文档首页/ 企业主机安全 HSS/ 最佳实践/ 使用HSS防御弱口令风险
更新时间:2024-11-19 GMT+08:00

使用HSS防御弱口令风险

应用场景

弱口令是指密码强度低,或广泛被使用,容易被攻击者破解的口令。常见的弱口令包括但不限于如下几种:

  • 常见的系统默认口令,例如admin、root、tomcat、manager等。
  • 纯数字、纯字母或简单的数字和字母组合,例如admin123、123456、abcde等。
  • 具有特殊含义,容易被别人猜测到的口令,例如生日、姓名、手机号等。
  • 多个系统账号使用同一个口令。

在服务器系统中使用弱口令,存在的风险包括但不限于以下几个方面:

  • 信息泄露:攻击者通过猜测或暴力破解弱口令,可以入侵账户,获取用户的个人隐私信息和财务数据。
  • 破坏系统:攻击者破解弱口令入侵系统,可以对系统进行恶意攻击,如删除重要数据、植入恶意软件、恶意修改程序等,导致系统瘫痪或无法正常运行。

HSS提供了经典弱口令检测,可以检测出主机系统和关键软件中设置的弱口令,包括Linux系统的MySQL、FTP、Redis及系统账号弱口令,Windows系统的系统账号弱口令等;建议您使用HSS检测服务器系统中的弱口令,并及时提升口令安全强度,定期更换口令,从而规避弱口令带来的安全风险。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述

如何规避弱口令风险

  1. 检测是否存在弱口令。

    使用HSS的基线检查中的弱口令检测功能,可以检测出当前服务器是否存在弱口令,具体步骤如下:
    1. 配置弱口令检测策略。
      1. 登录管理控制台
      2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
      3. 在左侧导航栏,选择“安全运营 > 策略管理”,进入“策略管理”界面。

        如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

      4. 单击目标策略组名称,进入策略详情列表。

        HSS提供了多个系统预置策略组,主机开启防护后,默认绑定系统预置策略组。您也可以通过单击已有策略组“操作”列的“复制”,新建策略组进行弱口令策略配置。具体操作,请参见创建自定义策略组

      5. 筛选出“弱口令检测”策略,在其操作列单击“开启”,开启弱口令检测。
      6. 单击“弱口令检测”策略名称,进入到弱口令检测策略详情页面。
      7. 自定义弱口令检测的检测时间、检测周期等策略内容,参数说明如表1所示。
        表1 弱口令检测策略内容参数说明

        参数

        说明

        检测时间

        配置弱口令检测的时间,可具体到每一天的每一分钟。

        随机偏移时间(秒)

        检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”

        检测日

        弱口令检测日期。勾选周一到周日检测弱口令的时间。

        自定义弱口令

        您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的账户使用该弱口令,给主机带来危险。

        填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。

        是否开启口令复杂度策略检测

        口令复杂度策略是指服务器设置的口令规则和标准。开启“口令复杂度策略”检测,企业主机安全会在用户手动执行基线检查时,对服务器设置的口令复杂度策略进行检测。

      8. 确认无误,单击“确认”,完成修改。

        如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

    2. (可选)为服务器部署策略。

      如果在1.a中,您是基于新创建的自定义策略组进行弱口令策略配置,则完成策略组创建和策略配置后,您需要将新建的策略组部署应用到目标服务器,详细操作请参见部署策略

    3. 执行弱口令检查。

      企业主机安全默认每日凌晨01:00左右将自动进行一次全量服务器的经典弱口令检测。

      若您在a. 配置弱口令检测策略中已经自定义弱口令的自动检测时间和周期,则企业主机安全将按照您配置的检测时间和周期自动进行经典弱口令检测。

    4. 查看弱口令检查结果。
      1. 在主机安全平台界面的左侧导航栏,选择“风险预防 > 基线检查”,进入“基线检查”界面。

        如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

      2. 单击“经典弱口令检测”,在列表中,可以查看存在的弱口令。

  2. 修改弱口令,提升口令安全强度。

    根据1.d中检测出的经典弱口令列表中的“服务器名称/IP地址”“账户名称”“账户类型”“弱口令使用时长(单位:天)”,登录待修改弱口令的主机,修改弱口令。更多信息,请参见如何设置安全的口令

  3. 定期修改口令。

    建议每隔90天修改一次口令。

如何设置安全的口令

  • 建议设置的口令复杂度

    为保证口令的安全,建议您按下述规则设置口令:

    • 密码长度范围为8到26位。
    • 密码至少包含以下4种字符中的3种:
      • 大写字母
      • 小写字母
      • 数字
      • Windows操作系统云服务器特殊字符:包括“!”、“@”、“$”、“%”、“^”、“-”、“_”、“=”、“+”、“[”、“{”、“(”、“)”、“}”、“]”、“:”、“,”、“.”、“/”、“?”、“~”“#”和“*”
      • Linux操作系统云服务器特殊字符:包括“!”、“@”、“$”、“%”、“^”、“-”、“_”、“=”、“+”、“[”、“{”、“}”、“]”、“:”、“,”、“.”、“/”、“?”、“~”“#”和“*”
    • 密码不能包含用户名或用户名的逆序。
    • Windows操作系统的云服务器,不能包含用户名中超过两个连续字符的部分。
  • 常见系统的口令修改方法

    系统名称

    修改登录口令

    说明

    Windows系统

    以Windows 10为例说明。

    1. 登录Windows主机系统。
    2. 单击左下角的,然后单击,弹出“Windows设置”窗口。
    3. “Windows设置”窗口中,单击“账户”
    4. 在左侧导航栏中,单击登录选项。
    5. “登录选项”页面,请根据页面提示信息修改服务器密码。

    Linux系统

    登录Linux服务器,执行以下命令,修改用户登录口令。

    passswd [<user>]

    若不输入登录用户名,则修改的是当前用户的口令。

    命令执行完成后,请根据提示输入新的口令。

    说明:

    “user”为登录用户名。

    MySQL数据库

    1. 登录MySQL数据库。
    2. 执行以下命令,查看数据库用户密码。

      SELECT user, host, authentication_string From user;

      部分MySQL数据库版本可能不支持以上查询命令。

      若执行以上命令没有获取到用户密码信息,请执行命令。

      SELECT user, host password From user;

    3. 执行以下命令,根据查询结果及弱密码告警信息,修改具体用户的密码。

      SET PASSWORD FOR '用户名'@'主机'=PASSWORD('新密码');

    4. 执行以下命令,刷新修改的密码信息。

      flush privileges;

    Redis数据库

    1. 打开Redis数据库的配置文件redis.conf。
    2. 执行以下命令,修改弱口令。

      requirepass <password>;

    • 若已存在登录口令,则将其修改为复杂口令。
    • 若不存在登录口令,则添加为新口令。
    说明:

    “password”为登录口令。

    Tomcat

    1. 打开Tomcat根目录下的配置文件“conf/tomcat-user.xml”
    2. 修改user节点的password属性值为复杂口令。