主机安全防暴力破解最佳实践

主机安全防暴力破解最佳实践

结合华为多年运营商级别安全防护经验,为用户提供覆盖主流操作系统的主机加固&防护解决方案,提升云主机账户安全性,预防爆破风险

结合华为多年运营商级别安全防护经验,为用户提供覆盖主流操作系统的主机加固&防护解决方案,提升云主机账户安全性,预防爆破风险

优秀实践

云主机防暴力破解优秀实践&加固工具

云主机防暴力破解优秀实践&加固工具

  • 优秀实践

  • 华为基于自身多年安全实践经验及业界优秀实践建议,推出《云主机防暴力破解优秀实践》(下文统称《优秀实践》),分为:以“基础系统安全加固”和“基础网络安全策略配置”章节组成的基础部分以及“主机安全进阶方案”章节的进阶部分,其中“基础系统安全加固”部分提供相应的加固脚本,方便用户快速加固当前云主机

  • 适用范围

  • 《优秀实践》》主要适用于华为云上Windows/Linux操作系统云主机,参考实践中策略,稍加变动,也可应用于加固其它场景的主机

  • 注意事项

  • 加固工具暂不支持数据库,FTP等场景,建议用户参考《优秀实践》思想,设置符合复杂度要求及实践建议的密码并建议定期进行修改,遵循“最小化”、“默认失败”原则设置访问控制策略

应用场景

步骤1:下载与准备

  • 下载

    登录社区免费下载优秀实践指导文档以及加固脚本,解压加固脚本压缩包后会有两个加固脚本,其中Linux云主机加固脚本为main.sh,Windows云主机加固脚本srs.bat,加固脚本需上传到待加固ECS服务器

  • 准备

    根据优秀实践建议准备符合复杂度要求的操作系统账户密码或秘钥对(Linux系统)

步骤2-1:针对Linux云主机进行加固

  • 脚本执行

    如图所示运行加固脚本,脚本会自动检测Linux发行版本,显示选项框后输入相应的数字进行选择相应选项进行加固或备份恢复操作 

    注:首次执行时进行备份将系统配置保存于脚本所在目录下的backup目录下,以便后续需要恢复配置时使用;再次运行脚本时,将不会再进行备份,需要将原备份目录删除后重新执行,当OS type检测为unknown时,请谨慎使用该脚本

  • 选项简要说明

    1.ALL:选择1后顺序执行2-7安全加固,执行完加固后,按9退出。

    2.Set Password Complexity Requirements:设置密码复杂度,选择2后自动进行密码复杂度设置(默认口令长度不少于12位,并包括数字、小写字母、大写字母和特殊符号4类字符),如需自定义密码复杂度,请参考《优秀实践》的1.1.1节步骤手动进行配置。

    3.Set Remote Login Configuration(SSH):设置远程登陆,选择3后脚本会自动配置SSH协议版本为2,然后需要用户输入y或n“是否禁止root登录”、“允许登录的用户”等配置项,禁止root登录前,请确保已经有至少一个普通用户可用于远程登录;执行此加固项后需重启SSH服务。

    4.Set Shell History and TMOUT:进行history&TMOUT配置,选择4后脚本会根据优秀实践自动配置HISTSIZE和HISTTIMEFORMAT,然后根据用户输入超时时长配置会话超时时间。

    5.Set Key Login(SSH):使用密钥对登陆,选择5后脚本会根据优秀实践建议自动配置SSH配置文件,然后根据用户输入注入相应的公钥;注:加固前,请务必主备好可用的公私钥对,详细生成方法见《优秀实践》的1.1.4节;执行此加固项后需重启SSH服务。

    6.Set SSH Por:设置SSH端口,选择6后脚本会根据用户输入配置相应的端口,当用户输入的端口已被占用时,脚本会给出提示,要求用户重新选择,执行此加固项后需重启SSH服务。

    7.Set Su User:设置用户su权限,选择7后脚本会根据用户输入配置相应的用户拥有su权限,执行此加固项前请确保相应的用户已经创建成功。

    8.Recover Configuration:恢复配置,选择8后脚本会自动恢复备份时的配置,备份配置恢复后可能需要SSH服务,请按照提示手动进行重启。

    9.Exit:退出,执行完加固或恢复后,按9退出脚本。

步骤2-2:针对Windows云主机进行加固

  • 脚本执行

    如图所示运行加固脚本,显示选项框后输入相应的数字进行选择相应选项进行加固或备份恢复操作

    注:脚本在首次执行时会将系统配置保存于C:\policy.cfg,以便后续需要恢复配置时使用,再次运行脚本时,将不会再进行备份,需要原备份文件被删除后重新执行

  • 选项简要说明

    1. All the operation:选择1后顺序执行2-7安全加固项,执行完加固后,按Enter退出。

    2. Set password Complexity:设置密码复杂度,选择2会根据优秀实践自动进行密码复杂度设置,如需自定义复杂度请参考《优秀实践》1.2.1节步骤手动进行配置。

    3. Set password history check:口令历史记录校验配置,选择3脚本会根据实践文档建议自动进行配置,如需自定义配置请参考《优秀实践》1.2.4节步骤手动进行配置。

    4. Set password lock conf:口令锁定配置,选择4脚本会根据实践文档建议自动进行配置;如需自定义配置请参考《优秀实践》1.2.3节步骤手动进行配置。

    5. Set default account:系统默认账户配置,选择5脚本会根据实践文档建议自动进行配置,以及根据用户输入重命名管理员账户,详见《优秀实践》1.2.2节,注:脚本执行后,请务必记住管理员账户名,否则将无法登录系统。

    6. Set disconnect timeout:会话超时配置,选择6脚本会根据实践文档建议自动进行配置;如需自定义配置请参考《优秀实践》1.2.6节步骤手动进行配置。

    7. Hide the last login account:最后登录账号配置,选择7脚本会根据实践文档建议自动进行配置;如需自定义配置请参考《优秀实践》1.2.5节步骤手动进行配置。

    8. Exit:退出,执行完加固或恢复后,按8退出脚本。

    9. Recover the Configuration:恢复配置,选择9进行配置恢复;恢复执行后需重启系统使配置生效

步骤3:网络策略配置

  • 最小化访问控制

    根据《优秀实践》建议,使用安全组控制高危管理端口访问,遵从“最小化”及“默认失败”安全原则,保证仅有业务需要的、可信的源可以访问,减小攻击面

    此外,用户也可以使用iptables(Linux系统),Windows防火墙进行配置,可以达到安全组同样的效果,两者选其一即可,具体配置方法请参考《优秀实践》的第2章节

对应产品
虚拟私有云 VPC

云主机防爆破进阶安全解决方案

架构介绍

- 漏洞扫描服务

定期执行漏洞扫描服务,发现网站漏洞并提供修复建议,提升网站安全性,提前防范黑客利用漏洞攻击

- 堡垒机

使用堡垒机进行运维管理,对主机访问进行严格审计以及访问控制,有效缩小攻击面,减小运维侧入侵风险

- 双因子认证

采用双因素认证系统(Linux/Windows系统登录保护助手),强化云主机登录保护

- 安全专家服务

建议周期性使用华为云安全体检服务对业务系统进行专业安全评估,及时发现风险,并进行整改

主机安全产品

部署主机安全产品,实时监控、防御爆破攻击,检测系统弱密码


产品推荐
漏洞扫描服务 VSS
企业主机安全 HSS
管理检测与响应 MDR

为您推荐

快速了解主机安全

通过主机安全检查主机配置基线

通过主机安全修复漏洞

主机安全防暴力破解安全解决方案详情咨询

立即咨询