怎么應(yīng)對(duì)由于HSS策略造成的ECS內(nèi)部異常？

訴求場(chǎng)景

企業(yè)主機(jī)安全服務(wù)（Host Security Service，HSS）是提升主機(jī)整體安全性的服務(wù)，通過(guò)主機(jī)管理、風(fēng)險(xiǎn)預(yù)防、入侵檢測(cè)、高級(jí)防御、安全運(yùn)營(yíng)、網(wǎng)頁(yè)防篡改功能，全面識(shí)別并管理主機(jī)中的信息資產(chǎn)，實(shí)時(shí)監(jiān)測(cè)主機(jī)中的風(fēng)險(xiǎn)并阻止非法入侵行為，幫助企業(yè)構(gòu)建服務(wù)器安全體系，降低當(dāng)前服務(wù)器面臨的主要安全風(fēng)險(xiǎn)。

在使用企業(yè)主機(jī)安全服務(wù)時(shí)，部分安全策略可能會(huì)導(dǎo)致ECS操作系統(tǒng)內(nèi)部異常或者用戶登錄、使用ECS異常，此時(shí)添加對(duì)應(yīng)策略即可。本文檔列舉企業(yè)主機(jī)安全服務(wù)導(dǎo)致ECS異常的常見(jiàn)場(chǎng)景及解決辦法。

常見(jiàn)場(chǎng)景及解決辦法

【場(chǎng)景1】企業(yè)主機(jī)安全->入侵檢測(cè)->事件管理->賬戶防暴力破解

賬戶防暴力破解功能可能會(huì)誤攔截遠(yuǎn)程登錄端口或應(yīng)用端口（比如mysql 3306端口），導(dǎo)致用戶無(wú)法遠(yuǎn)程登錄，應(yīng)用端口無(wú)法訪問(wèn)。策略生效后會(huì)修改LINUX云服務(wù)器iptables規(guī)則，在操作系統(tǒng)內(nèi)部手動(dòng)清除規(guī)則后會(huì)自動(dòng)添加。正確的處理方法為登錄企業(yè)主機(jī)安全控制臺(tái)，在企業(yè)主機(jī)安全->入侵檢測(cè)->事件管理->賬戶防暴力破解路徑找到被誤攔截的主機(jī)對(duì)應(yīng)的告警事件，將誤攔截的事件加入登錄白名單。

以下操作系統(tǒng)內(nèi)部用戶MYSQLD服務(wù)端口（31000）被企業(yè)主機(jī)安全服務(wù)賬戶防暴力破解功能攔截，將攔截規(guī)則加入LINUX操作系統(tǒng)的IPTABLES規(guī)則。在企業(yè)主機(jī)安全->入侵檢測(cè)->事件管理->賬戶防暴力破解路徑找到被誤攔截的主機(jī)對(duì)應(yīng)的告警事件，將誤攔截的事件加入登錄白名單即可。

【場(chǎng)景2】企業(yè)主機(jī)安全->入侵檢測(cè)->事件管理->賬戶異常登錄

賬戶異常登錄防護(hù)功能可能會(huì)誤攔截用戶正常的遠(yuǎn)程登錄，導(dǎo)致用戶無(wú)法遠(yuǎn)程登錄，策略生效后會(huì)修改LINUX云服務(wù)器/etc/sshd.deny.hostguard配置文件，在操作系統(tǒng)內(nèi)部手動(dòng)清除規(guī)則后會(huì)自動(dòng)添加。正確的處理方法為登錄企業(yè)主機(jī)安全控制臺(tái)，在企業(yè)主機(jī)安全->入侵檢測(cè)->事件管理->賬戶異常登錄路徑找到被誤攔截的主機(jī)對(duì)應(yīng)的告警事件，手動(dòng)處理異地登錄事件，同時(shí)將登錄IP加入白名單。

手動(dòng)處理事件：

添加登錄白名單：

更多詳細(xì)的安全配置參考安全配置指導(dǎo)文檔：https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html

【場(chǎng)景3】企業(yè)主機(jī)安全->網(wǎng)頁(yè)防篡改->防護(hù)列表

如果用戶操作系統(tǒng)內(nèi)部目錄或文件使用root用戶無(wú)法刪除（排除文件擴(kuò)展屬性的原因外），需要考慮是否用戶當(dāng)前云服務(wù)器開(kāi)啟了網(wǎng)頁(yè)防篡改功能。

【場(chǎng)景4】企業(yè)主機(jī)安全->安裝與配置->雙因子認(rèn)證

用戶在進(jìn)行ssh遠(yuǎn)程登錄LINUX云服務(wù)器時(shí)，如果輸入密碼是正確的，但登錄失敗，可以在當(dāng)前云服務(wù)器VNC窗口使用“ssh localhost”或“ssh?本機(jī)內(nèi)網(wǎng)IP”登錄本機(jī)。

如果界面上有提示輸入密碼以外的其他信息時(shí)，說(shuō)明用戶開(kāi)啟了雙因子認(rèn)證功能。

如果需要使用雙因子認(rèn)證功能，請(qǐng)參考以下文檔：

如何使用雙因子認(rèn)證：?https://support.huaweicloud.com/hss_faq/hss_01_0077.html

開(kāi)啟雙因子認(rèn)證：https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4

企業(yè)主機(jī)安全 彈性云服務(wù)器 ECS

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。