漏洞管理概览
HSS提供漏洞管理功能,检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞,提供漏洞概览,包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5,帮助您实时了解主机漏洞情况。
漏洞检测分为自动检测和手动检测,自动检测按照系统预设时间在每日凌晨自动执行,若需要查看目标服务器的漏洞情况或查看服务器当前漏洞情况可选择手动检测。
检测原理
漏洞检测原理
漏洞分类 | 原理说明 | 检测周期 |
---|---|---|
Linux漏洞 | 通过与漏洞库进行比对,检测出系统和软件(例如:SSH、OpenSSL、Apache、MySQL等)是否存在的漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 | 每日凌晨自动检测 手动检测 |
Windows漏洞 | 通过订阅微软官方更新,判断服务器上的补丁是否已经更新,并推送微软官方补丁,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 | - |
Web-CMS漏洞 | 通过对Web目录和文件进行检测,识别出Web-CMS漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 | - |
应用漏洞 | 通过检测服务器上运行的软件及依赖包发现是否存在漏洞,将存在风险的漏洞上报至控制台,并为您提供漏洞告警。 | 1次/周(每周一凌晨05:00左右) 手动检测 |
注意漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后,您修改了主机的名称,检测结果会显示原主机名称。
约束限制
- 未开启防护不支持漏洞相关操作。
- 目标服务器“Agent状态”为“在线”,“服务器状态”为“运行中”,“防护状态”为“防护中”。
- 基础版仅支持自动检测,不支持漏洞处理相关操作。
- HCE 2.0当前暂不支持漏洞检测和配置检测功能,将会根据后续版本迭代上线。
- 漏洞检测支持的Linux系统及版本如表所示。
Linux操作系统支持的版本
操作系统 | 支持的OS版本 |
---|---|
EulerOS | 2.2,2.3,2.5,2.8 and 2.9 64bit |
CentOS | 6.5,6.8,6.9,6.10,7.1,7.2,7.3,7.4,7.5,7.6,7.7,7.8 and 7.9 (64 bit) |
RedHat | Enterprise Linux 6.10 and 7.5 64bit |
Ubuntu | 16.04, 18.04 and 20.04 server 64bit |
OpenSUSE | 13.2 and 42.2 64bit |
Debian | 8.2.0,8.8.0,9.0.0 and 10.0.0 64bit |
Kylin OS | V10 SP1 64bit |
支持的Windows系统版本
序号 | 支持的OS类型 | 使用限制说明 |
---|---|---|
1 | Windows Server 2019数据中心版64位英文(40GB) | 若服务器安装了McAfee软件、360安全卫士、腾讯管家等第三方安全防护软件,请先停止第三方安全防护软件的防护功能,待Agent安装完成后再开启。 |
2 | Windows Server 2019数据中心版64位简体中文(40GB) | - |
3 | Windows Server 2016标准版64位英文(40GB) | - |
4 | Windows Server 2016标准版64位简体中文(40GB) | - |
5 | Windows Server 2016数据中心版64位英文(40GB) | - |
6 | Windows Server 2016数据中心版64位简体中文(40GB) | - |
7 | Windows Server 2012 R2标准版64位英文(40GB) | - |
8 | Windows Server 2012 R2标准版64位简体中文(40GB) | - |
9 | Windows Server 2012 R2数据中心版64位英文(40GB) | - |
10 | Windows Server 2012 R2数据中心版64位简体中文(40GB) | - |
检测周期
主机安全服务每日凌晨将自动进行一次全面的检测,检测后会生成漏洞扫描结果,可自行导出漏洞报告。
操作步骤
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、在左侧导航树选择“风险预防 > 漏洞管理”,进入漏洞管理页查看漏洞概览。
主机漏洞检测详情
显示主机总数、已检测主机、未检测主机以及受漏洞影响的主机数量。
主机漏洞检测详情
漏洞统计
显示未修复漏洞、高危、中危、低危漏洞数量。
漏洞统计
漏洞类型分布
显示Linux漏洞、Windows漏洞、Web-CMS漏洞和应用漏洞总体数量。
单击Linux漏洞/Windows漏洞/Web-CMS漏洞/应用漏洞,可查看对应漏洞总数。
漏洞类型分布
漏洞TOP5
显示TOP5的漏洞。
漏洞TOP5
风险服务器TOP5
显示TOP5风险的服务器
漏洞检测(手动)
通过手动执行漏洞检测可满足批量服务器的漏洞检测扫描。
约束限制
- 未开启防护不支持漏洞相关操作。
- 目标服务器“Agent状态”为“在线”,“服务器状态”为“运行中”,“防护状态”为“防护中”。
- 基础版不支持。
- HCE 2.0当前暂不支持漏洞检测和配置检测功能,将会根据后续版本迭代上线。
操作步骤
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、在左侧导航树选择“风险预防 > 漏洞管理”,进入漏洞管理页查看漏洞概览。
进入漏洞管理页面
5、单击右上角“漏洞检测”,在弹窗中勾选需要检测的漏洞类型和目标服务器。
勾选漏洞检测的参数
6、确认无误,单击“确认”,自动执行目标服务器的漏洞检测任务,漏洞检测按钮变更为“检测中”的状态。
漏洞检测中
7、检测结束后,右上角“漏洞检测”按钮状态释放,可再次执行手动检测,同时按钮下方“最近检测时间”更新为当前检测的时间后,表示检测完成。
说明检测完成后,漏洞管理页面所显示的内容均为最近一次的检测数据。
检测完成
8、在漏洞列表右侧,单击 ,可导出漏洞检测结果进行查看。
导出漏洞报告
说明应用漏洞单次导出最大数量为5000条。
主机安全服务每日凌晨会自动进行一次全面的扫描检测,扫描结束后可下载漏洞报告,若有特殊需求,也可通过手动扫描漏洞导出实时报告
查看漏洞详情
约束限制
- 未开启防护不支持漏洞相关操作。
- 目标服务器“Agent状态”为“在线”,“服务器状态”为“运行中”,“防护状态”为“防护中”。
- HCE 2.0当前暂不支持漏洞检测和配置检测功能,将会根据后续版本迭代上线。
Linux漏洞/Windows漏洞/Web-CMS漏洞/应用漏洞
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、在左侧导航树中,选择“风险预防 > 漏洞管理”,进入漏洞管理界面。
5、在漏洞管理界面,选择“Linux漏洞”、“Windows漏洞”、“Web-CMS漏洞”、“应用漏洞”任意一个页签,进入对应漏洞管理页面。
查看漏洞检测结果
6、在漏洞页面,单击“漏洞名称”,查看漏洞信息,包括漏洞基本信息、解决方案、漏洞CVE描述。
漏洞信息
7、选择“受影响服务”页签,查看漏洞影响的服务器,在该页面,您可以对漏洞进行处理。
影响服务器
- 单击目标漏洞“操作”列的“修复”,您可修复目标漏洞。
- 单击“忽略”,您可忽略该漏洞,HSS将不再上报并告警此服务器上的这个漏洞。
- 修复漏洞后,您可以单击“验证”,一键验证该漏洞是否已修复成功。
若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复结果。
若提示修复失败,可以单击“查看原因”了解具体原因并处理。 - 漏洞批量操作,可勾选多个漏洞。
单击列表上方“忽略”,可以批量忽略漏洞。
单击列表上方“取消忽略”,可以批量取消已忽略的漏洞。
单击列表上方“一键修复”,可以批量修复漏洞。
单击列表上方“验证”,可以批量验证漏洞。
导出漏洞报告
进入目标漏洞页签页面,在漏洞列表的右上角,单击导出漏洞报告。
导出漏洞报告
说明应用漏洞单次导出最大数量为5000条。
主机安全服务每日凌晨会自动进行一次全面的扫描检测,扫描结束后可下载漏洞报告,若有特殊需求,也可通过手动扫描漏洞导出实时报告,操作详情请参见漏洞检测(手动)。
漏洞修复与验证
- Linux软件漏洞和Windows系统漏洞:
您可以使用“一键修复”功能进行修复,也可以根据界面提供的修复建议进行手动修复。
修复完成后,可通过“验证”功能,快速验证漏洞是否修复成功。
说明Windows漏洞修复需要公网访问权限。
Web-CMS漏洞:
请根据界面提供的修复建议进行手动修复。
应用漏洞:
请根据界面提供的修复建议进行手动修复。
约束限制
- 未开启防护不支持漏洞相关操作。
- 目标服务器“Agent状态”为“在线”,“服务器状态”为“运行中”,“防护状态”为“防护中”。
- 基础版不支持。
- HCE 2.0当前暂不支持漏洞检测和配置检测功能,将会根据后续版本迭代上线。
操作风险
- 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云服务器备份(CSBS)为ECS创建备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
- 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。但是,如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用提供的镜像源进行漏洞修复。
为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置对应操作系统的镜像源。
修复紧急度
- 高危:您必须立即修复的漏洞,攻击者利用该类型的漏洞会对主机造成较大的破坏。
- 中危:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
- 低危:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。
漏洞显示时长
- 漏洞状态为“修复失败”或者“未处理”的漏洞会一直显示在漏洞列表中。
- 漏洞状态为“修复成功”的漏洞,修复成功后,30天后才不会在漏洞列表中显示。
控制台一键修复漏洞
仅Linux软件漏洞和Windows系统漏洞支持控制台一键漏洞修复。
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、在左侧导航树中,选择“风险预防 > 漏洞管理”,进入“漏洞管理”页面,单击“处理”,进入影响服务器页面。
修复漏洞
5、在“受影响服务器”页面,勾选受影响的服务器,单击“一键修复”,修复漏洞。
一键修复漏洞
6、在弹出的修复漏洞窗口中,勾选“我确定知晓如未进行创建备份,可能存在修复失败导致业务中断的风险,同时无法进行回滚”。
7、单击“确认”,进行一键修复漏洞,修复状态处于“修复中”。
漏洞修复完成后,若修复成功,修复状态将变更为“修复成功”。若修复失败,修复状态将变更为“修复失败”。
说明“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
手动修复系统软件漏洞
进入到漏洞的基本信息页,可根据修复建议修复主机中已经被识别出的漏洞,漏洞修复命令可参见表。
- 不同的漏洞请根据修复建议依次进行修复。
- 若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
说明“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
漏洞修复命令
操作系统 | 修复命令 |
---|---|
CentOS/Fedora /Euler/Redhat/Oracle | yum update软件名称 |
Debian/Ubuntu | apt-get update && apt-get install软件名称--only-upgrade |
Gentoo | 请参见漏洞修复建议。 |
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
方案一:创建新的虚拟机执行漏洞修复
1、为需要修复漏洞的ECS主机创建镜像。
2、使用该镜像创建新的ECS主机。
3、在新启动的主机上执行漏洞修复并验证修复结果。
4、确认修复完成之后将业务切换到新主机。
5、确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
方案二:在当前主机执行修复
1、为需要修复漏洞的ECS主机创建备份。
2、在当前主机上直接进行漏洞修复。
3、如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态。
说明方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换计费模式。如果漏洞修复不成功可以随时释放以节省开销。
方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
漏洞忽略
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。
忽略后,主机安全服务将不会对该漏洞告警。
修复验证
漏洞修复后,建议您立即进行验证。
手动验证
- 通过漏洞详情页面的“验证”,进行一键验证。
- 执行以下命令查看软件升级结果,确保软件已升级为最新版本。
验证修复命令
操作系统 | 修复命令 |
---|---|
CentOS/Fedora /Euler/Redhat/Oracle | rpm -qa |
Debian/Ubuntu | dpkg -l |
Gentoo | emerge --search软件名称 |
自动验证
若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。