怎么应对由于HSS策略造成的ECS内部异常?
诉求场景
企业主机安全服务(Host Security Service,HSS)是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
在使用企业主机安全服务时,部分安全策略可能会导致ECS操作系统内部异常或者用户登录、使用ECS异常,此时添加对应策略即可。本文档列举企业主机安全服务导致ECS异常的常见场景及解决办法。
常见场景及解决办法
【场景1】企业主机安全->入侵检测->事件管理->账户防暴力破解
账户防暴力破解功能可能会误拦截远程登录端口或应用端口(比如mysql 3306端口),导致用户无法远程登录,应用端口无法访问。策略生效后会修改LINUX云服务器iptables规则,在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台,在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件,将误拦截的事件加入登录白名单。
以下操作系统内部用户MYSQLD服务端口(31000)被企业主机安全服务账户防暴力破解功能拦截,将拦截规则加入LINUX操作系统的IPTABLES规则。在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件,将误拦截的事件加入登录白名单即可。
【场景2】企业主机安全->入侵检测->事件管理->账户异常登录
账户异常登录防护功能可能会误拦截用户正常的远程登录,导致用户无法远程登录,策略生效后会修改LINUX云服务器/etc/sshd.deny.hostguard配置文件,在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台,在企业主机安全->入侵检测->事件管理->账户异常登录路径找到被误拦截的主机对应的告警事件,手动处理异地登录事件,同时将登录IP加入白名单。
手动处理事件:
添加登录白名单:
更多详细的安全配置参考安全配置指导文档:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html
【场景3】企业主机安全->网页防篡改->防护列表
如果用户操作系统内部目录或文件使用root用户无法删除(排除文件扩展属性的原因外),需要考虑是否用户当前云服务器开启了网页防篡改功能。
【场景4】企业主机安全->安装与配置->双因子认证
用户在进行ssh远程登录LINUX云服务器时,如果输入密码是正确的,但登录失败,可以在当前云服务器VNC窗口使用“ssh localhost”或“ssh 本机内网IP”登录本机。
如果界面上有提示输入密码以外的其他信息时,说明用户开启了双因子认证功能。
如果需要使用双因子认证功能,请参考以下文档:
如何使用双因子认证: https://support.huaweicloud.com/hss_faq/hss_01_0077.html
开启双因子认证:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4
- 点赞
- 收藏
- 关注作者
评论(0)