怎么应对由于HSS策略造成的ECS内部异常?

网友投稿 728 2022-05-29

诉求场景

企业主机安全服务(Host Security Service,HSS)是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。

在使用企业主机安全服务时,部分安全策略可能会导致ECS操作系统内部异常或者用户登录、使用ECS异常,此时添加对应策略即可。本文档列举企业主机安全服务导致ECS异常的常见场景及解决办法。

常见场景及解决办法

【场景1】企业主机安全->入侵检测->事件管理->账户防暴力破解

账户防暴力破解功能可能会误拦截远程登录端口或应用端口(比如mysql 3306端口),导致用户无法远程登录,应用端口无法访问。策略生效后会修改LINUX云服务器iptables规则,在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台,在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件,将误拦截的事件加入登录白名单。

以下操作系统内部用户MYSQLD服务端口(31000)被企业主机安全服务账户防暴力破解功能拦截,将拦截规则加入LINUX操作系统的IPTABLES规则。在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件,将误拦截的事件加入登录白名单即可。

【场景2】企业主机安全->入侵检测->事件管理->账户异常登录

账户异常登录防护功能可能会误拦截用户正常的远程登录,导致用户无法远程登录,策略生效后会修改LINUX云服务器/etc/sshd.deny.hostguard配置文件,在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台,在企业主机安全->入侵检测->事件管理->账户异常登录路径找到被误拦截的主机对应的告警事件,手动处理异地登录事件,同时将登录IP加入白名单。

手动处理事件:

添加登录白名单:

更多详细的安全配置参考安全配置指导文档:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html

【场景3】企业主机安全->网页防篡改->防护列表

如果用户操作系统内部目录或文件使用root用户无法删除(排除文件扩展属性的原因外),需要考虑是否用户当前云服务器开启了网页防篡改功能。

【场景4】企业主机安全->安装与配置->双因子认证

用户在进行ssh远程登录LINUX云服务器时,如果输入密码是正确的,但登录失败,可以在当前云服务器VNC窗口使用“ssh localhost”或“ssh 本机内网IP”登录本机。

如果界面上有提示输入密码以外的其他信息时,说明用户开启了双因子认证功能。

如果需要使用双因子认证功能,请参考以下文档:

怎么应对由于HSS策略造成的ECS内部异常?

如何使用双因子认证: https://support.huaweicloud.com/hss_faq/hss_01_0077.html

开启双因子认证:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4

企业主机安全 弹性云服务器 ECS

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:【AI前沿动态】Pytorch 1.2.0 来了!
下一篇:Windows下DBeaver对接FusionInsight Hive
相关文章