文档首页/ 企业主机安全 HSS/ 最佳实践/ 使用HSS增强主机登录安全
更新时间:2025-06-26 GMT+08:00
查看PDF
分享

使用HSS增强主机登录安全

应用场景

在主机被入侵、破解成功前,通常攻击者是以账号、密码为首要目标进行攻击,因此,增强主机登录时的安全性成为了防护主机安全、保证业务正常运行的第一道安全门。

本方案为您介绍如何通过HSS增强主机登录安全。

方案架构及优势

您可在企业主机安全通过配置常用登录地、常用登录IP、SSH登录IP白名单、双因子认证、弱口令检测、登录安全检测来增强服务器登录时的安全性。

图1 主机登录安全加固
  • 常用登录地

    配置常用登录地后,企业主机安全将对非常用登录地登录云服务器的行为进行告警。

  • 常用登录IP

    配置常用登录IP后,企业主机安全将对非常用IP登录服务器的行为进行告警。

  • SSH登录IP白名单

    SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。

  • 双因子认证

    双因子认证功能是一种双因素身份验证机制,结合短信/邮箱验证码,对云服务器登录行为进行二次认证,极大地增强云服务器账户安全性。

  • 弱口令检测

    弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。

    企业主机安全默认会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令自行添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。

  • 登录安全检测

    配置登录安全检测策略后,可为目标服务器开启登录安全检测,可有效检测暴破攻击,自动阻断暴破IP,触发告警并上报。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述

约束与限制

  • 双因子认证:
    • 开启双因子认证后,仅以下登录方式支持双因子认证:
      • Linux:使用SSH密码方式登录云服务器,且OpenSSH版本小于8。
      • Windows:使用RDP文件登录Windows云服务器。
    • Windows主机使用双因子认证功能时,不支持使用Windows系统的“用户每次登录时须更改密码”功能,如果您需要正常使用该功能,须关闭双因子认证。
    • 在Windows主机上,双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突,建议停止“网防G01”软件和服务器版360安全卫士。
  • SSH登录IP白名单:
    • 使用鲲鹏计算EulerOS(EulerOS with Arm)的主机,SSH登录IP白名单功能对其不生效。
    • 配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP。
      • 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中,否则您将无法SSH远程登录您的服务器。

        若您的业务需要访问主机,但不需要SSH登录,则可以不用添加到白名单。

      • IP加入白名单后,账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截,该IP对您加入白名单的服务器登录访问将不受任何限制,请谨慎操作。

实施步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 单击页面左上方的,选择“安全与合规 > 企业主机安全”,进入企业主机安全页面。
  4. 配置常用登录地

    单一账号最多可添加10个常用登录地。

    1. 在左侧导航栏,选择安装与配置 > 主机安装与配置,进入“主机安装与配置”页面。
    2. 选择安全配置 > 常用登录地,进入“常用登录地”页面。
    3. 单击“添加常用登录地”,弹出“添加常用登录地”对话框。
      图2 添加常用登录地
    4. 在对话框中,选择要添加的常用登录地和常用登录地生效的服务器,确认无误后单击确定,添加完成。
      常用登录地生效的服务器可选择多个。
      图3 填写常用登录地信息
    5. 返回“常用登录地”页面,查看到新增的常用登录地,表示添加成功。

  5. 配置常用登录IP

    单一账号最多可添加20个常用登录IP。
    1. 选择安全配置 > 常用登录IP,进入“常用登录IP”页面。
    2. 单击“添加常用登录IP”,弹出“添加常用登录IP”对话框。
      图4 添加常用登录IP
    3. 在对话框中,输入“常用登录IP”,勾选需要生效的云服务器,确认无误后单击确定,添加完成。
      • “常用登录IP”:必须填写公网IP或者IP段,且单次只能添加一个IP或IP段,若需添加多个,请重复执行添加动作,直至全部添加完成。
      • “生效服务器”:可选择多个。
      图5 填写常用登录IP
    1. 返回“常用登录IP”页面,查看到新增的常用登录IP,表示添加成功。

  6. 配置SSH登录IP白名单

    1. 选择安全配置 > SSH登录IP白名单,进入“SSH登录IP白名单”页面。
    2. 单击“添加白名单IP”,弹出“添加白名单IP”对话框。
      图6 添加IP白名单
    3. 在对话框中,输入“白名单IP”,勾选需要生效的云服务器,确认无误后单击确定,添加完成。
      • “白名单IP”:必须填写公网IP或者IP段,且单次只能添加一个IP或IP段,若需添加多个,请重复执行添加动作,直至全部添加完成。最多支持添加10个IP或IP段。
      • “生效服务器”:可选择多个。
      图7 填写白名单IP信息
    4. 返回“SSH登录IP白名单”页面,查看到新增的白名单IP,表示添加成功。

  7. 配置双因子认证

    1. 选择“双因子认证”,进入“双因子认证”页面。
    2. 在目标服务器所在行的“操作”列,单击“开启双因子认证”,弹出“开启双因子认证”对话框。
      您也可以勾选多台目标服务器,单击列表上方“开启双因子认证”,批量开启多台服务器双因子认证。
      图8 开启双因子认证
    3. 在对话框中,选择“验证方式”
      • 短信邮件验证

        短信邮件验证需要选择消息通知服务主题。

        • 下拉框只展示状态已确认的消息通知服务主题。
        • 如果没有主题,请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题
        • 如果您的主题中包含多个手机号码/邮箱,在双因子认证过程中:
          • 填写手机号码进行验证时,该主题内的所有订阅终端(手机号、邮箱)都会收到系统发出的验证码消息。
          • 填写邮箱进行验证时,仅该验证邮箱会收到系统发出的验证码邮件。

          如果您只希望一个手机号码收到验证码,请修改对应主题,仅在主题中保留您希望收到验证码的手机号码。

        图9 短信邮件验证
      • 验证码验证
        选择验证码验证,仅通过实时收到的验证码进行验证。
        图10 验证码验证
    4. 单击确定,完成开启双因子认证的操作。
    5. 返回双因子认证页面,查看目标服务器“双因子认证状态”变更为“开启”,表示开启成功。

      开启双因子认证成功后,需要等大约5分钟才生效。

      当通过开启了双因子认证功能的Windows主机远程登录其他Windows主机时,需要在开启双因子认证的Windows主机上手动添加凭证,否则会导致远程登录其他Windows主机失败。

      添加凭证操作:打开路径开始菜单 > 控制面板 > 用户账户 > 凭据管理器 > 添加Windows凭据,添加您需要访问的远程主机的用户名和密码。

  1. 配置弱口令检测

    1. 在左侧导航栏,选择风险预防 > 基线检查,进入“基线检查”界面。
    2. 在界面右上方,单击“策略管理”,进入“策略管理”页面。
    3. 根据操作系统类型和策略名称,选择待编辑的策略。

      当服务器开启企业主机安全防护后,将自动绑定默认的基线检查策略。其中,基础版、专业版防护的服务器,默认绑定“基础策略”;企业版及以上防护的服务器,默认绑定“高阶策略”

      • 基础版、专业版防护的服务器请选择“基础策略”
      • 企业版及以上防护的服务器支持自定义策略,如果您未创建过自定义基线检查策略,选择“高阶策略”即可;如果您已为服务器创建并绑定了自定义基线检测策略,请根据策略名称选择目标策略。
    4. 在目标策略所在行的“操作”列,单击“编辑”,进入“编辑策略”页面。
    5. 根据业务实际情况修改策略内容,相关参数说明如表1所示。
      表1 编辑策略内容参数说明

      参数

      说明

      策略名称

      不支持修改。

      检测周期

      选择策略执行的检测周期。

      • 定时检查:周期性自动执行检查。
      • 单次手动:仅单次手动执行基线检查时使用。

      检测时间

      单击并在下拉框中选择具体的检测时间。

      随机偏移时间(秒)

      输入检测任务可推迟执行的时间(单位:秒),输入值必须为正整数。

      例如,检测时间是04:00,随机偏移时间是3600秒,则检测任务将在04:00到05:00之间执行。

      检测日

      勾选检测日。

      可选周一、周二、周三、周四、周五、周六或周日。

      选择基线
      • 操作系统

        不支持修改。

      • 基线

        确认选中“弱口令及口令复杂度检测”

        单击经典弱口令和口令复杂度检测这两项检测项名称后,可在右侧列表中单击“自定义”,自定义弱口令或口令复杂度策略检测规则。

        • 自定义弱口令:输入弱口令,多个弱口令以回车换行符分隔。
        • 自定义口令复杂度策略检测规则:根据界面提示设置相应的长度、数字、字母、字符限制。
    6. 策略内容配置完成后,单击“下一步”
    7. 选择策略应用的服务器,并单击“确定”,完成配置。

      后续HSS将按照您配置的检测策略,对服务器执行弱口令检测。

  2. 配置登录安全检测

    1. 单击“策略名称”“登录安全检测”的名称,弹出“登录安全检测”对话框。
    2. 根据业务实际情况修改“策略内容”中的参数,参数说明如表2所示。
      图11 修改安全检测策略
      表2 登录安全检测策略内容参数说明

      参数

      说明

      封禁时间(分钟)

      可设置被阻断攻击IP的封禁时间,封禁时间内不可登录,封禁时间结束后自动解封,可配置范围为“1~43200”

      是否审计登录成功
      • 开启此功能后,HSS将上报登录成功的事件。
        • :开启。
        • :关闭。

      阻断攻击IP(非白名单)

      开启阻断攻击IP后,HSS将阻断爆破行为的IP(非白名单)登录。

      白名单爆破行为是否告警
      • 开启后,HSS将对白名单IP产生的爆破行为进行告警。
        • :开启。
        • :关闭。

      白名单

      将IP添加到白名单后,HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单,且同时支持IPV4和IPV6。
    3. 确认无误后,单击确定,完成修改。

      后续HSS将按照您配置的登录安全检测策略,对服务器执行登录安全检测。