常用安全配置
开启防护后,您可配置常用登录地、常用登录IP、SSH登录IP白名单,以及开启恶意程序自动隔离查杀,进一步提升云服务器的安全。
- 登录管理控制台。
- 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
配置常用登录地
配置常用登录地后,企业主机安全将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。
- 选择,单击“添加常用地登录”。
- 在弹出的对话框中依次选择地理位置、国家名称、城市名称,选择后勾选需要生效登录地信息的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- 返回页面查看是否已新增,出现新增表示添加成功。
配置常用登录IP
配置常用登录IP,企业主机安全将对非常用IP登录主机的行为进行告警。
- 选择,单击“添加常用登录IP”。
- 在弹出的对话框中输入“常用登录IP”,勾选需要生效的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址,您将无法SSH远程登录您的服务器。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成,且最多可添加20个登录IP。
- 返回页面查看是否已新增,出现新增表示添加成功。
配置SSH登录IP白名单
SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。
- 选择,单击“添加白名单IP”。
- 在弹出的对话框中输入“白名单IP”,勾选需要生效的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址,您将无法SSH远程登录您的服务器。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成。
- 返回页面查看是否已新增,出现新增表示添加成功。
开启恶意程序隔离查杀
开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助您自动识别处理系统存在的安全风险。
自动隔离查杀功能根据可疑程序的置信度得分进行隔离查杀,置信度得分越高,被检测程序是恶意程序的可能性越高,因此为避免误隔离查杀可信程序导致服务器的功能不可用,自动隔离查杀功能只查杀置信度95分及以上的可疑程序,95分以下的可疑程序您如果判断为恶意程序可参考处理主机告警事件手动隔离查杀。
您可以在HSS控制台选择,进入安全告警事件页面,单击恶意程序告警名称,进入“恶意程序”告警详情页查看恶意程序置信度得分。
- 选择,单击“恶意程序隔离查杀”的开关,开启“恶意程序隔离查杀”。
开启后将应用至企业主机安全全局服务器,但部分检测能力受主机安全配额版本的限制无法运行,若需正常使用,建议您开启企业版及以上版本更好的体验隔离查杀功能。
- 在弹出的对话框中单击“确认”,开启“恶意程序隔离查杀”。
自动隔离查杀有可能发生误报。您可以在企业主机安全控制台“入侵检测”页面中,选择“事件管理”页签,查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作,详情请参见查看入侵告警事件。
- 程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。
- 在“恶意程序隔离查杀”界面,如果不开启“恶意程序隔离查杀”功能,当HSS检测到恶意程序时,将会触发告警。
您可以在“入侵检测”的“安全告警事件”中,查看“恶意程序”中的告警信息,并对恶意程序进行隔离查杀。
开启双因子认证
前提条件
- 用户已创建“协议”为“短信”或“邮箱”的消息主题。
- 主机已开启防护。
- 开启双因子认证需要关闭Selinux防火墙。
约束与限制
- Linux:使用SSH密码方式登录云服务器,且OpenSSH版本小于8。
- Windows:使用RDP文件登录Windows云服务器。
操作步骤
- 在“双因子认证”页面,可勾选多个目标服务器后单击上方“开启双因子认证”,也可单击目标服务器操作列“开启双因子认证”。
- 在弹出的“开启双因子认证”的对话框中,选择“验证方式”。
- 验证码验证
选择验证码验证,仅通过实时收到的验证进行验证。
- 验证码验证
- 单击“确定”,完成开启双因子认证的操作。开启双因子认证功能后,需要等大约5分钟才生效。
在开启双因子认证功能的Windows主机上远程登录其他Windows主机时,需要在开启双因子主机上手动添加凭证,否则会导致远程登录其他Windows主机失败。
添加凭证:打开路径,添加您需要访问的远程主机的用户名和密码。
