华为云用户手册

请求URI 请求URI由如下部分组成： {URI-scheme}://{Endpoint}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如 IAM 服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名=参数取值”，例如“?limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 1 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为方便查看，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求消息 参数说明 表2 参数说明 名称 是否必选 参数类型 说明 name 是 String 数据库账号名称。 数据库账号名称在1到128个字符之间，不能和系统用户名称相同。 系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 password 是 String 数据库账号密码。 取值范围：非空，密码长度在8到32个字符之间，至少包含大写字母、小写字母、数字、特殊字符~!@#$%^*-_+?,三种字符的组合，不能与账号名或倒序的账号名相同。 建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。

请求示例 修改rdsuser用户的密码。 POST https://rds.cn-north-1.myhuaweicloud.com/v3/0483b6b16e954cb88930a360d2c4e663/instances/161e33e453954e21acfff65bfa3dbfebin04/db_user/resetpwd { "name": "rdsuser", "password": "Test@12345678" }

概述 开源治理服务（CodeArts Governance）是针对软件研发提供的一站式开源软件治理服务，凝聚华为在开源治理上的优秀实践经验，提供开源软件元数据及软件成分分析、恶意代码检测等能力，从合法合规、网络安全、供应安全等维度消减开源软件使用风险，助力企业更加安全、更加高效地使用开源软件。 您可以使用本文档提供的API对开源治理服务进行相关操作，如：新建上传分片文件任务、文件分片上传等。支持的全部操作请参见API概览。 在调用开源治理服务的API之前，请确保已经充分了解开源治理服务的相关概念，详细信息请参见产品介绍。 父主题： 使用前必读

基本概念 账号 用户注册华为云时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region： 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。 如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 名称 描述 是否必选 备注 Content-Type 消息体的类型（格式） 是 默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token 用户Token 否 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 X-Project-ID 子项目ID 否 在多项目场景中使用 X-Domain-ID 账号ID - - 公有云API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见AK/SK认证。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 请求方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxx为project的名称，如cn-north-4，您可以从终端节点中获取。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token额作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 请求URI由四部分构成：{URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 参数 说明 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从终端节点中获取。 例如，IAM服务在华北-北京四区域的Endpoint为iam.cn-north-4.myhuaweicloud.com。 resource-path 资源路径，即API访问路径，从具体API的URI模块获取。例如，获取用户Token接口的resource-path为/v3/auth/tokens。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个？，形式为参数名=参数取值。例如，limit=10表示查询不超过10条数据。 例如，您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

前提条件 拥有已实名认证的华为账号。若没有，请先参考帮助手册注册账号并完成实名认证。 已购买开源治理服务服务。 已准备好需要扫描的软件包/固件。 支持检测 .zip、.rar、.tar、.tar.gz、.jar、.apk、.hap、.so、.gz、.gzip等10+种格式的文件。 文件名只能包含：中文、字母、数字、空格、下划线（_）、中划线 （-） 或点 （.）。 文件名最大长度为100字符。 文件大小不能超过5GB（免费试用任务限制100MB）。

查看扫描结果 扫描任务执行后，可在二进制成分分析页面的任务列表查看当前任务状态。 单击对应任务的文件名可查看扫描详情，包括：任务概况、开源软件漏洞、密钥和信息泄露、安全编译选项、安全配置、恶意软件扫描。 单击任务列表操作列的“查看报告”，然后单击右上角的“生成PDF报告”或“生成Excel报告”，可生成更详细的扫描报告供下载查看。 扫描报告主要内容如下：结果概览、组件列表信息、漏洞列表信息、信息泄露问题列表、安全编译选项问题列表、安全配置检查列表、恶意软件扫描问题列表。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 名称 描述 是否必选 备注 Content-Type 消息体的类型（格式） 是 默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token 用户Token 否 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 X-Project-ID 子项目ID 否 在多项目场景中使用 X-Domain-ID 账号ID - - 公有云API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参加AK/SK认证。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 请求方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxx为project的名称，如cn-north-1，您可以从终端节点中获取。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token额作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 请求URI由四部分构成：{URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 参数 说明 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从终端节点中获取。 例如，IAM服务在华北-北京一区域的Endpoint为iam.cn-north-1.myhuaweicloud.com。 resource-path 资源路径，即API访问路径，从具体API的URI模块获取。例如，获取用户Token接口的resource-path为/v3/auth/tokens。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个？，形式为参数名=参数取值。例如，limit=10表示查询不超过10条数据。 例如，您需要获取IAM在“华北-北京一”区域的Token，则需使用“华北-北京一”区域的Endpoint（iam.cn-north-1.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

基本概念 账号 用户注册华为云时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region： 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。 如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

入门流程 本节以Windows系统为例介绍KooCLI的使用，Linux和MacOS系统的使用基本相同，可参考。 KooCLI最基础的入门操作包括：快速安装、初始化配置信息，查看与执行云服务操作命令。 图1为KooCLI大致的入门流程，本入门指导旨在帮助您对其操作有初步的认识。 图1 入门流程 注册华为帐号，创建IAM用户并授权，获取访问密钥等，请参见步骤一：准备工作。 使用KooCLI调用 API Explorer 中各云服务开放的API，管理和使用您的各类云服务资源前，需要先下载对应操作系统的KooCLI，请参见步骤二：快速安装。 使用KooCLI时，需要获取调用者的身份信息用以认证鉴权。如您不是以无配置方式使用，那么您需要先配置相关的认证信息，具体配置方法请参见步骤三：初始化配置。 完成配置后，即可使用KooCLI管理和使用您的各类云服务资源，方法请参见步骤四：查看与执行云服务操作命令。

在Windows系统上安装KooCLI 点此下载适配Windows系统的KooCLI。 解压后得到hcloud.exe文件，如下图所示。 图1 在Windows系统下载并解压后的hcloud.exe文件 （可选）将KooCLI所在目录加入到系统环境变量Path中，方便在cmd窗口的任意目录下使用hcloud命令。 Windows 10 和 Windows 8 搜索并选择“查看高级系统设置”，然后单击“环境变量”； Windows 7 右键单击桌面上的“计算机”图标，从菜单中选择“属性”。单击“高级系统设置”链接，然后单击“环境变量”。 进入环境变量图形界面，在“用户变量”列表中，选中变量名为“Path”的环境变量，单击“编辑”。 在编辑环境变量界面中单机“新建”，输入hcloud.exe文件所在目录的路径。 单击三次“确定”，即可保存该修改。 （可选）打开cmd窗口，执行如下命令查看环境变量是否包含hcloud.exe文件所在目录，存在即说明配置成功。 set path （可选）打开Windows系统的cmd窗口（若您未执行如上步骤3，需要进入到工具所在的目录中），输入并执行如下命令，验证KooCLI是否安装成功。 hcloud version 系统显示类似如下版本信息，表示安装成功： hcloud version 当前KooCLI版本:3.2.8 父主题： 步骤二：快速安装

修改已初始化的配置项 KooCLI目前支持在配置项中以如下组合方式配置认证参数：访问密钥（永久AK/SK），临时安全凭证（临时AK/SK和SecurityToken）两种。 其中，临时安全凭证（临时AK/SK和SecurityToken）具有时效性。 初始化配置信息时，配置项的名称为“default”，且初始化时配置项中只允许配置永久AK/SK。如果您要使用其他认证方式，或修改初始化的配置项中的参数值，可使用“hcloud configure set --cli-profile=default --key1=value1...”命令，详情请参考新增或修改配置项。

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中的资源，使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下，您可以查看项目ID。 企业项目 企业项目是项目的升级版，针对企业不同项目间的资源进行分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理用户指南》。 父主题： 使用前必读

约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH账户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截账户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截账户暴力破解的攻击源IP。

操作须知 开启企业版防护时，默认绑定“企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 开启“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“旗舰版策略组”。 用户也可以通过复制“旗舰版策略组”的方式，创建自定义策略组，将“旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。

查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 图3 查看防护配额 表2 容器配额参数说明 参数名称 参数说明 配额ID 配额的ID。 配额版本 容器安全 企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。 计费模式 包年/包月 按需计费 标签 资源分类标签。 单击操作列的续费、开启自动续费可进行续费，操作详情请参见如何为容器安全配额续费。 单击退订可退订容器安全配额，操作详情请参见如何退订容器安全配额。

安装场景 主机安全服务支持华为云主机和非华为云主机两种安装方式，请按表1进行选择。 表1 安装场景 服务器类型 如何安装Agent 华为云弹性 云服务器ECS 华为云裸金属服务器BMS 华为云云耀云服务器HE CS 主机与HSS配额在同一区域，请使用华为云主机的安装方式。 主机与HSS配额不在同一区域，请退订配额后，重新购买主机所在区域的配额。 华为云 云桌面Workspace 云桌面 镜像中已预置HSS Agent，购买云桌面23.6.0及以后版本将会自动安装Agent，无需您手动安装。如果您购买的云桌面是23.6.0以前的版本，可以参照本文手动为云桌面安装Agent。 第三方云主机 非华为云主机的安装方式。 目前北京一、北京四、上海一、上海二、广州、新加坡、香港区域支持非华为云主机的安装方式，其他区域敬请期待。 在非华为云主机中安装Agent后，在防护列表中，您可以根据主机的IP地址查找该主机。 线下主机

安装场景 主机安全服务支持华为云主机和非华为云主机两种安装方式，请按表1进行选择。 表1 安装场景 服务器类型 如何安装Agent 华为云弹性云服务器ECS 华为云裸金属服务器BMS 华为云云耀云服务器HECS 主机与HSS配额在同一区域，请使用华为云主机的安装方式。 主机与HSS配额不在同一区域，请退订配额后，重新购买主机所在区域的配额。 华为云云桌面Workspace 云桌面镜像中已预置HSS Agent，购买云桌面23.6.0及以后版本将会自动安装Agent，无需您手动安装。如果您购买的云桌面是23.6.0以前的版本，可以参照本文手动为云桌面安装Agent。 第三方云主机 非华为云主机的安装方式。 目前北京一、北京四、上海一、上海二、广州、新加坡、香港区域支持非华为云主机的安装方式，其他区域敬请期待。 在非华为云主机中安装Agent后，在防护列表中，您可以根据主机的IP地址查找该主机。 线下主机

网页防篡改原理 表1 网页防篡改原理 防护类型 原理说明 静态网页防护 锁定本地文件目录 驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 主动备份恢复 若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 远端备份恢复 若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 为Tomcat提供动态网页防护。 基于RASP过滤恶意行为 采用华为自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 网盘文件访问控制 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。

告警事件列表说明 事件类型 告警名称 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 实时监控用户的进程行为，并支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测和自动化阻断，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 您也可以在“策略管理”的“HIPS检测”策略中配置自动化阻断反弹Shell行为。 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似于操作系统的root权限，拥有最大能力。docker run启动容器时携带“ –privileged=true”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警名称为“容器安全选项”，告警内容中提示“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警名称为“容器安全选项”，告警内容中提示“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccomp=unconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccomp=unconfined”，将不会对容器内的系统调用执行限制。 告警名称“容器安全选项”，告警内容中提示“seccomp=unconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明： 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(no-new-privileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“ –no-new-privileges=false”，则该容器拥有权限提升的能力。 告警名称为“容器安全选项”，告警内容中提示“no-new-privileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“ /dev”，“/etc”，“/sys”，“/var/run”等。 告警名称为“容器挂载目录”，告警内容中提示“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险，需要按照告警中的目录映射关系排查是否存在危险的映射，可以将认为安全的挂载路径配置到容器信息收集的策略中。 说明： 对于docker容器常用的需要访问的宿主文件如“ /etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。 说明： 需安装Docker插件。 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 用户异常行为 非法系统用户账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；若存在可疑账号、克隆账号等，则触发告警。 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明： 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑ip的行为，一旦发现进行告警上报。 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。 集群异常行为 Pod异常行为 检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为，以及对现存pod执行的异常操作，一旦发现进行告警上报。 枚举用户信息 检测存在枚举集群用户的权限以及可执行操作列表的行为，一旦发现进行告警上报。 绑定集群用户角色 检测绑定、创建高权限集群角色或Service Account的行为，一旦发现进行告警上报。 Kubernetes事件删除 检测集群中删除Kubernetes事件的行为，一旦发现进行警上报。

关键文件变更监控路径 类型 Linux bin /bin/ls /bin/ps /bin/bash /bin/login usr /usr/bin/ls /usr/bin/ps /usr/bin/bash /usr/bin/login /usr/bin/passwd /usr/bin/top /usr/bin/killall /usr/bin/ssh /usr/bin/wget /usr/bin/curl

授权列表 权限 授权项 依赖的授权项 查询主机安全防护列表 hss:hosts:list vpc:ports:get vpc:publicIps:list ecs:cloudServers:list 云服务器开启或关闭防护 hss:hosts:switchVersion - 手动检测 hss:hosts:manualDetect - 手动检测返回检测状态 hss:manualDetectStatus:get - 查询弱口令检测报告 hss:weakPwds:list - 查询账户破解防护报告 hss:accountCracks:list - 账户破解防护解除拦截IP hss:accountCracks:unblock - 查询恶意程序检测报告 hss:maliciousPrograms:list - 查询异地登录检测报告 hss:abnorLogins:list - 查询关键文件变更报告 hss:keyfiles:list - 查询开放端口信息列表 hss:ports:list - 查询漏洞列表 hss:vuls:list - 批量操作漏洞 hss:vuls:operate - 查询账号信息列表 hss:accounts:list - 查询软件信息列表 hss:softwares:list - 查询Web路径列表 hss:webdirs:list - 查询进程信息列表 hss:processes:list - 查询配置检测报告 hss:configDetects:list - 查询网站后门检测报告 hss:Webshells:list - 查询风险账号检测报告 hss:riskyAccounts:list - 云服务器风险统计 hss:riskyDashboard:get - 查询口令复杂度策略检测报告 hss:complexityPolicys:list - 批量操作恶意程序 hss:maliciousPrograms:operate - 批量操作开放端口 hss:ports:operate - 操作配置检测风险 hss:configDetects:operate - 批量操作网站后门 hss:Webshells:operate - 设置常用登录地 hss:commonLocations:set - 查询常用登录地 hss:commonLocations:list - 设置常用登录IP hss:commonIPs:set - 查询常用登录IP hss:commonIPs:list - 设置登录IP白名单 hss:whiteIps:set - 查询登录IP白名单 hss:whiteIps:list - 设置自定义弱口令 hss:weakPwds:set - 查询自定义弱口令 hss:weakPwds:get - 设置Web路径 hss:webDirs:set - 查询Web路径 hss:webDirs:get - 查询双因子认证服务器列表 hss:twofactorAuth:list - 设置双因子认证 hss:twofactorAuth:set - 开启或关闭恶意程序自动隔离查杀 hss:automaticKillMp:set - 查询恶意程序自动隔离查杀 hss:automaticKillMp:get - 查询Agent下载地址 hss:installAgent:get - 卸载Agent hss:agent:uninstall - 查询主机安全告警 hss:alertConfig:get - 设置主机安全告警 hss:alertConfig:set - 查询网页防篡改防护列表 hss:wtpHosts:list vpc:ports:get vpc:publicIps:list ecs:cloudServers:list 开启或关闭网页防篡改 hss:wtpProtect:switch - 设置备份服务器 hss:wtpBackup:set - 查询备份服务器 hss:wtpBackup:get - 设置防护目录 hss:wtpDirectorys:set - 查询防护目录列表 hss:wtpDirectorys:list - 查询网页防篡改防护记录 hss:wtpReports:list - 设置特权进程 hss:wtpPrivilegedProcess:set - 查询特权进程列表 hss:wtpPrivilegedProcesses:list - 设置防护模式 hss:wtpProtectMode:set - 查询防护模式 hss:wtpProtectMode:get - 设置防护文件系统 hss:wtpFilesystems:set - 查询防护文件系统列表 hss:wtpFilesystems:list - 设置定时关闭防护 hss:wtpScheduledProtections:set - 查询定时关闭防护设置 hss:wtpScheduledProtections:get - 设置网页防篡改告警 hss:wtpAlertConfig:set - 查询网页防篡改告警 hss:wtpAlertConfig:get - 查询网页防篡改统计信息 hss:wtpDashboard:get - 查询策略组信息 hss:policy:get - 设置策略组信息 hss:policy:set - 查询入侵检测事件列表 hss:event:get - 入侵检测事件操作 hss:event:set - 查询服务器分组信息 hss:hostGroup:get - 设置服务器组 hss:hostGroup:set - 文件完整性管理 hss:keyfiles:set - 查询关键文件变更报告 hss:keyfiles:list - 查询自启动列表 hss:launch:list -

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全服务（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。