约束与限制
主机防护限制
HSS支持对华为云主机、第三方云主机和线下数据中心(IDC)进行防护,具体支持防护的主机类型包括:
- 华为云
- 华为云弹性云服务器(Elastic Cloud Server,ECS)
- 华为云裸金属服务器(Bare Metal Server,BMS)
- 华为云云桌面(Workspace)
- 第三方
- 第三方云主机
- 线下IDC
容器防护限制
类别 |
支持防护的容器类型 |
约束与限制 |
|---|---|---|
华为云 |
|
|
第三方 |
|
|
防护配额限制
在主机安全服务中,防护配额是分配给主机或容器节点的防护资源,每台主机或容器节点开启防护都需要绑定一个防护配额。
以下是防护配额的一些使用限制:
- 防护配额不能跨区域使用。
购买防护配额时,请正确选择区域信息。不同类型主机,选择区域请参考表 防护配额区域限制。
表2 防护配额区域限制 类别
主机类型
防护配额区域说明
华为云
- 华为云弹性云服务器ECS
- 华为云裸金属服务器BMS
- 华为云云桌面Workspace
请选择ECS/BMS/Workspace所在区域购买主机防护配额。
HSS不支持跨区域使用,如果主机与防护配额不在同一区域,请退订配额后,重新购买主机所在区域的配额。
第三方
- 第三方云主机
- 线下IDC
第三方主机购买配额时选择的区域因接入HSS的方式而不同:
- 公网接入:即主机能够访问公网,通过公网接入HSS。请选择主机所在的区域购买防护配额。
- 专线代理接入:即主机不能访问公网,需要通过“专线+代理”的方式接入HSS。目前仅部分区域支持通过专线代理方式将第三方主机接入HSS,具体区域请参见哪些区域支持通过专线代理接入第三方主机?。
请在支持通过专线代理方式将第三方主机接入HSS的区域购买主机防护配额,然后使用第三方主机的Agent安装方式,将主机接入配额所在区域。
- 一个防护配额只能绑定一个主机或一个容器节点。
- 一个区域最多支持购买50000个防护配额。
- 防护配额购买完成后,您的主机或容器还未被防护,请前往HSS控制台参考界面提示为主机或容器安装Agent并开启防护。
操作系统限制
主机安全服务的Agent、系统漏洞扫描功能对操作系统有一定限制,部分操作系统暂不支持。
HSS对操作系统的限制请参见:
- CentOS 6.x版本由于Linux官网已停止更新维护,主机安全服务也不再支持CentOS 6.x及以下的系统版本,谢谢您的理解!
- 本文表格中使用的标识含义如下:
- √表示支持
- ×表示不支持
操作系统版本 |
Agent支持情况 |
系统漏洞扫描支持情况 |
|---|---|---|
Windows 10(64位) |
√
说明:
仅支持华为云云桌面使用该操作系统。 |
× |
Windows 11(64位) |
√
说明:
仅支持华为云云桌面使用该操作系统。 |
× |
Windows Server 2012 R2 标准版 64位英文(40GB) |
√ |
√ |
Windows Server 2012 R2 标准版 64位简体中文(40GB) |
√ |
√ |
Windows Server 2012 R2 数据中心版 64位英文(40GB) |
√ |
√ |
Windows Server 2012 R2 数据中心版 64位简体中文(40GB) |
√ |
√ |
Windows Server 2016 标准版 64位英文(40GB) |
√ |
√ |
Windows Server 2016 标准版 64位简体中文(40GB) |
√ |
√ |
Windows Server 2016 数据中心版 64位英文(40GB) |
√ |
√ |
Windows Server 2016 数据中心版 64位简体中文(40GB) |
√ |
√ |
Windows Server 2019 数据中心版 64位英文(40GB) |
√ |
√ |
Windows Server 2019 数据中心版 64位简体中文(40GB) |
√ |
√ |
Windows Server 2022 数据中心版 64位英文(40GB) |
√ |
√ |
Windows Server 2022 数据中心版 64位简体中文(40GB) |
√ |
√ |
操作系统版本 |
Agent支持情况 |
系统漏洞扫描支持情况 |
|---|---|---|
CentOS 7.4(64位) |
√ |
√ |
CentOS 7.5(64位) |
√ |
√ |
CentOS 7.6(64位) |
√ |
√ |
CentOS 7.7(64位) |
√ |
√ |
CentOS 7.8(64位) |
√ |
√ |
CentOS 7.9(64位) |
√ |
√ |
CentOS 8.1(64位) |
√ |
× |
CentOS 8.2(64位) |
√ |
× |
CentOS 8(64位) |
√ |
× |
CentOS 9(64位) |
√ |
× |
Debian 9(64位) |
√ |
√ |
Debian 10(64位) |
√ |
√ |
Debian 11.0.0(64位) |
√ |
√ |
Debian 11.1.0(64位) |
√ |
√ |
EulerOS 2.2(64位) |
√ |
√ |
EulerOS 2.3(64位) |
√ |
√ |
EulerOS 2.5(64位) |
√ |
√ |
EulerOS 2.7(64位) |
√ |
× |
EulerOS 2.9(64位) |
√ |
√ |
Fedora 28(64位) |
√ |
× |
Fedora 31(64位) |
√ |
× |
Fedora 32(64位) |
√ |
× |
Fedora 33(64位) |
√ |
× |
Fedora 34(64位) |
√ |
× |
Ubuntu 16.04(64位) |
√ |
√ |
Ubuntu 18.04(64位) |
√ |
√ |
Ubuntu 20.04(64位) |
√ |
√ |
Ubuntu 22.04(64位) |
√ |
√ |
Ubuntu 24.04(64位) |
√
说明:
暂不支持暴力破解检测。 |
× |
Red Hat 7.4(64位) |
√ |
× |
Red Hat 7.6(64位) |
√ |
× |
Red Hat 8.0(64位) |
√ |
× |
Red Hat 8.7(64位) |
√ |
× |
OpenEuler 20.03 LTS(64位) |
√ |
× |
OpenEuler 22.03 SP3(64位) |
√ |
× |
OpenEuler 22.03(64位) |
√ |
× |
AlmaLinux 8.4(64位) |
√ |
√ |
AlmaLinux 9.0(64位) |
√ |
× |
RockyLinux 8.4(64位) |
√ |
× |
RockyLinux 8.5(64位) |
√ |
× |
RockyLinux 9.0(64位) |
√ |
× |
HCE 1.1(64位) |
√ |
√ |
HCE 2.0(64位) |
√ |
√ |
SUSE 12 SP5(64位) |
√ |
√ |
SUSE 15(64位) |
√ |
× |
SUSE 15 SP1(64位) |
√ |
√ |
SUSE 15 SP2(64位) |
√ |
√ |
SUSE 15 SP3(64位) |
√ |
× |
SUSE 15.5(64位) |
√ |
× |
SUSE 15 SP6(64位) |
√
说明:
暂不支持暴力破解检测。 |
× |
Kylin V10(64位) |
√ |
√ |
Kylin V10 SP3(64位) |
√ |
× |
统信UOS 1050u2e |
√
说明:
暂不支持文件逃逸检测。 |
√ |
操作系统版本 |
Agent支持情况 |
系统漏洞扫描支持情况 |
|---|---|---|
CentOS 7.4(64位) |
√ |
√ |
CentOS 7.5(64位) |
√ |
√ |
CentOS 7.6(64位) |
√ |
√ |
CentOS 7.7(64位) |
√ |
√ |
CentOS 7.8(64位) |
√ |
√ |
CentOS 7.9(64位) |
√ |
√ |
CentOS 8.0(64位) |
√ |
× |
CentOS 8.1(64位) |
√ |
× |
CentOS 8.2(64位) |
√ |
× |
CentOS 9(64位) |
√ |
× |
EulerOS 2.8(64位) |
√ |
√ |
EulerOS 2.9(64位) |
√ |
√ |
Fedora 29(64位) |
√ |
× |
Ubuntu 18.04(64位) |
√ |
× |
Ubuntu 24.04(64位) |
√
说明:
暂不支持暴力破解检测。 |
× |
Kylin V7(64位) |
√ |
× |
Kylin V10(64位) |
√ |
√ |
HCE 2.0(64位) |
√ |
√ |
统信UOS V20(64位) |
√ |
√
说明:
仅统信UOS V20服务器E版、D版支持系统漏洞扫描。 |
Agent限制
- 如果服务器安装了360安全卫士、腾讯管家、McAfee软件等第三方安全防护软件,请先卸载再安装主机安全Agent;第三方安全软件与主机安全Agent存在不兼容的情况,会影响主机安全的防护功能。
- 主机或容器节点安装Agent后,Agent可能修改如下系统文件或配置:
- Linux系统文件:
- /etc/hosts.deny
- /etc/hosts.allow
- /etc/rc.local
- /etc/ssh/sshd_config
- /etc/pam.d/sshd
- /etc/docker/daemon.json
- /etc/sysctl.conf
- /sys/fs/cgroup/cpu/(在该目录下新建HSS进程的子目录)
- /sys/kernel/debug/tracing/instances(在该目录下新建CSA实例)
- Linux系统配置:iptables规则
- Windows系统配置:
- 防火墙规则
- 系统登录事件审计策略
- Windows Remote Management信任主机列表
- Linux系统文件:
暴力破解防护限制
- 使用鲲鹏计算EulerOS(EulerOS with ARM)操作系统的主机,在遭受SSH账户破解攻击时,HSS不会对攻击IP进行拦截,仅支持对攻击行为进行告警。
- 为Windows主机开启防护时,需要授权开启Windows防火墙,且使用主机安全服务期间请勿关闭Windows防火墙。
如果关闭Windows防火墙,HSS无法拦截账户暴力破解的攻击源IP;即使手动关闭后开启Windows防火墙,也可能导致HSS不能拦截账户暴力破解的攻击源IP。
