处理漏洞
当HSS扫描到服务器存在漏洞时,您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞,避免漏洞被入侵者利用入侵您的服务器。
漏洞支持以下三种处理方式:
- 修复漏洞
如果漏洞对您的业务可能产生危害,建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞,您可以在企业主机安全控制台一键自动修复漏洞,对于Web-CMS漏洞、应用漏洞,暂不支持自动修复,您可以参考漏洞详情界面提供的修复建议手动修复漏洞。
- 忽略漏洞
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某漏洞暂时无害,可以忽略该漏洞。下一次漏洞扫描任务执行后,HSS仍然会向您告警该漏洞。
- 添加漏洞白名单
如果确认漏洞不会对您的业务造成任何影响,无需修复,您可以将漏洞添加至白名单。漏洞加入白名单后,针对漏洞列表已经展示的漏洞信息会系统处理为“忽略”,不再为您上报告警,在下一次漏洞扫描任务执行时系统不会再扫描和呈现该漏洞信息。
约束限制
- CentOS 6和CentOS 8官方已停止维护,HSS使用Redhat的补丁公告替代扫描,因此这两个操作系统的漏洞无法修复,建议您切换其他操作系统。
- Ubuntu 18.04及以下版本目前已不支持免费补丁更新,需要申请配置Ubuntu Pro后才能安装升级包,未配置Ubuntu Pro会导致漏洞修复失败。
- CCE 、MRS、BMS的主机不能修复内核漏洞,贸然修复可能导致功能不可用。
- 处理漏洞时需保证目标服务器的“服务器状态”为“运行中”、“Agent状态”为“在线”、“防护状态”为“防护中”。
操作风险
- 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云备份(CBR)为ECS创建备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
- 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。
漏洞修复优先级
HSS的漏洞扫描系统将漏洞修复优先级分为紧急、高、中、低四个等级,您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。
- 紧急:您必须立即修复的漏洞,攻击者利用该漏洞会对主机造成较大的破坏。
- 高:您需要尽快修复的漏洞,攻击者利用该漏洞会对主机造成损害。
- 中:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
- 低:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。
漏洞显示时长
扫描到的漏洞,无论您是否处理过,都将在漏洞列表展示7天。
自动修复漏洞(漏洞视图)
仅Linux系统漏洞和Windows系统漏洞支持控制台一键自动修复漏洞。
单次最多可修复1000个服务器漏洞,如果您有超过1000的漏洞需要修复,请分批修复。
- 登录管理控制台。
- 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。 - 在左侧导航树中,选择,进入漏洞管理界面。
- 修复Linux漏洞和Windows漏洞
- 在修复对话框中勾选知晓风险后,单击“自动修复”。
- 单击漏洞名称,进入漏洞详情页面。
- 选择“历史处置记录”页签,您可以查看目标漏洞“状态”列的修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
自动修复漏洞(主机视图)
仅Linux系统漏洞和Windows系统漏洞支持控制台一键自动修复漏洞。
- 登录管理控制台。
- 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 修复Linux漏洞和Windows漏洞。
- 修复服务器存在的所有Linux或Windows漏洞
- 在目标漏洞服务器所在行的“操作”列,单击“修复”。
您也可以选中多台服务器,并在列表上方单击“批量修复”;如果需要修复所有主机漏洞,您可以勾选批量修复对话框中的“选中全部主机”。
拥有至少一个旗舰版防护配额的主机时,支持选中全部主机操作。
- 在修复对话框中,勾选需要修复漏洞的类型并勾选知晓风险后,单击“确认”。
仅Linux系统漏洞、Windows系统漏洞支持一键自动修复,Web-CMS漏洞、应用漏洞需要您登录服务器手动修复。
- 单击服务器名称,进入服务器详情页面,查看所有漏洞修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
- 在目标漏洞服务器所在行的“操作”列,单击“修复”。
- 修复单台服务器存在的一个或多个漏洞
- 单击目标漏洞服务器名称,进入服务器详情页面。
- 在目标漏洞所在行的“操作”列,单击“修复”。
您也可以勾选所有目标漏洞,单击漏洞列表上方的“批量修复”,批量修复漏洞。
- 勾选知晓风险后,单击“自动修复”。
- 在目标漏洞行的状态列,查看漏洞的修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
- 修复服务器存在的所有Linux或Windows漏洞
手动修复漏洞
对于Web-CMS漏洞和应用漏洞,HSS不支持一键自动修复,您可以参考漏洞详情页面的修复建议,登录服务器手动修复。
- “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启服务器,否则HSS仍可能为您推送漏洞消息。
- 不同的漏洞请根据修复建议依次进行修复。
- 若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
查看漏洞修复建议
- 登录管理控制台。
- 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 单击目标漏洞名称,进入漏洞详情页面,查看修复建议。
参考漏洞修复方案进行漏洞修复
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
- 方案一:创建新的虚拟机执行漏洞修复
- 为需要修复漏洞的ECS主机创建镜像。
- 使用该镜像创建新的ECS主机。
- 在新启动的主机上执行漏洞修复并验证修复结果。
- 确认修复完成之后将业务切换到新主机。
- 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
- 方案二:在当前主机执行修复
- 为需要修复漏洞的ECS主机创建备份。
- 在当前主机上直接进行漏洞修复。
- 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态。
- 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。如果漏洞修复不成功可以随时释放以节省开销。
- 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
忽略漏洞
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。
忽略后,企业主机安全将不会对该漏洞告警。
- 登录管理控制台。
- 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 在目标漏洞所在行的“操作”列,单击“忽略”。
- 在弹出的对话框中,单击“确认”。
漏洞添加白名单
如果您评估某些漏洞对您的业务不会产生影响,并且不想在漏洞列表中看到该漏洞,您可以将该漏洞加入白名单,加入白名单后,针对漏洞列表已经展示的漏洞信息会处理为忽略,不再为您上报告警,在下一次漏洞扫描任务执行时不再扫描该漏洞和呈现该漏洞信息。
- 登录管理控制台。
- 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 在左侧导航树中,选择,进入漏洞管理界面。
- 将漏洞影响的所有服务器加入白名单
- 在目标漏洞所在行的“操作”列,选择。
您也可以都选多个目标漏洞,单击漏洞列表上方的“加入白名单”。
- 在弹出的对话框中,单击“确认”。
- 在目标漏洞所在行的“操作”列,选择。
- 将漏洞影响的单个或多个服务器加入白名单。
- 单击目标漏洞的名称,进入漏洞详情页面。
- 选择“受影响服务器”页签。
- 在目标服务器所在行的“操作”列,选择。
您也可以勾选多个服务器,单击服务器列表上方的“加入白名单”。
- 在弹出的对话框中,单击“确认”。
- 通过白名单规则将漏洞加入白名单。
- 在漏洞管理界面右上角,单击“漏洞策略配置”,进入漏洞策略配置页面。
- 在漏洞白名单配置区域,单击“新增规则”。
- 根据界面提示配置白名单规则,相关参数说明请参见表 漏洞白名单规则参数说明。
- 单击“确认”。
- 将漏洞影响的所有服务器加入白名单
修复验证
漏洞修复后,建议您立即进行验证。
手动验证
- 通过漏洞详情页面的“验证”,进行一键验证。
- 执行以下命令查看软件升级结果,确保软件已升级为最新版本。
表4 验证修复命令 操作系统
修复命令
CentOS/Fedora /Euler/Redhat/Oracle
rpm -qa | grep 软件名称
Debian/Ubuntu
dpkg -l | grep 软件名称
Gentoo
emerge --search 软件名称
自动验证
若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。
