主题内的手机号码/邮箱都会收到系统发出的验证码短信或邮件。若您只希望有一个手机号码/邮箱收到验证码,请修改对应主题,仅在主题中保留您希望收到验证码的手机号码/邮箱。
图9 短信邮件验证 - 验证码验证
选择验证码验证,仅通过实时收到的验证进行验证。图10 验证码验证
- 短信邮件验证
- 单击“确定”,完成开启双因子认证的操作。
- 返回“双因子认证状态”变更为“开启”表示开启成功。
页面查看目标服务器开启双因子认证成功后,需要等大约5分钟才生效。
在开启双因子认证功能的Windows主机上远程登录其他Windows主机时,需要在开启双因子主机上手动添加凭证,否则会导致远程登录其他Windows主机失败。
添加凭证:打开路径
,添加您需要访问的远程主机的用户名和密码。
弱口令检测配置
弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。
数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。
主机安全服务会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。
- 选择“策略管理”页面。 ,进入
- 单击目标策略组名称,进入策略组界面。
- 进入策略组列表,单击“策略名称”为“弱口令检测”的名称。
- 进入策略内容配置页面,可对“策略内容”中的参数进行修改,建议保持默认值,参数说明如表1所示。
图11 修改弱口令检测
- 确认无误,单击“确认”,完成修改。
- 进入“部署策略”。
页面勾选目标服务器,单击上方
若需同时为多台服务器部署同一策略,需确认“操作系统”和“防护版本”与目标策略保持一致。
- 在部署策略弹窗选择目标策略组,单击“确认”,完成策略部署。
- 部署完成后在“关联服务器数”列的数值,页面跳转后筛选结果包含部署的目标服务器表示部署成功。
页面,单击目标策略
部署完成后需等待1分钟左右再查看是否部署成功。
登录安全检测配置
配置登录安全后,可为目标服务器开启登录安全检测,可有效检测暴破攻击,自动阻断暴破IP,触发告警并上报。
![](https://support.huaweicloud.com/bestpractice-hss2.0/public_sys-resources/note_3.0-zh-cn.png)
登录安全检测仅专业版及以上版本支持。
- 选择“策略管理”页面。 ,进入
- 单击目标策略组名称,进入策略组界面。
- 进入策略组列表,单击“策略名称”为“登录安全检测”的名称。
- 进入策略内容配置页面,可对“策略内容”中的参数进行修改,建议保持默认值,参数说明如表2所示。
图12 修改安全检测策略
- 确认无误,单击“确认”,完成修改。
- 进入“部署策略”。
页面勾选目标服务器,单击上方
若需同时为多台服务器部署同一策略,需确认“操作系统”和“防护版本”与目标策略保持一致。
- 在部署策略弹窗选择目标策略组,单击“确认”,完成策略部署。
- 部署完成后在“关联服务器数”列的数值,页面跳转后筛选结果包含部署的目标服务器表示部署成功。
页面,单击目标策略
部署完成后需等待1分钟左右再查看是否部署成功。