文档首页 > > 用户指南> 安全配置

安全配置

分享
更新时间: 2020/03/12 GMT+08:00

开启防护后,您可以根据需要进行安全配置。包括配置常用登录地、常用登录IP、SSH登录IP白名单,设置自定义弱口令库,设置网站后门检测目录,开启恶意程序自动隔离查杀功能。

配置常用登录地

配置常用登录地后,企业主机安全服务将主动拒绝在非常用地登录主机的行为并告警。每个主机可被添加在多个登录地中。

  1. “常用登录地”页面,单击“添加常用地登录”

    图1 添加常用登录地

  2. 在弹出的对话框中选择“常用登录地”“可选云服务器”即可完成配置。

配置常用登录IP

配置常用登录IP,企业主机安全服务将主动拒绝使用非常用IP登录主机的行为并告警。

  1. “常用登录IP”页面,单击“添加常用登录IP”

    图2 常用登录IP

  1. 在弹出的对话框中输入“常用登录IP”,在“可选云服务器”列表中选择云服务器。

    “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址,您将无法SSH远程登录您的服务器。

配置SSH登录IP白名单

SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。

配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP:

  • 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中,否则您将无法SSH远程登录您的服务器。

    若您的业务需要访问主机,但不需要SSH登录,则可以不用添加到白名单。

  • IP加入白名单后,账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截,该IP对您加入白名单的服务器登录访问将不受任何限制,请谨慎操作。

使用鲲鹏计算EulerOS(EulerOS with ARM)的主机,SSH登录IP白名单功能对其不生效。

  1. “SSH登录IP白名单”页面,单击“添加白名单IP”

    图3 SSH登录IP白名单

  2. “添加SSH登录IP白名单”对话框中输入“白名单IP”,在“可选云服务器”列表中选择云服务器。

    “白名单IP”必须填写公网IP或者IP段(支持IPv6、IPv4地址)。如果设置的非公网IP地址,您将无法SSH远程登录您的服务器。

设置自定义弱口令

弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。

企业主机安全服务会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。

  1. “自定义弱口令”页面,单击“设置自定义弱口令”

    图4 自定义弱口令

  2. “设置自定义弱口令”对话框中添加或删除“自定义弱口令”

    图5 设置自定义弱口令

开启恶意程序隔离查杀

开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。

“恶意程序隔离查杀”界面,选择 “开启”,开启恶意程序隔离查杀功能。
图6 恶意程序隔离查杀

自动隔离查杀有可能发生误报。您可以在企业主机安全控制台“入侵检测”页面中,选择“恶意程序检测”页签,查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作,详情请参见恶意程序处理

程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,请在24小时内执行取消隔离/忽略操作。

设置网站后门检测

网站后门检测功能只有在设置Web路径之后才会生效。
图7 网站后门检测设置
  • 自动识别Web路径。

    自动识别默认关闭,选择“开启”,即可打开自动识别功能。自动识别的Web路径只能查看。

  • 手动添加Web路径。

    单击“添加Web路径”,在弹出的对话框中,填写要添加的Web路径,在“可选云服务器”列表中选择云服务器。手动添加的Web路径可以编辑或删除。

    为防止Web目录中的软件影响企业主机安全服务客户端的正常运行,请勿将Web目录配置在“/usr/local”的路径下。

开启双因子认证

  • 双因子认证功能是一种双因素身份验证机制,结合短信/邮箱验证码,对云服务器登录行为进行二次认证,极大地增强云服务器账户安全性。
  • 开启双因子认证功能后,登录弹性云服务器时,主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。
  • 仅企业版功能支持双因子认证功能。

前提条件

  • 用户已创建“协议”“短信”“邮箱”的消息主题。
  • 主机已开启防护。
  • Linux主机使用“密码”登录方式。
  • 在Windows主机上,双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突,建议停止“网防G01”软件和服务器版360安全卫士。

操作步骤

  1. “双因子认证”页面,单击“开启双因子认证”。

    图8 双因子认证

  2. 在弹出的“开启双因子认证”的对话框中,选择“验证方式”

    • 短信邮件验证

      短信邮件验证需要选择消息通知服务主题。

      • 下拉框只展示状态已确认的消息通知服务主题。
      • 如果没有主题,请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题
      • 若您的主题里包含多个手机号码/邮箱,在认证过程中,该主题内的手机号码/邮箱都会收到系统发出的验证码短信或邮件。若您只希望有一个手机号码/邮箱收到验证码,请修改对应主题,仅在主题中保留您希望收到验证码的手机号码/邮箱。
      图9 短信邮件验证
    • 验证码验证
      图10 验证码验证

  3. 单击“确定”,完成开启双因子认证的操作。开启双因子认证功能后,需要等大约5分钟才生效。

    在开启双因子认证功能的Windows主机上远程登录其他Windows主机时,需要在开启双因子主机上手动添加凭证,否则会导致远程登录其他Windows主机失败。

    添加凭证:打开路径开始菜单 > 控制面板 > 用户账户 > 凭据管理器 > 添加Windows凭据,添加您需要访问的远程主机的用户名和密码。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区