HSS安全扫描流程
发布镜像资产前,请先进行HSS安全扫描和防病毒扫描,并对扫描结果进行预处理,确保该镜像部署到云主机后,不存在高危漏洞。如扫描后仍存在漏洞,云商店运营经理将驳回镜像资产发布申请。
请参照以下方式进行HSS安全扫描(如需查看演示视频,请点击查看《镜像类商品上架预处理指导》),防病毒扫描流程请参考《防病毒扫描流程》。
预处理前,请确保您已经完成了私有镜像制作,具体流程请参见《镜像类商品制作说明》。
HSS安全扫描完成后,需将扫描结果文件与防病毒扫描材料汇总后,以附件形式,邮件发送至raozhiqiang1@huawei-partners.com。
操作步骤
- 申请服务器
选择“控制台 > 所有服务 > 弹性云服务器ECS”,单击左侧导航栏“镜像服务 > 私有镜像”,选择待上架的镜像,单击“申请服务器”。
- 创建ECS
基于私有镜像创建ECS的流程和公共镜像创建ECS的流程相同,具体流程请参见《镜像类商品制作说明》,注意以下事项:
- 使用HSS对主机进行扫描
- 在左侧服务列表中选择:“企业主机安全HSS”;
- 在左侧导航栏选择“资产管理>主机管理”
- 单击“开启防护”,手动为已创建的ECS开启HSS防护
- 按需购买HSS扫描服务
- 购买服务时,规格请注意选择“按需计费”和“企业版”;
- 因购买按需计费企业版HSS会产生0.18元/时的费用,使用完之后请立即点击右侧“关闭防护”,避免产生累计费用。
- 启动HSS基线检查
- 购买完服务之后,点击左侧导航栏“风险预防>基线检查”,进入基线检查页面,点击页面右上角”策略管理”按钮,打开策略管理页面;
- 点击对应策略操作列“编辑”按钮,在“编辑基线检查策略”页面,勾选“云安全实践”和“等保合规”后点击“下一步”按钮,勾选服务器后点击“确认”。
- 回到“基线检查”页面,在基线检查策略中选择对应的策略,再点击“手动检测按钮”,等待检测完成。
- 检测完成后,导出扫描报告
- 点击“风险预防>基线检查”,再单击右侧“导出”按钮,导出扫描报告。
- 根据扫描报告修复高风险问题
打开扫描报告,筛选威胁等级为“High”和扫描结果为“failed”两项
- 在左侧服务列表中选择:“企业主机安全HSS”;
- 再次打包镜像,执行HSS扫描
- 将修复完毕的ECS再次打包成镜像
- 以打包好的镜像重新创建ECS,并再次开启HSS防护,重复步骤3使用HSS对主机进行扫描。
- 上架申请
- 工单帮助
- 对以上操作步骤还有疑惑,请先参考FAQ;
- 如以上相关处理办法都未能解决您的问题,请在华为云提交工单并留下联系方式,以便华为工程师联系您指导解决,提交工单具体操作请参照如下:
点击左侧“新建工单>企业主机安全”
选择“新建工单”
FAQ
- 需限制SSH服务使用的密钥文件权限。
由于镜像在拉起的过程中,会将/etc/ssh/*key和/etc/ssh/*key.pub文件进行初始化,需要手动进行如下操作后再封包:
chmod 400 /etc/ssh/*key
chmod 400 /etc/ssh/*key.pub
chattr +i /etc/ssh/*key
chattr +i /etc/ssh/*key.pub
- 需限制/etc/ssh/sshd_config的访问权限。
因为 cloud-init 把ssh配置恢复默认,需要在cloud-init 中注释ssh 并设置/etc/ssh/sshd_config的访问权限,操作步骤如下:
- 到对应服务器里/etc/ssh/sshd_config,执行vi /etc/cloud/cloud.cfg打开文件后,注释ssh 相关内容
- 锁定文件 chattr +i /etc/ssh/sshd_config
注释ssh 相关内容:执行vi /etc/cloud/cloud.cfg打开文件后,注释 /etc/cloud/cloud.cfg这个文件里和ssh有关的内容,在最前面加一个#号即为注释;此步骤请由技术人员操作以防出错。
