怎么应对由于HSS策略造成的ECS内部异常？

诉求场景

企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。

在使用企业主机安全服务时，部分安全策略可能会导致ECS操作系统内部异常或者用户登录、使用ECS异常，此时添加对应策略即可。本文档列举企业主机安全服务导致ECS异常的常见场景及解决办法。

常见场景及解决办法

【场景1】企业主机安全->入侵检测->事件管理->账户防暴力破解

账户防暴力破解功能可能会误拦截远程登录端口或应用端口（比如mysql 3306端口），导致用户无法远程登录，应用端口无法访问。策略生效后会修改LINUX云服务器iptables规则，在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台，在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件，将误拦截的事件加入登录白名单。

以下操作系统内部用户MYSQLD服务端口（31000）被企业主机安全服务账户防暴力破解功能拦截，将拦截规则加入LINUX操作系统的IPTABLES规则。在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件，将误拦截的事件加入登录白名单即可。

【场景2】企业主机安全->入侵检测->事件管理->账户异常登录

账户异常登录防护功能可能会误拦截用户正常的远程登录，导致用户无法远程登录，策略生效后会修改LINUX云服务器/etc/sshd.deny.hostguard配置文件，在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台，在企业主机安全->入侵检测->事件管理->账户异常登录路径找到被误拦截的主机对应的告警事件，手动处理异地登录事件，同时将登录IP加入白名单。

手动处理事件：

添加登录白名单：

更多详细的安全配置参考安全配置指导文档：https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html

【场景3】企业主机安全->网页防篡改->防护列表

如果用户操作系统内部目录或文件使用root用户无法删除（排除文件扩展属性的原因外），需要考虑是否用户当前云服务器开启了网页防篡改功能。

【场景4】企业主机安全->安装与配置->双因子认证

用户在进行ssh远程登录LINUX云服务器时，如果输入密码是正确的，但登录失败，可以在当前云服务器VNC窗口使用“ssh localhost”或“ssh 本机内网IP”登录本机。

如果界面上有提示输入密码以外的其他信息时，说明用户开启了双因子认证功能。

如果需要使用双因子认证功能，请参考以下文档：

如何使用双因子认证： https://support.huaweicloud.com/hss_faq/hss_01_0077.html

开启双因子认证：https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4

企业主机安全 弹性云服务器 ECS

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。