主机漏洞扫描

经过用户授权(支持账密授权)访问用户主机,漏洞管理服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。

主机漏洞扫描开操作指引

您可以在华为云官网免费试用漏洞扫描工具体验网站漏洞扫描。漏洞扫描工具的操作指引如下:

1.漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。具体操作请参见购买漏洞管理服务

2.添加主机,具体操作请参见添加主机

3.配置Linux主机授权

4.开启主机扫描,具体操作请参见开启主机扫描

5.扫描结束,查看网站扫描详情

6.下载网站扫描报告

7.删除域名

主机漏洞扫描的功能特性

快速检测出主机存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

-支持深入扫描:通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

-支持内网扫描:可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

-支持中间件扫描:支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

一站式漏洞管理

-支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知,请购买专业版、高级版或者企业版。

-提供漏洞修复建议。如果您需要查看修复建议,请购买专业版、高级版或者企业版。

-支持下载扫描报告,用户可以离线查看漏洞信息,报告格式为PDF。如果您需要下载扫描报告,请购买专业版、高级版或者企业版。

-支持重新扫描。

支持弱密码扫描

-多场景可用,支持操作系统(RDP协议、SSH协议)、数据库(如Mysql、Redis)等常见中间件弱口令检测。

-丰富的弱密码库,丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

支持端口扫描

-扫描服务器端口的开放状态,检测出容易被黑客发现的“入侵通道”。

自定义扫描

-支持任务定时扫描。

-支持基于用户名密码登录、基于自定义Cookie登录。

-支持Web 2.0高级爬虫扫描。

-支持自定义Header扫描。

-支持手动导入探索文件来进行被动扫描。

主机漏洞扫描的产品优势

扫描全面

涵盖多种类型资产扫描,支持云内外网站、主机漏洞、二进制成分分析和移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区。

简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

高效精准

采用Web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率。

时刻关注业界紧急CVE爆发漏洞情况,自动扫描,快速了解资产安全风险。

快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。

主机漏洞扫描的计费模式

漏洞管理服务(网站漏洞扫描)提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

基础版

1.基础版配额内仅支持Web网站漏洞扫描(域名个数:5个,扫描次数:5个域名每日总共可以扫描5次)是免费的。

2.基础版提供的以下功能按需计费:

-可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行 扫描完成后进行一次性扣费。

-主机扫描一次最多支持20台主机。

专业版、高级版和企业版

相对于按需付费,包年/包月购买方式能够提供更大的折扣,对于长期使用者,推荐该方式。包周期计费为按照订单的购买周期来进行结算。

主机漏洞扫描工具常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

确定
  • VSS的主机漏洞扫描IP有哪些?

    ▶如果设置了访问限制,请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件,请将VSS访问主机的IP地址添加到该软件的白名单中,以免该软件拦截了VSS访问用户主机的IP地址。

    119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞扫描时如何对主机进行授权

    ▶操作场景

    该任务指导用户通过漏洞管理服务对已添加的Linux主机进行扫描授权。

    前提条件

    已获取管理控制台的登录账号与密码。

    已添加Linux主机。

    操作步骤

    登录华为云管理控制台。

    选择“服务列表 >安全与合规 > 漏洞扫描服务”,进入漏洞管理服务管理控制台。

    在左侧导航栏,选择“资产列表 > 主机”。

    批量选择需要配置的主机,单击“批量操作 > 编辑”,进入批量授权入口,如图1所示。

    图1 进入批量授权入口

    说明:用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“编辑”。

    在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”。

    说明:用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“配置授权信息”。

    如果需要修改主机名称,单击,在弹出的对话框中,进行修改

    选择SSH授权方式进行主机授权。

    说明:如果需要修改已有SSH授权,单击“编辑”,进行修改。

    如果需要删除已有SSH授权,单击“删除”,进行删除。

    选择已有SSH授权,或者单击“创建SSH授权”创建SSH授权,如图4所示,参数说明如表1所示。

    表1 参数说明

    参数名称

    参数说明

    SSH授权别称

    自定义SSH授权名称。

    登录端口

    SSH授权登录的端口号。

    请确保安全组已添加该端口,以便主机可通过该端口访问漏洞管理服务。

    选择登录方式

    “密码登录”

    “密钥登录”

    选择加密密钥

    为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。

    您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。

    须知:

    您也可以在数据加密服务的以下区域创建密钥:

    华北-北京一

    华北-北京四

    华南-广州

    华东-上海一

    华东-上海二

    西南-贵阳一

    华南-深圳

    有关创建密钥的详细操作,请参见创建密钥。

    使用数据加密服务需要单独计费,详细的服务资费和费率标准,请参见价格详情。

    Root权限是否加固

    打开该权限后,不可以用root账号直接登录,而只能通过普通用户登录,然后才能切换到root用户。

    sudo用户名

    默认为root。

    sudo密码

    设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。

    单击“确定”,完成Linux主机授权。

  • 漏洞扫描时如何解决主机不能访问?

    在使用主机扫描时会显示扫描失败,无法访问您的主机,可能有如下两个原因。

    1. 安全组和网络ACL访问限制。
    2. 网络故障。

    如果是网络故障的原因导致主机不能访问,请在网络恢复后重新进行主机扫描,如果是因为安全组和网络ACL访问限制导致的主机不能访问,请您将以下VSS的扫描IP添加至主机访问的白名单中:

    119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞管理服务支持哪些操作系统的主机扫描?

    漏洞管理服务支持扫描的主机操作系统版本如下:

    支持的Linux操作系统版本,如表1所示。

    表1 Linux操作系统版本

  • 主机漏洞扫描为什么会扫描失败?

    主机扫描失败的主要原因有主机未进行授权、主机不可达,请参考以下方法排查您的主机扫描失败的原因并解决问题。

    1.排查主机是否完成了授权,如果未授权,请参见如何对主机进行授权完成主机授权。

    2.排查主机是否能正常访问,主机不能访问可能有以下两个原因:

    -主机所在的安全组或网络ACL设置了访问限制,请参见如何解决主机不能访问添加策略允许VSS的IP网段访问您的主机。

    -主机IP被当成不信任IP被主机安全服务拦截,请参见解除拦截受信任的IP解除主机IP封禁,并参见配置SSH登录IP白名单将您的主机IP配置为白名单。

  • 漏洞管理服务可以扫描本地的物理服务器吗?

    漏洞管理服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器,需要满足以下条件。

    -本地网络可通外网。

    -本地物理服务器为Linux操作系统,且满足以下版本要求:

    1.EulerOS:支持的最低系统版本为EulerOS 2.2。

    2.CentOS:支持的最低系统版本为CentOS 6.5。

    3.RedHat:支持的最低系统版本为Red Hat Enterprise Linux 6.10。

    4.Ubuntu:支持的最低系统版本为Ubuntu 16.04 server。

    5.SUSE:支持的最低系统版本为SUSE Enterprise 11 SP4。

    6.OpenSUSE:支持的最低系统版本为OpenSUSE 13.2。

    7.Debian:支持的最低系统版本为Debian 8.2.0。

    8.Kylin OS:支持的系统版本为Kylin OS V10 SP1。

    -可以远程登录到本地物理服务器。

    本地物理服务器满足以上条件后,可以在漏洞扫描服务界面通过添加跳板机的方式,使用漏洞扫描服务扫描本地的物理服务器。

    有关物理服务器使用VSS的详细介绍,请参见物理服务器可以使用漏洞扫描服务吗?。

  • 如何扫描修改了IP地址的主机?

    漏洞扫描时如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。

    有关对主机进行授权的详细操作,请参见如何对主机进行授权?

  • 主机漏洞扫描可以关闭基线检查吗?

    主机漏洞扫描不能关闭基线检查。如果您确认基线检查漏洞扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行的“操作”列,单击“忽略”,忽略该检查项,相应的检查项统计结果将发生变化,扫描报告中也不会出现该检查项。

  • 等保合规的检查项可以忽略吗?

    可以。

    -如果您确认漏洞扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行的“操作”列,单击“忽略”,忽略该检查项,后续执行漏洞扫描任务会扫描出该漏洞,但相应的检查项统计结果将发生变化,漏洞扫描报告中也不会出现该检查项。

    -漏洞管理服务目前仅企业版用户支持等保合规检测,如果您需要对您的主机进行等保合规检测,请购买企业版。


  • 主机互通性测试异常如何处理?

    通过互通性测试可以测试待漏洞扫描的主机与漏洞扫描环境的连通性是否正常。

    目前支持密码登录模式下的root用户名密码、root权限加固情况下的普通用户sudo场景以及配置了跳板机的场景,暂不支持密钥登录模式。

    主机互通性测试不同异常提示的处理方法如下:

    1.网络不可达,请确认网络是否可连通

    待漏洞扫描的主机或跳板机的IP地址网络不通,解决办法请参见如何解决主机不能访问?。

    2.认证失败,请确认授权信息是否正确

    主机授权信息中用户密码不正确,解决办法请参见配置Linux主机授权。

    3.提权失败,请确认授权信息是否正确

    主机授权信息中root权限加固场景下,用户密码不正确,解决办法请参见配置普通用户和sudo提权用户漏洞扫描失败案例。

    4.认证场景不支持互通性测试

    目前互通性测试暂不支持使用密钥登录模式的认证场景。

漏洞扫描文档下载

主机漏洞扫描服务最新动态下载

及时关注漏洞扫描服务最新动态

主机漏洞扫描服务产品介绍下载

详细了解漏洞扫描服务产品

主机漏洞扫描服务SDK参考下载

熟知漏洞扫描SDK,提升漏洞扫描工具使用能力

主机漏洞扫描服务常见问题下载

了解漏洞扫描常见问题,避免踩坑

主机漏洞扫描服务最佳实践下载

在实践中了解漏洞扫描服务

主机漏洞扫描相关文章推荐