更新时间:2024-03-25 GMT+08:00

HSS安全扫描流程

镜像商品申请上架时,请先进行HSS安全扫描和防病毒扫描,并对扫描结果进行预处理,确保该镜像部署到云主机后,不存在高危漏洞。如扫描后仍存在漏洞,云商店运营将不予通过商品上架申请。

请参照以下方式进行HSS安全扫描,防病毒扫描流程请参考《防病毒扫描流程》

预处理前,请确保您已经完成了私有镜像制作,具体流程请参见镜像类商品制作说明

HSS安全扫描完成后,需将扫描结果文件与防病毒扫描材料汇总后,以附件形式,邮件发送至wujunchuan@huawei-partners.com。

操作步骤

  1. 申请服务器

    选择“控制台 > 所有服务 > 弹性云服务器ECS”,单击左侧导航栏“镜像服务”,点击“私有镜像”页签,选择待上架的镜像,单击“申请服务器”。

  2. 创建ECS

    基于私有镜像创建ECS的流程和公共镜像创建ECS的流程相同,具体流程请参见镜像类商品制作说明,注意以下事项:
    1. 确认计费模式为“按需计费”

    2. 确认私有镜像为待上架镜像

  3. 使用HSS对主机进行扫描

    1. 在左侧服务列表中选择:“企业主机安全HSS”;

    2. 在左侧导航栏选择“资产管理>主机管理

    3. 单击“开启防护”,手动为已创建的ECS开启HSS防护

      如所创建的ECS已开启HSS防护(防护状态栏显示“开启”),请点击操作“切换版本”将基础版切换至企业版后,直接启动HSS基线检查

    4. 按需购买HSS扫描服务
      1. 购买服务时,规格请注意选择“按需计费”和“企业版”;
      2. 因购买按需计费企业版HSS会产生0.03美元/时的费用,使用完之后请立即点击右侧“关闭防护”,避免产生累计费用。

    5. 启动HSS基线检查
      • 购买完服务之后,点击左侧导航栏“风险预防>基线检查”,进入基线检查页面,点击页面右上角”策略管理”按钮,打开策略管理页面;

      点击对应策略操作列“编辑”按钮,在“编辑基线检查策略”页面,勾选“云安全实践”和“等保合规”后点击“下一步”按钮,勾选服务器后点击“确认”。

      • 回到“基线检查”页面,在基线检查策略中选择对应的策略,再点击“手动检测按钮”,等待检测完成。

    6. 待检测完成后,导出扫描报告
      • 根据扫描报告修复高风险问题

      打开扫描报告,筛选威胁等级为“High”和扫描结果为“failed”两项

      如筛选后的报告中,规则描述项显示“需限制SSH服务使用的密钥文件权限”,处理办法请参见FAQ;其它请参考扫描报告中的“修改建议”,到主机后台进行修复。

  4. 再次打包镜像,执行HSS扫描

    1. 将修复完毕的ECS再次打包成镜像

    2. 以打包好的镜像重新创建ECS,并再次开启HSS防护,重复步骤3使用HSS对主机进行扫描。
    3. 上架申请

      扫描完毕之后,若无高危漏洞,请直接提交镜像商品上架申请。

    4. 工单帮助
      • 对以上操作步骤如有疑惑,请先参考FAQ
      • 如以上相关处理办法都未能解决您的问题,请在华为云提交工单并留下联系方式,以便华为工程师联系您指导解决。

FAQ

  1. 需限制SSH服务使用的密钥文件权限。

    由于镜像在拉起的过程中,会将/etc/ssh/*key和/etc/ssh/*key.pub文件进行初始化,需要手动执行如下命令后再封包:

    chmod 400 /etc/ssh/*key

    chmod 400 /etc/ssh/*key.pub

    chattr +i /etc/ssh/*key

    chattr +i /etc/ssh/*key.pub

  2. 需限制/etc/ssh/sshd_config的访问权限

    因为 cloud-init 把ssh配置恢复默认,需要在cloud-init 中注释ssh 并设置/etc/ssh/sshd_config的访问权限,操作步骤如下:

    • 执行vi /etc/cloud/cloud.cfg打开/etc/ssh/sshd_config文件后,注释ssh 相关内容
    • 锁定文件 chattr +i /etc/ssh/sshd_config

      注释ssh 相关内容:执行vi /etc/cloud/cloud.cfg打开文件后,注释 /etc/cloud/cloud.cfg这个文件里和ssh有关的内容,在最前面加一个#号即为注释;此步骤请由技术人员操作以防出错。