怎么应对由于HSS策略造成的ECS内部异常?

举报
云技术搬运工 发表于 2021/08/09 16:46:48 2021/08/09
【摘要】 企业主机安全服务(Host Security Service,HSS)是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。

诉求场景

企业主机安全服务(Host Security Service,HSS)是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。

在使用企业主机安全服务时,部分安全策略可能会导致ECS操作系统内部异常或者用户登录、使用ECS异常,此时添加对应策略即可。本文档列举企业主机安全服务导致ECS异常的常见场景及解决办法。

 

常见场景及解决办法

【场景1】企业主机安全->入侵检测->事件管理->账户防暴力破解

账户防暴力破解功能可能会误拦截远程登录端口或应用端口(比如mysql 3306端口),导致用户无法远程登录,应用端口无法访问。策略生效后会修改LINUX云服务器iptables规则,在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台,在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件,将误拦截的事件加入登录白名单。

1.png

以下操作系统内部用户MYSQLD服务端口(31000)被企业主机安全服务账户防暴力破解功能拦截,将拦截规则加入LINUX操作系统的IPTABLES规则。在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件,将误拦截的事件加入登录白名单即可。

2.png


【场景2】企业主机安全->入侵检测->事件管理->账户异常登录

账户异常登录防护功能可能会误拦截用户正常的远程登录,导致用户无法远程登录,策略生效后会修改LINUX云服务器/etc/sshd.deny.hostguard配置文件,在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台,在企业主机安全->入侵检测->事件管理->账户异常登录路径找到被误拦截的主机对应的告警事件,手动处理异地登录事件,同时将登录IP加入白名单。

手动处理事件:

3.png

添加登录白名单:

4.png

更多详细的安全配置参考安全配置指导文档:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html

 

【场景3】企业主机安全->网页防篡改->防护列表

如果用户操作系统内部目录或文件使用root用户无法删除(排除文件扩展属性的原因外),需要考虑是否用户当前云服务器开启了网页防篡改功能。

5.png


【场景4】企业主机安全->安装与配置->双因子认证

用户在进行ssh远程登录LINUX云服务器时,如果输入密码是正确的,但登录失败,可以在当前云服务器VNC窗口使用“ssh localhost”或“ssh 本机内网IP”登录本机。

如果界面上有提示输入密码以外的其他信息时,说明用户开启了双因子认证功能。

6.png

7.png

如果需要使用双因子认证功能,请参考以下文档:

如何使用双因子认证: https://support.huaweicloud.com/hss_faq/hss_01_0077.html

开启双因子认证:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。