什么是“暴力破解”？

暴力破解也可称为穷举法、枚举法，是一种比较流行的密码破译方法，攻击者通过系统地组合密码的所有可能性，尝试所有的可能性破解用户的密码信息，直到找出正确的密码为止。攻击者一旦成功登录主机，便可获得主机的控制权限，进而窃取用户数据、勒索加密、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。

如何防“暴力破解”？

对于企业来说，暴力破解的防护措施只采用中规中矩且被动的安全防卫规则，通过规则判断是否属于暴力破解行为，无法从根本上解决账户暴力破解难题。

对此，万众瞩目的华为云带着企业主机安全来了，为您主动出击，加固安全堡垒，防止账户暴力破解！

HSS主动检测出主机中使用经典弱口令，提醒用户及时修改使用弱口令的账号，并加强口令复杂度，做到对账户破解的事前预防。同时，采用先进的快慢速暴力破解检测算法和全网情报，通过源IP＋持续登录行为＋连续尝试登录次数，判断源IP登录是否属于暴力破解行为，有效阻止账户暴力破解的攻击。

此外，HSS还结合独家的双因子认证功能，对服务器登录进行二次身份认证，进一步加强账户安全；黑白名单控制IP登录，只允许白名单内的IP通过SSH登录到主机，拒绝白名单以外的IP登录主机。

防爆破力度从弱到强，主动检测账户弱口令、主动拦截账户暴力破解行为、登录服务器二次身份认证、黑白名单控制IP登录，四管齐下，从此，面对账户暴力破解，不怕不怕啦！！

跟着小课get华为云HSS如何防暴力破解吧~~

使用HSS前，您需要购买HSS防护配额，并开启主机防护。

第一重防护：主动检测账户弱口令

弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。

步骤 1      开启主机防护后，HSS每日凌晨自动检测主机中使用的经典弱口令。

步骤 2      进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。

步骤 3      进入“告警通知”页面，勾选“弱口令”，一旦检测出弱口令，您将会收到告警通知。

----结束

第二重防护：主动拦截暴力破解行为

HSS检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。

• 如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP 24小时，禁止其再次登录，防止主机因账户破解被入侵。

• 根据账户暴力破解告警详情，例如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。

步骤 1      进入“账户暴力破解”页面，可查看已防护的服务器上的暴力破解拦截记录。

步骤 2      进入“告警通知”页面，勾选“账户破解防护”，一旦检测出账户暴力破解，您将会收到告警通知。

----结束

第三重防护：登录服务器二次身份认证

双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。

• Linux主机需要使用“密码”登录方式；

• 开启双因子认证需要关闭Selinux防火墙；

• 在Windows主机上，双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突，建议停止“网防G01”软件和服务器版360安全卫士；

• 在Linux主机上，开启双因子认证后，不能通过云堡垒机登录主机。

在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。

第四重防护：黑白名单控制IP登录

开启SSH登录IP白名单功能，只允许白名单内的IP通过SSH登录到主机，拒绝白名单以外的IP。

该功能仅针对Linux主机，Windows主机不能开启SSH登录IP白名单功能。

在“SSH登录IP白名单”页面，单击“添加白名单IP”。

HSS除了账户防暴力破解，还有勒索病毒防御、网页防篡改、APT攻击检测等功能，赶紧戳这里，了解详情吧~~

安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！