文档简介:
如何使用Windows远程桌面连接工具连接主机?
操作步骤
在本地主机上选择“开始 > 运行”,输入命令mstsc ,打开Windows“远程桌面连接”工具。
单击“选项”,选择“本地资源”页签,在“本地设备和资源”区域中,勾选“剪贴板”,如图所示。
远程桌面连接
选择“常规”页签,在“计算机”中输入云服务器的弹性IP,在“用户名”中输入“Administrator”,单击“连接”,如图所示。
设置常规信息
在弹出的对话框中,输入主机的用户密码,单击“确定”,连接至主机。
如何查看HSS的日志文件?
日志路径
您需要根据主机的操作系统,查看日志文件。
| 操作系统 | 日志所在路径 | 日志文件 |
|---|---|---|
| Linux | /usr/local/hostguard/log/ | daemon.log:记录守护进程运行时相关日志。 hostguard.log:记录监控进程运行时相关日志。 hostguard_procmon.log:记录进程创建的信息。 urlconfig.log:只在安装时,记录识别region信息。 upgrade.log:记录升级时相关日志。 hostguard_rsync.log:记录网页防篡改备份服务器的运行日志。 |
| Windows | C:\Program Files (x86)\HostGuard\log\ |
日志保留周期
| 日志文件 | 文件大小限制 | 路径下保留的文件 | 保留周期 |
|---|---|---|---|
| daemon.log | 10M | 保留5个最新的“daemon.log”日志文件。 | 不超过文件大小限制,只要不卸载HSS Agent,会一直保留日志信息。 |
| hostguard.log | 10M | 保留5个最新的“hostguard.log”日志文件。 | |
| hostguard_procmon.log | 20M | 保留2个最新的“hostguard_procmon.log”日志文件。 | |
| urlconfig.log | 不限制 | 保留1个“urlconfig.log”日志文件。 | |
| upgrade.log | 不限制 | 保留1个“upgrade.log”日志文件。 | |
| hostguard_rsync.log | 不限制 | 保留1个“hostguard_rsync.log”日志文件。 |
如何开启登录失败日志开关?
MySQL
在账户破解防护功能中,Windows和Linux系统都支持MySQL软件的5.6和5.7版本,开启登录失败日志开关的具体的操作步骤如下:
使用root权限登录主机。
查询log_warnings值,命令如下:
**show
global variables like 'log_warnings** '复制
修改log_warnings值,命令如下。
**set复制
global log_warnings=2**
修改配置文件。
- Windows系统,修改配置文件my.ini,在[mysqld]中增加log_warnings=2。
- Linux系统中,修改配置文件my.conf,在[mysqld]中增加log_warnings=2。
Filezilla
在账户破解防护功能中,仅Windows系统支持filezilla软件的0.9.60版本。filezilla默认不开启日志,需要在设置中开启日志开关。
开户日志开关的操作步骤如下:
打开filezilla软件。
选择“Edit > Settings > Logging” ,勾选“Enable
logging to file”,如图所示。
filezilla配置
vsftp
本节指导用户开启vsftp的登录失败日志开关。
修改配置文件(比如:/etc/vsftpd.conf),设置以下两项:
vsftpd_log_file=log/file/path
dual_log_enable=YES复制
重启vsftp服务。设置成功后,登录时,会返回如图3-15所示的日志记录。
日志记录
如何立即执行手动检测?
企业主机安全服务将实时检测主机中的风险和异常操作,在每日凌晨将对主机执行全面扫描,此外,您也可以使用手动检测功能全面检测主机中关键的配置信息。
须知 :手动检测完成后,需至少间隔三分钟,才能再次对同一个项目执行手动检测。
前提条件
服务器的“Agent状态”为“在线”、“防护状态”为“开启”、“版本”为“企业版”或者“旗舰版”。
检测项目
软件信息、Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、网站后门检测、口令风险和配置风险。
检测时长
- 检测单个检测项目(例如:口令风险)的检测时长为30分钟内。
- 一键手动检测,检测多个检测项目时,各个检测项目并行检测,检测时长为30分钟内。
一键手动检测
一键执行手动检测能同时检测主机中的软件信息、漏洞、网站后门、关键配置信息、较弱的口令复杂度策略、使用弱口令的用户账号 。检测完成后,可在企业主机安全服务控制台查看各项风险统计或指定查看单个服务器的安全详情。
登录管理控制台。
在页面左上角选择“区域”,单击
,选择“安全 > 企业主机安全”,进入企业主机安全页面。
在“主机管理”页面的右上角,单击“手动检测”,执行手动检测,如图所示。
一键执行手动检测
在弹出的“手动检测”对话框中,选择所需检测的主机,单击“确定”,完成一键手动检测的操作。
手动检测
在安全控制台“企业主机安全”菜单或主机列表“操作”列的“查看详情”中查看各项手动检测结果并对检测结果执行相应的操作。
单点执行手动检测
登录管理控制台。
在页面左上角选择“区域”,单击
,选择“安全 > 企业主机安全”,进入企业主机安全页面。
在左侧导航栏中,选择“主机管理”,在云服务器列表的“操作”列中,单击“查看详情”,进入指定主机的详情页面。
查看详情
手动收集软件信息
选择“资产管理”页签,在页面下侧“软件信息”中,手动检测主机中的软件信息。
收集软件信息
手动执行漏洞检测
选择“漏洞管理”页签,在“Linux软件漏洞管理”和“Web-CMS漏洞管理”中,手动检测主机中的软件漏洞和Web-CMS漏洞。
说明 :
软件漏洞检测和软件信息管理任意一个手动检测都会触发收集服务器上的软件信息。
选择“漏洞管理”页签,选择系统软件漏洞,单击“手动检测”,系统将立即执行一次系统软件漏洞检测。
系统软件漏洞检测
选择“漏洞管理”页签,选择Web-CMS漏洞,单击“手动检测”,系统将立即执行一次Web-CMS漏洞检测。
Web-CMS漏洞检测
手动执行口令风险检测
选择“基线检查”页签,在“口令风险”中,手动检测主机中较弱的口令复杂度策略、弱口令以及风险配置项。
弱口令风险检测
手动执行配置检测
选择“基线检查”页签,在“配置检测”中,手动检测主机中不安全的配置项。
配置检测
当“手动检测状态”为“检测完成”时,单击
,查看最新检测结果。
HSS支持告警日志转存OBS吗?
HSS暂不支持告警日志转存OBS桶,日志文件存在服务文件夹中,详细的存储路径及日志保留期,请查看:如何查看HSS的日志文件?。
出现弱口令告警,怎么办?
若您收到弱口令告警,则说明您的主机存在被入侵的风险。数据、程序都存储在系统中,若密码被破解,系统中的数据和程序将毫无安全可言,请及时修改弱口令。
出现弱口令告警的原因
- 设置的自动生成密码的方式过于简单,与弱口令检测的密码库相重合。
- 将同一密码用于多个子帐号,会被系统判定为弱密码。
排查弱口令
1 登录管理控制台。
2 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“风险预防 > 基线检查”,单击“经典弱口令检测”,查看存在的弱口令。
5 根据经典弱口令列表中的“服务器名称/IP地址”、“帐号名称”、“帐号类型”和“弱口令使用时长(单位:天)”,登录待修改弱口令的主机,修改弱口令。
修改常见的服务器弱口令
| 系统名称 | 修改登录口令 | 说明 |
|---|---|---|
| Windows系统 |
以Windows 10为例说明。 1. 登录Windows主机系统。 2. 单击左下角的 ,然后单击 ,弹出“Windows设置”窗口。 3. 在“Windows设置”窗口中,单击“帐户”。 4. 在左侧导航栏中,单击登录选项。 5. 在“登录选项”页面,请根据页面提示信息修改服务器密码。
|
无 |
| Linux系统 | 登录Linux服务器,执行以下命令,修改用户登录口令。passswd [] | 若不输入登录用户名,则修改的是当前用户的口令。 命令执行完成后,请根据提示输入新的口令。 说明 “user”为登录用户名。 |
| MySQL数据库 | 1. 登录MySQL数据库。 2. 执行以下命令,查看数据库用户密码。**SELECT user, host, authentication_string From user;**部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息,请执行命令。**SELECT user, host password From user;**3. 执行以下命令,根据查询结果及弱密码告警信息,修改具体用户的密码。SET PASSWORD FOR ' 用户名'@' **主机'=PASSWORD('****新密码');**4. 执行以下命令,刷新修改的密码信息。flush privileges ; | 无 |
| Redis数据库 | 1. 打开Redis数据库的配置文件redis.conf。 2. 执行以下命令,修改弱口令。requirepass; | l 若已存在登录口令,则将其修改为复杂口令。 l 若不存在登录口令,则添加为新口令。 说明 “password”为登录口令。 |
| Tomcat | 1. 打开Tomcat根目录下的配置文件“conf/tomcat-user.xml”。 2. 修改user节点的password属性值为复杂口令。 | 无 |
1.1.2 如何设置安全的口令?
请按如下建议设置口令:
- 使用复杂度高的密码。
建议密码复杂度至少满足如下要求:
a.
密码长度至少8个字符。
b.
包含如下至少三种组合:
i.
大写字母(A~Z)
ii. 小写字母(a~z)
iii. 数字(0~9)
iv. 特殊字符
c.密码不为用户名或用户名的倒序。
- 不使用有一定特征和规律容易被破解的常用弱口令。
−
生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份
−
数字或字母连排或混排,常用彩虹表中的密码、滚键盘密码。
−
短语密码
−公司名称、admin、root等常用词汇
- 不使用空密码或系统的缺省密码。
- 不要重复使用最近5次(含5次)内已使用的密码。
- 不同网站/帐号使用不同的密码。
- 根据不同应用设置不同的帐号密码,不建议多个应用使用同一套帐户/密码。
- l定期修改密码,建议至少每90天更改一次密码。
- 帐号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,若不能强制用户修改密码,则为密码设置过期的期限(用户必须及时修改密码,否则密码应被强制失效)。
- l建议为所有帐户配置设置连续认证失败次数超过5次(不含5次),锁定帐号策略和30分钟自动解除锁定策略。
- 建议对所有帐户设置不活动时间超过10分钟自动退出或锁定策略。
- l新建系统中的帐号缺省密码在首次使用前,建议强制用户更改。
- 建议开启帐户登录记录日志功能,登录日志最少保存180天,登录日志中不能保存用户的密码。
关闭弱口令策略后,之前扫描的弱口令事件为什么还会重复出现?
若您在关闭弱口令策略前,已经修改弱口令事件,进行重新检测并符合弱口令检测要求,该弱口令事件不会在重复出现。
若您在关闭弱口令策略前,未修改弱口令事件,已经检测出来的结果不会改变,系统也将不再进行新的检测且历史检测结果会保留30天。
- 为保障您的主机安全,请您及时修改登录主机系统时使用弱口令的帐号,如SSH帐号。
- 为保障您主机内部数据信息的安全,请您及时修改使用弱口令的软件帐号,如MySQL帐号和FTP帐号等。
验证 :完成弱口令修复后,建议您立即执行手动检测,查看弱口令修复结果。如果您未进行手动验证且未关闭弱口令检测,HSS会在次日凌晨执行自动验证。
