操作场景
如果云主机没有设置相关的安全防护,可能受到病毒入侵或外部攻击,导致数据泄露或丢失,影响业务的正常运行。
怎样保护云主机免受攻击或病毒入侵?本节操作介绍常见的提升云主机安全的措施。
防护类型简介
提升云主机的安全性,分为云主机“外部安全防护”和“内部安全防护”两方面。
表 提升云主机安全的方法
| 类型 | 说明 | 防护方法 |
|---|---|---|
| 外部安全防护 | 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案,例如开启主机安全防护、DDoS原生基础防护您可以根据您的实际业务选择合适的防护方案。 | 开启主机安全防护 监控云主机 开启防DDoS攻击 定期备份数据 |
| 内部安全防护 | 弱密码、开放错误的端口都可能引起内部安全防护问题,不提升云主机的内部安全防护,外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 | 增加登录密码的强度 提升云主机的端口安全 定期升级操作系统 |
监控云主机
监控是保持弹性云主机可靠性、可用性和性能的重要部分,通过监控,用户可以观察弹性云主机资源。为使用户更好地掌握自己的弹性云主机运行状态,公有云平台提供了云监控。您可以使用该服务监控您的弹性云主机,执行自动实时监控、告警和通知操作,帮助您更好地了解弹性云主机的各项性能指标。
主机监控分为基础监控和操作系统监控。
- 基础监控
基础监控无需安装Agent,是ECS自动上报的监控指标。基础监控指标的监控周期为5分钟(KVM实例)。 - 操作系统监控
操作系统监控需要在弹性云主机中安装Agent插件,为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟(KVM实例)。
增加登录密码的强度
“密钥对”方式创建的弹性云主机安全性更高,建议选择“密钥对”方式。如果您习惯使用“密码”方式,请增强密码的复杂度,如下表所示,保证密码符合要求,防止恶意攻击。
系统不会定期自动修改弹性云主机密码。为安全起见,建议您定期修改密码。
密码设置建议:
- 密码应该长度不少于10位。
- 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。
- 密码尽量不要包含账户名如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql。
- 建议至少每90天更改一次密码。
- 建议不要重复使用最近5次(含5次)内已使用的密码。
- 建议根据不同应用设置不同的账号密码,不建议多个应用使用同一密码。
创建云主机时密码的设置规则
| 参数 | 规则 | 样例 |
|---|---|---|
| 密码 | 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种: 大写字母 小写字母 数字 特殊字符,包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows系统的云主机,不能包含用户名中超过两个连续字符的部分。 |
YNbUwp!dUc9MClnv 说明 样例密码随机生成,请勿复制使用样例。 |
提升云主机的端口安全
安全组是云主机的守卫,是重要的网络安全隔离手段,可以保护云主机的网络安全。安全组可以控制进出云主机的网络流量。网络流量分为出方向和入方向,出方向是指您想访问别人,入方向就是别人想访问你。如果把云主机比作一个宫殿,那安全组就像是一个守卫者,谁能进出,都由安全组规则控制。
通过配置安全组规则,限定云主机出方向和入方向的访问端口,通常我们建议您关闭高危端口,仅开启必要的云主机端口。
常见的高危端口如表 93所示,建议您修改敏感端口为其它非高危端口来承载业务。
表 常见的高危端口
| 协议 | 端口 |
|---|---|
| TCP | 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 |
| UDP | 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996 |
定期升级操作系统
云主机申请完成后,系统内的所有配置都是需要您自行维护,云平台不负责客户系统补丁的升级,对于官方发布的一些漏洞预警,我们会有安全公告,需要您自行升级维护。
