安全配置
开启防护后,您可配置常用登录地、常用登录IP、SSH登录IP白名单,以及开启恶意程序自动隔离查杀,进一步提升云服务器的安全。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择 ,进入主机安全平台界面。
图1 进入主机安全 - 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
- 当前支持切换至主机安全服务的Region为华北-乌兰察布二零一、华北-乌兰察布二零二、西南-贵阳一、华南-深圳、华南-广州-友好用户环境、华东-上海一、华东-上海二、华北-北京一、华北-北京四。
- 切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
- 未开启云查杀或首次进入新版页面会弹出确认开启云查杀的弹窗,建议勾选“确认授权自动开启云查杀”,单击“立即开启”开启云查杀功能。
- 该功能配置免费。
- 开启后将应用至主机安全服务全局服务器,但部分检测能力受主机安全配额版本的限制无法运行,若需正常使用,建议您购买企业版及以上版本更好的体验云查杀功能。
图2 勾选开启云查杀
配置常用登录地
配置常用登录地后,主机安全服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。
- 选择“添加常用地登录”。
,单击图3 添加常用登录地
- 在弹出的对话框中依次选择地理位置、国家名称、城市名称,选择后勾选需要生效登录地信息的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
图4 填写常用登录地信息
- 返回 页面查看是否已新增,出现新增表示添加成功。
配置常用登录IP
配置常用登录IP,主机安全服务将对非常用IP登录主机的行为进行告警。
- 选择“添加常用登录IP”。
,单击图5 添加常用登录IP
- 在弹出的对话框中输入“常用登录IP”,勾选需要生效的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址,您将无法SSH远程登录您的服务器。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成,且最多可添加20个登录IP。
图6 填写常用登录IP - 返回 页面查看是否已新增,出现新增表示添加成功。
配置SSH登录IP白名单
SSH登录IP白名单功能是防护帐户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。

- 选择“添加白名单IP”。
,单击图7 添加IP白名单
- 在弹出的对话框中输入“白名单IP”,勾选需要生效的云服务器,可勾选多个服务器,确认无误单击“确认”,添加操作完成。
- “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址,您将无法SSH远程登录您的服务器。
- 单次只能添加一个IP,若需添加多个IP,需重复操作添加动作,直至全部IP添加完成。
图8 填写白名单IP信息 - 返回 页面查看是否已新增,出现新增表示添加成功。
开启恶意程序隔离查杀
开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。
- 选择“恶意程序隔离查杀”和“恶意软件云查杀”的开关
,开启“恶意程序隔离查杀”和“恶意软件云查杀”。 ,分别单击
开启后将应用至主机安全服务全局服务器,但部分检测能力受主机安全配额版本的限制无法运行,若需正常使用,建议您购买企业版及以上版本更好的体验隔离查杀功能。
图9 开启隔离查杀
- 在弹出的对话框中单击“确认”,开启“恶意程序隔离查杀”和“恶意软件云查杀”。
自动隔离查杀有可能发生误报。您可以在主机安全控制台“入侵检测”页面中,选择“事件管理”页签,查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作,详情请参见查看入侵告警事件。
- 程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。
- 在“恶意程序隔离查杀”界面,如果不开启“恶意程序隔离查杀”功能,当HSS检测到恶意程序时,将会触发告警。
您可以在“入侵检测”的“安全告警事件”中,查看“恶意程序”中的告警信息,并对恶意程序进行隔离查杀。
开启双因子认证
- 双因子认证功能是一种双因素身份验证机制,结合短信/邮箱验证码,对云服务器登录行为进行二次认证,极大地增强云服务器帐户安全性。
- 开启双因子认证功能后,登录云服务器时,主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。
前提条件
- 用户已创建“协议”为“短信”或“邮箱”的消息主题。
- 主机已开启防护。
- Linux主机使用“密码”登录方式。
- 开启双因子认证需要关闭Selinux防火墙。
- 在Windows主机上,双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突,建议停止“网防G01”软件和服务器版360安全卫士。
- 开启双因子认证后,不能通过已安装图形化界面的Linux系统登录主机。
- 在Linux主机上,开启双因子认证后,不能通过云堡垒机登录主机。
- 开启双因子认证后,不能通过CloudShell工具登录主机。
- linux的openssh版本仅小于8时才支持双因子。
操作步骤
- 在“双因子认证”页面,可勾选多个目标服务器后单击上方“开启双因子认证”,也可单击目标服务器操作列“开启双因子认证”。
图10 开启双因子认证
- 在弹出的“开启双因子认证”的对话框中,选择“验证方式”。
- 短信邮件验证
短信邮件验证需要选择消息通知服务主题。
- 下拉框只展示状态已确认的消息通知服务主题。
- 如果没有主题,请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题。
- 若您的主题里包含多个手机号码/邮箱,在认证过程中,该主题内的手机号码/邮箱都会收到系统发出的验证码短信或邮件。若您只希望有一个手机号码/邮箱收到验证码,请修改对应主题,仅在主题中保留您希望收到验证码的手机号码/邮箱。
图11 短信邮件验证 - 验证码验证
选择验证码验证,仅通过实时收到的验证进行验证。图12 验证码验证
- 短信邮件验证
- 单击“确定”,完成开启双因子认证的操作。开启双因子认证功能后,需要等大约5分钟才生效。
在开启双因子认证功能的Windows主机上远程登录其他Windows主机时,需要在开启双因子主机上手动添加凭证,否则会导致远程登录其他Windows主机失败。
添加凭证:打开路径
,添加您需要访问的远程主机的用户名和密码。