更新时间:2026-02-12 GMT+08:00
主机安全加固建议
主机安全加固建议
- 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。
- 将主机登录方式设置为密钥对登录。弹性云服务器 ECS的密钥对登录设置,请参见密钥对使用场景介绍。
- 提升口令安全性:
- 不使用空口令或系统缺省的口令,因为这些口令非常容易被攻击者利用,甚至无需任何成本,属于典型的弱口令。
- 设置高长度和高复杂度字符的口令。
- 口令不要设置连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:123123)。
- 口令使用复杂组合,如大写字(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符,每类字符至少包含一个。
- 口令中尽量不要包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等与本人有关的信息,以及字典中的单词。
- 口令不要使用数字或符号代替某些字母的单词,例如:passwd。
- 定期更换口令。
- 口令中不建议使用带huawei字样或者带有键盘特征(例如:123qwe!@#,passwd)的字符。
- 更多信息,请参见使用HSS防御弱口令风险。
- 设置ACL访问控制策略拦截非客户业务IP网段登录,设置API侧访问控制策略拦截非客户API访问请求,ACL更多信息,请参见网络ACL概述。
- 应用程序不以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互设置安全组,仅向公网开放必要端口,业务WEB控制台端口、局域网内部通信端口避免暴露在公网。建议客户使用安全产品防护(如WAF)或采取限制允许访问端口的源IP、使用VPN/堡垒机建立的运维通道等措施消减风险。
- 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。
- 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。
- 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。
- 不随意点开不明邮件链接或者网页链接。
华为云安全加固产品推荐
- 用户业务存在数据备份场景,推荐使用华为云提供的云备份 CBR服务。
- 用户业务存在主机防护场景,推荐使用华为云提供的企业主机安全 HSS服务。
- 用户业务存在安全漏洞检测场景,推荐使用华为云提供的漏洞管理服务 CodeArts Inspector服务。
- 用户业务存在Web应用防护场景,推荐使用华为云提供的Web应用防火墙 WAF服务。
- 用户业务存在彻查主机和应用方面潜在的安全风险场景,推荐使用华为云提供的管理检测与响应 MDR服务。
常用第三方产品安全加固建议
- 用户业务存在使用Microsoft SQL Server场景,推荐参考配置Windows服务帐户和权限进行用户最小权限设置。
- 用户业务存在使用用友场景,推荐参考用友安全通告进行加固。
父主题: 主机安全排查
