HSS安全扫描流程

选择“控制台 > 所有服务 > 弹性云服务器ECS”，单击左侧导航栏“镜像服务”，点击“私有镜像”页签，选择待上架的镜像，单击“申请服务器”。

1. 在左侧服务列表中选择：“企业主机安全HSS”；

   

2. 在左侧导航栏选择“资产管理>主机管理”

   

3. 单击“开启防护”，手动为已创建的ECS开启HSS防护

   

   

   如所创建的ECS已开启HSS防护（防护状态栏显示“开启”），请点击操作“切换版本”将基础版切换至企业版后，直接启动HSS基线检查。

   

4. 按需购买HSS扫描服务
   

   1. 购买服务时，规格请注意选择“按需计费”和“企业版”；
   2. 因购买按需计费企业版HSS会产生0.03美元/时的费用，使用完之后请立即点击右侧“关闭防护”，避免产生累计费用。

   

   

5. 启动HSS基线检查
   • 购买完服务之后,点击左侧导航栏“风险预防>基线检查”，进入基线检查页面，点击页面右上角”策略管理”按钮，打开策略管理页面；

   

   点击对应策略操作列“编辑”按钮，在“编辑基线检查策略”页面，勾选“云安全实践”和“等保合规”后点击“下一步”按钮，勾选服务器后点击“确认”。

   

   

   

   • 回到“基线检查”页面，在基线检查策略中选择对应的策略，再点击“手动检测按钮”，等待检测完成。

   

6. 待检测完成后，导出扫描报告
   • 点击“风险预防>基线检查”，再单击右侧“导出”按钮，导出扫描报告。

     

   • 根据扫描报告修复高风险问题

   打开扫描报告，筛选威胁等级为“High”和扫描结果为“failed”两项

   

   

   如筛选后的报告中，规则描述项显示“需限制SSH服务使用的密钥文件权限”，处理办法请参见FAQ；其它请参考扫描报告中的“修改建议”，到主机后台进行修复。

1. 将修复完毕的ECS再次打包成镜像

   

2. 以打包好的镜像重新创建ECS，并再次开启HSS防护，重复步骤3使用HSS对主机进行扫描。
3. 上架申请

   扫描完毕之后，若无高危漏洞，请直接提交镜像商品上架申请。

4. 工单帮助
   • 对以上操作步骤如有疑惑，请先参考FAQ；
   • 如以上相关处理办法都未能解决您的问题，请在华为云提交工单并留下联系方式，以便华为工程师联系您指导解决。

由于镜像在拉起的过程中，会将/etc/ssh/*key和/etc/ssh/*key.pub文件进行初始化,需要手动执行如下命令后再封包:

chmod 400 /etc/ssh/*key

chmod 400 /etc/ssh/*key.pub

chattr +i /etc/ssh/*key

chattr +i /etc/ssh/*key.pub

因为 cloud-init 把ssh配置恢复默认，需要在cloud-init 中注释ssh 并设置/etc/ssh/sshd_config的访问权限，操作步骤如下：

• 执行vi /etc/cloud/cloud.cfg打开/etc/ssh/sshd_config文件后，注释ssh 相关内容
• 锁定文件 chattr +i /etc/ssh/sshd_config
  

  注释ssh 相关内容：执行vi /etc/cloud/cloud.cfg打开文件后，注释 /etc/cloud/cloud.cfg这个文件里和ssh有关的内容，在最前面加一个#号即为注释；此步骤请由技术人员操作以防出错。