华为云用户手册

Linux操作系统 获取登录密码 使用公共镜像创建的云服务器，默认已经安装一键式重置密码插件。如果您忘记密码或密码过期，可以通过重置密码功能重新设置云服务器登录密码。 确保云服务器绑定弹性公网IP（仅SSH方式要求） SSH方式登录仅适用于Linux弹性云服务器。您可以使用远程登录工具登录弹性云服务器。此时，弹性云服务器需绑定弹性公网IP。例如使用PuTTY登录云服务器。 检查弹性云服务器已绑定弹性公网IP。 绑定弹性公网IP的详细操作请参考：为弹性云服务器绑定弹性公网IP。 检查弹性公网IP是否能ping通。 如果通过公网IP ssh，请参见“弹性公网IP ping不通？”进行检查。 如果通过私网IP ssh，请参考“同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时，如何排查？”。 相关操作链接： 如果您使用外部镜像文件创建的弹性云服务器，且未安装密码重置插件，可以选择使用挂载磁盘的方式重置密码，详细操作请参见重置Linux云服务器密码（未安装重置密码插件）。 对于“密钥对”方式创建的Linux弹性云服务器： 首次登录时，请使用“SSH密钥方式”，详情请参见SSH密钥方式登录。 非首次登录时，如需使用控制台提供的“远程登录”功能（VNC方式），需先使用“SSH密钥方式”登录，并设置密码，然后才能使用VNC方式登录。 密钥对方式购买的弹性云服务器，使用私钥文件获取登录密码失败。 出现获取密码失败一般原因是Cloud-init注入密码失败。

怎样将资源解冻？ 欠费冻结：用户可通过续费或充值来解冻资源，恢复云服务器正常使用。欠费冻结的云服务器允许续费、释放或删除；已经到期的包年/包月云服务器不能发起退订，未到期的包年/包月云服务器可以退订。 违规冻结：违规冻结的云服务器允许续费、释放或删除；已经到期的包年/包月云服务器不能发起退订，未到期的包年/包月云服务器可以退订。 公安冻结：已被公安冻结的云服务器允许续费，不允许释放或删除。被公安冻结的包年/包月云服务器不允许退订，在退订管理页面仍然显示，只是不能退订。

Ubuntu20/22 Ubuntu20、Ubuntu22公共镜像均默认使用NetworkManager作为网络服务，DNS配置信息由DHCP获取，由systemd-resolved服务维护。以网卡eth0为例配置静态IP的操作步骤如下： 执行以下命令修改网卡配置文件。 vim /etc/netplan/01-netcfg.yaml 将信息收集中获取的IP地址及网段、网关地址填写到该文件中，DNS信息根据业务实际情况写入，如果使用华为云默认的DNS可以参考华为云提供的内网DNS地址是多少？获取，修改后的内容如下图所示： network: version: 2 renderer: NetworkManager ethernets: eth0: dhcp4: true dhcp4: no addresses: [172.19.126.101/15] gateway4: 172.10.0.1 nameservers: addresses: [100.125.1.250,100.125.129.250] eth1: dhcp4: true eth2: dhcp4: true eth3: dhcp4: true eth4: dhcp4: true 执行以下命令使IP配置生效。 netplan apply 执行以下命令确认配置是否成功。 ip a 如果回显中ip已经配置正常并且显示的时间是forever则代表静态ip配置成功。 resolvectl 如果回显中对应网卡显示的DNS与配置一致则配置成功。

信息收集 在配置静态IP地址之前，需要获取当前Linux实例的IP地址、子网掩码和网关信息，请按照以下步骤获取： 登录弹性云服务器。 执行以下命令，查看实例的IP地址和子网掩码。 ip a 如下图显示实例当前的IP地址及网段为：172.19.126.101/15 ifconfig -a 如下图显示实例当前的子网掩码为：255.254.0.0 执行以下命令，查看实例当前的网关和默认路由信息。 ip route 如下图显示实例当前的网关为：172.10.0.1，默认路由使用eth0网卡。

Centos 7/Centos 8/HCE2.0 Centos 7、Centos 8和HCE 2.0公共镜像均默认使用NetworkManager作为网络服务，DNS配置信息由DHCP获取。以网卡eth0为例配置静态IP的操作步骤如下： 执行以下命令修改网卡配置文件。 vim /etc/sysconfig/network-scripts/ifcfg-eth0 将BOOTPROTO字段修改为static，并将信息收集中获取的IP地址、子网掩码、网关地址填写到该文件中，DNS信息根据业务实际情况写入，如果使用华为云默认的DNS可以参考华为云提供的内网DNS地址是多少？获取，修改后的内容如下所示： DEVICE="eth0" BOOTPROTO="static" ONBOOT="yes" TYPE="Ethernet" STARTMODE="auto" USERCTL="no" IPADDR="172.19.126.101" NETMASK="255.254.0.0" GATEWAY="172.10.0.1" PEERDNS="no" DNS1="100.125.1.250" DNS2="100.125.129.250" 修改完成后保存退出。 执行以下命令使配置生效。 执行以下命令重新加载网络配置。 nmcli c reload 执行以下命令查询具体的网络连接名称。 nmcli c s 如下图，eth0的链接名称是System eth0。 执行以下命令重新激活链接。 nmcli c up 'System eth0' 执行以下命令确认配置是否成功。 ip a 如果回显中ip已经配置正常并且显示的时间是forever则代表静态ip配置成功。 cat /etc/resolv.conf 如果回显nameserver显示与配置的DNS地址一致则代表DNS配置成功。

修订记录 发布日期 修改说明 2024-01-08 第十六次正式发布。 新增： 批量安装Agent失败，提示“网络不通”怎么处理？ 高危命令执行告警，如何添加白名单？ 2023-12-21 第十五次正式发布。 Agent检测时占用多少CPU和内存资源？，增加病毒查杀任务执行时占用说明。 如何让主机安全服务停止计费？，支持批量退订。 2023-10-27 第十四次正式发布。 新增： 手动扫描漏洞或批量修复漏洞时，为什么选不到目标服务器？ 容器集群防护插件卸载失败怎么办？ 升级Agent失败，提示“替换文件失败”怎么处理？ 修改： 服务中文名称修改为“主机安全服务” 2023-09-27 第十三次正式发布。 新增： HSS支持跨账号使用吗？ 无法访问Windows或Linux版本Agent下载链接？ HSS由旧版升级为新版后不告警了，怎么办？ 漏洞修复失败怎么办？ 如何切换服务器绑定的防护配额版本？ ECS服务器已经删除，为什么HSS的服务器列表仍显示有该服务器？ 2023-07-25 第十二次正式发布。 新增： 如何开启主机安全服务自保护？ 主机安全服务自保护无法关闭怎么办？ 服务器远程端口已修改，为什么暴力破解记录仍显示旧端口？ 自建k8s容器如何开启apiserver审计功能？ 2023-07-19 第十一次正式发布。 新增： 如何取消自动续费？ 优化： Agent如何升级？，增加手动升级Agent2.0操作。 2023-06-15 第十次正式发布。 新增： 企业项目为什么无法查看“所有项目”？ 2023-05-24 第九次正式发布。 新增： HSS是否支持防护本地IDC服务器？ HSS是否和其他安全软件有冲突？ 购买HSS后会自动安装Agent吗？ 频繁收到HSS暴力破解告警如何处理？ 收到来自华为云IP的暴力破解告警如何处理？ HSS的恶意程序检测周期、隔离查杀是多久一次？ HSS拦截的IP是否需要处理？ 如何防御勒索病毒攻击？ HSS如何查询漏洞、基线已修复记录？ 如何关闭节点防护？ HSS可以跨区域使用吗？ 如何清除HSS中配置的SSH登录IP白名单？ 不能通过SSH远程登录主机，怎么办？ 如何使用双因子认证？ 开启双因子认证失败，怎么办？ 开启双因子认证后收不到验证码？ 为什么开启双因子认证后登录主机失败？ 开启双因子认证时，如何添加接收验证通知的手机号或邮箱？ 双因子认证中，验证码是一个固定的验证码吗？ 如何修改接收告警通知的手机号或邮箱？ 配置告警通知时选不到消息主题？ 是否可以不开启HSS告警通知？ 如何修改告警通知的通知项？ 云服务器列表为什么看不到购买的服务器？ 开启防护时显示没有配额？ HSS到期后不续费，对主机和业务有影响吗？ 退订后重购HSS，是否需要重新安装Agent与配置主机防护信息？ 2023-04-27 第八次正式发布。 新增： 如何为主机安全服务续费？ 如何让主机安全服务停止计费？ 2023-03-06 第七次正式发布。 新增FAQ： 如何使用镜像批量安装Agent？ 2023-01-18 第六次正式发布。 新增FAQ： 购买了主机安全服务版本为什么没有生效？ 容器安全如何切换至主机安全服务控制台？ 2022-11-15 第五次正式发布。 新增：主机安全服务不升级有什么影响？ 2022-11-04 第四次正式发布。 新增：主机安全服务升级失败怎么处理？ 2022-10-28 第三次正式发布。 新增章节： Agent如何升级？ 勒索防护的备份与云备份有什么区别？ 2022-10-20 第二次正式发布。 新增Agent问题所有章节。 2022-08-31 第一次正式发布。

新版&旧版功能说明 目前容器安全服务已整合至主机安全服务控制台进行统一管理，优化了既有功能的能力，同时新增了部分新功能。 表1 新版&旧版CGS功能说明 功能项 CGS旧版（原CGS） CGS新版（HSS新版） 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常 √ √ 容器配置异常 √ √ 容器异常启动 √ √ 容器恶意程序 √ √ 高危系统调用 √ √ 敏感文件访问 √ √ 容器软件信息 √ √ 容器文件信息 √ √ 白名单管理 √ √ 容器策略管理 √ √

升级Agent原理 在主机安全服务控制台单击升级Agent后，系统将自动按照先卸载Agent1.0，然后安装Agent2.0的顺序执行，无需人为操作。 升级时Agent在旧版控制台反馈的状态： 升级成功：已经升级成功，可切换至主机安全服务（新版）查看防护情况。 升级中：Agent正在升级。 升级失败：Agent升级失败。 升级时Agent在新版控制台反馈的状态： 未安装：目标主机在新版控制台还未进行Agent安装。 在线：Agent运行正常。 离线：Agent通信异常。

失败常见原因 自动执行升级完成后，需要等待5~10分钟左右Agent才会自动刷新Agent状态。 Agent升级失败或超过等待时间仍不显示可能原因如下： DNS无法解析：Agent升级只能通过内网DNS解析，因此需要保证内网DNS地址的正确性。 10180端口被限制访问：Agent升级需要通过端口10180进行访问。 可用内存不足：Agent升级需要占用一定内存，主机剩余内存小于300M会影响正常升级。 无法正常获取metadata：Agent升级需要获取服务器的ID、名称、Region等信息。

关闭操作 远程登录目标服务器。 华为云主机 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。 非华为云主机 请使用远程管理工具（例如：PuTTY、Xshell等）连接您服务器的弹性IP，远程登录到您的服务器。 在命令窗口执行关闭命令。 临时关闭 在命令窗口执行以下命令临时关闭SELinux。 setenforce 0 在重启系统后将恢复开启状态。 永久关闭 在目录窗口执行以下命令，编辑SELinux的config文件。 vi /etc/selinux/config 找到SELINUX=enforcing，按i进入编辑模式，将参数修改为SELINUX=disabled。 图1 编辑selinux状态 修改完成后，按下键盘Esc键，执行以下命令保存文件并退出。 :wq 执行永久关闭命令并保存退出后，执行以下命令立即重启服务器。 shutdown -r now 执行永久关闭的命令后不会立即生效，重启服务器后才会生效。 重启后运行以下命令，验证SELinux的状态为disabled，表明SELinux已关闭。 getenforce

解决方案 确认是否已关闭主机Selinux防火墙。 已关闭：请执行下一步骤。 未关闭：请关闭Selinux防火墙后重新安装。 确认主机是否已绑定弹性IP。 是：请执行下一步骤。 否：请绑定弹性IP后重新安装。 请根据主机所在区域、主机操作系统，确认安装命令是否正确。 正确地选择主机所在的区域，详细操作请参见“如何切换可用区域？”。 根据主机操作系统复制正确的安装命令。 主机中32位的系统，只能使用32位系统对应的操作命令。 主机中64位的系统，只能使用64位系统对应的操作命令。 是：请执行下一步骤。 否：请使用正确的命令重新安装。 确认安装账号是否为root账号。 是：请执行下一步骤。 否：请使用root账号重新安装。 确认主机DNS能否正常解析Agent下载域名。 执行如下命令，检查解析情况。 Linux主机：ping -c 1 hss-agent.区域代码.myhuaweicloud.com Windows主机：ping -n 1 hss-agent.区域代码.myhuaweicloud.com 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。 以“华北-北京一”为例，完整命令示例：ping -c 1 hss-agent.cn-north-1.myhuaweicloud.com 查看命令执行结果。 解析成功：界面回显解析出的IP，表示DNS解析正常，请执行6。 解析失败：界面回显“name or service not known”或未解析出IP，表示DNS解析失败。由于公网无法访问Agent下载地址，请配置正确的华为云内网DNS地址后，重新安装Agent，详细操作请参见修改云服务器的DNS服务器地址、华为云内网DNS地址。 使用root账号卸载Agent后强制安装。 安装成功：结束操作。 安装失败：请联系技术支持。

升级说明 整个升级Agent过程均为免费。 升级过程中不影响您在云服务器上业务的正常使用。 升级后将在新版console进行计费，旧版停止计费。 升级后需切换至主机安全服务（新版）查看云服务器防护状态，主机安全服务（旧版）将停止防护。 当前支持切换至主机安全服务的Region为华北-乌兰察布二零一、华北-乌兰察布二零二、西南-贵阳一、华南-深圳、华南-广州-友好用户环境、华东-上海一、华东-上海二、华北-北京一、华北-北京四。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 升级后支持开启增强版勒索病毒防护。 升级后将提升Agent运行时的安全性、稳定性、可靠性。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 各组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

不同规格主机Agent资源占用一览 Agent运行时，不同规格的云服务器CPU、内存占用情况如表1所示。 表1 Agent资源占用一览 vCPUs规格 Agent运行占用CPU资源比例（峰值） 执行病毒查杀时，内存占用(峰值) 内存占用（峰值） 执行病毒查杀时，内存占用（均值） 1vCPUs 20% 50% 500 MB 800 MB 2vCPUs 10% 40% 500 MB 800 MB 4vCPUs 5% 35% 500 MB 800 MB 8vCPUs 2.5% 32.5% 500 MB 800 MB 12vCPUs 约1.67% 约31.67% 500 MB 800 MB 16vCPUs 约1.25% 约31.25% 500 MB 800 MB 24vCPUs 约0.84% 约30.84% 500 MB 800 MB 32vCPUs 约0.63% 约30.63% 500 MB 800 MB 48vCPUs 约0.42% 约30.42% 500 MB 800 MB 60vCPUs 约0.34% 约30.34% 500 MB 800 MB 64vCPUs 约0.32% 约30.32% 500 MB 800 MB

CPU占用峰值 Agent运行时，CPU占用控制在1vCPU的20%以内。因此，实际占用比例与您购买的云服务器规格有关，详见不同规格主机Agent资源占用一览。 如果CPU占用比例超过1vCPU的20%，Agent会自动降CPU；自动降CPU后，Agent检测主机时间会延长，但不影响服务使用。如果CPU占用比例超过1vCPU的25%，Agent将自动重启。 Agent定时检测任务会基于使用地时间在每日00：00-04：00执行，全量扫描主机，不会影响主机系统的正常运行。 如果Agent正在执行病毒查杀任务，病毒查杀程序会额外占用部分CPU，占用最多不超过多核的30%。关于病毒查杀的详细介绍请参见病毒查杀。

内存占用峰值 Agent运行时，内存占用控制在500 MB以内。如果Agent内存占用超过最大内存限制500 MB，Agent会在5分钟内自动重启。 如果Agent正在执行病毒查杀任务，内存占用控制在均值800 MB。关于病毒查杀的详细介绍请参见病毒查杀。 如果主机可用内存小于50 MB，Agent会切换为“静默”状态。如果Agent内存占用超限重启，半小时达10次，Agent切换为“空载”状态；1小时达15次，Agent当天切换为“静默”状态。以下是状态说明： 空载状态：Agent所有防护功能关闭，可通过控制台执行升级、卸载操作。 静默状态：Agent所有防护功能关闭，不可通过控制台执行升级、卸载操作。 Agent后台状态可在Agent安装目录下的conf/framework.conf文件中查看“run_mode”字段。 如果需要将Agent恢复为正常状态，可按以下操作执行： 如果您开启了自保护策略，请先关闭自保护策略再执行以下操作。详细操作参考关闭自保护。 （可选）主机扩容。 主机可用内存小于50 MB才需执行此操作。 修改Agent安装目录下的conf/framework.conf文件，将run_mode冒号后面的模式改为normal。 执行以下操作，删除记录重启次数的文件。 Linux：执行命令rm -f /usr/local/hostguard/run/restart.conf。 Windows：找到C:\Program Files\HostGuard\run\restart.conf并删除。 执行以下操作，重启Agent。 Linux：执行命令service hostguard restart。 Windows： Agent为4.0.17及以下版本： 以管理员administrator权限登录主机。 打开“任务管理器”，选择“服务”页签。 选中Hostwatch，单击鼠标右键选择“停止”，等待状态改变为“已停止”后执行步骤4。 选择中Hostguard，单击鼠标右键选择“停止”。 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。 启动Hostwatch后会自动拉起Hostguard。 Agent为4.0.18及以上版本： 以管理员administrator权限登录主机。 打开cmd命令提示符窗口，依次执行以下命令停止服务。 sc control hostwatch 198 sc control hostguard 198 如图 停止服务所示为正常现象，开启自保护的主机上不会生成sp_state.conf文件。 图1 停止服务 打开“任务管理器”，选择“服务”页签。 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。 启动Hostwatch后会自动拉起Hostguard。

可检测的暴力破解攻击类型 HSS可检测到的暴力破解攻击类型如下： Windows系统 ：SqlServer(暂不支持自动拦截) 、Rdp Linux系统：MySQL、vfstp、ssh 如果您的服务器上安装了MySQL或者vsftp，开启主机安全防护之后，Agent会在iptables里面新增一些规则，用于MySQL/vsftp爆破防护。当检测到爆破行为后会将爆破IP加入到阻断列表里面，新增的规则如图1所示。 图1 新增规则

暴力破解拦截原理 暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单，如果发现暴力破解主机的行为，HSS会对发起攻击的源IP进行拦截，默认拦截时间为12小时。如果被拦截的IP在默认拦截时间内没有再继续攻击，系统自动解除拦截。同时HSS支持双因子认证功能，双重认证用户身份，有效阻止攻击者对主机账号的破解行为。 您可以配置常用登录IP、配置SSH登录IP白名单，常用登录IP、SSH登录IP白名单中的IP登录行为不会被拦截。 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH账户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警；SSH登录IP白名单功能也对其不生效。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

防护的主机切换操作系统，HSS配额会发生变化吗？ 不会变化。在切换主机操作系统前，请您先确认主机安全服务的Agent是否支持待切换的操作系统。不支持的操作系统，与Agent可能存在兼容性问题，建议您重装或者选择为Agent支持的操作系统版本，以便获得主机安全服务更好的服务体验。 主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得主机安全服务更好的服务体验。 表1 Agent支持的操作系统 操作系统类型 系统架构 Agent支持的操作系统版本 该操作系统的漏洞扫描支持情况 （√表示支持，×表示不支持） Windows X86 Windows 10（64位） 说明： 仅支持华为云云桌面使用该操作系统。 × Windows 11（64位） 说明： 仅支持华为云云桌面使用该操作系统。 × Windows Server 2012 R2 标准版 64位英文(40GB) √ Windows Server 2012 R2 标准版 64位简体中文(40GB) √ Windows Server 2012 R2 数据中心版 64位英文(40GB) √ Windows Server 2012 R2 数据中心版 64位简体中文(40GB) √ Windows Server 2016 标准版 64位英文(40GB) √ Windows Server 2016 标准版 64位简体中文(40GB) √ Windows Server 2016 数据中心版 64位英文(40GB) √ Windows Server 2016 数据中心版 64位简体中文(40GB) √ Windows Server 2019 数据中心版 64位英文(40GB) √ Windows Server 2019 数据中心版 64位简体中文(40GB) √ Linux X86 CentOS 7.4（64位） √ CentOS 7.5（64位） √ CentOS 7.6（64位） √ CentOS 7.7（64位） √ CentOS 7.8（64位） √ CentOS 7.9（64位） √ CentOS 8.1（64位） × CentOS 8.2（64位） × CentOS 8（64位） × CentOS 9（64位） × Debian 9（64位） √ Debian 10（64位） √ Debian 11.0.0（64位） √ Debian 11.1.0（64位） √ EulerOS 2.2（64位） √ EulerOS 2.3（64位） √ EulerOS 2.5（64位） √ EulerOS 2.7（64位） × EulerOS 2.9（64位） √ Fedora 28（64位） × Ubuntu 16.04（64位） √ Ubuntu 18.04（64位） √ Ubuntu 20.04（64位） √ Ubuntu 22.04（64位） √ Red Hat 7.4（64位） × Red Hat 7.6（64位） × Red Hat 8.0（64位） × Red Hat 8.7（64位） × OpenEuler 20.03 LTS（64位） × OpenEuler 22.03 SP3（64位） × OpenEuler 22.03（64位） × AlmaLinux 8.4（64位） √ AlmaLinux 9.0（64位） × RockyLinux 8.4（64位） × RockyLinux 8.5（64位） × RockyLinux 9.0（64位） × HCE 1.1（64位） √ HCE 2.0（64位） √ SUSE 12 SP5（64位） √ SUSE 15（64位） × SUSE 15 SP1（64位） √ SUSE 15 SP2（64位） √ SUSE 15 SP3（64位） × SUSE 15.5（64位） × Kylin V10（64位） √ ARM CentOS 7.4（64位） √ CentOS 7.5（64位） √ CentOS 7.6（64位） √ CentOS 7.7（64位） √ CentOS 7.8（64位） √ CentOS 7.9（64位） √ CentOS 8.0（64位） × CentOS 8.1（64位） × CentOS 8.2（64位） × CentOS 9（64位） × EulerOS 2.8（64位） √ EulerOS 2.9（64位） √ Fedora 29（64位） × Ubuntu 18（64位） × Kylin V7（64位） × Kylin V10（64位） √ HCE 2.0（64位） √ 统信UOS V20（64位） √（统信UOS V20服务器E版、D版） 父主题： 配额问题

解决措施 请参考如下步骤手动卸载插件。 登录云服务器。 在/tmp目录下新建plugin.yaml文件，并将如下脚本内容拷贝至plugin.yaml文件中。 apiVersion: v1 kind: Namespace metadata: labels: admission.gatekeeper.sh/ignore: no-self-managing control-plane: controller-manager gatekeeper.sh/system: "yes" pod-security.kubernetes.io/audit: restricted pod-security.kubernetes.io/audit-version: latest pod-security.kubernetes.io/enforce: restricted pod-security.kubernetes.io/enforce-version: v1.24 pod-security.kubernetes.io/warn: restricted pod-security.kubernetes.io/warn-version: latest name: gatekeeper-system --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: assign.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: assignimage.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: assignmetadata.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: configs.config.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: constraintpodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: constrainttemplatepodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.11.3 labels: gatekeeper.sh/system: "yes" name: constrainttemplates.templates.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: expansiontemplate.expansion.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: expansiontemplatepodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: modifyset.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: mutatorpodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.11.3 labels: gatekeeper.sh/system: "yes" name: providers.externaldata.gatekeeper.sh --- apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: creationTimestamp: null labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-role namespace: gatekeeper-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: creationTimestamp: null labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-role --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-rolebinding namespace: gatekeeper-system roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: gatekeeper-manager-role subjects: - kind: ServiceAccount name: gatekeeper-admin namespace: gatekeeper-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-rolebinding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: gatekeeper-manager-role subjects: - kind: ServiceAccount name: gatekeeper-admin namespace: gatekeeper-system --- apiVersion: admissionregistration.k8s.io/v1 kind: MutatingWebhookConfiguration metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-mutating-webhook-configuration --- apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-validating-webhook-configuration 在/tmp目录下新建uninstall.sh文件，并将如下脚本内容拷贝至uninstall.sh文件中。 #!/bin/bash kubectl delete -f /tmp/plugin.yaml kubectl delete ns cgs-provider 执行如下命令卸载容器集群防护插件。 bash /tmp/uninstall.sh 回显如下图类似信息，表示插件卸载完成。

处理办法 您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 配置SSH登录白名单 SSH登录白名单功能是防护账户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。详细操作请参见配置SSH登录IP白名单。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。详细操作请参见双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 表1 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32 设置安全强度高的口令 口令复杂度策略检测和弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看并处理主机中的口令风险。

MySQL 在账户破解防护功能中，Linux系统支持MySQL软件的5.6和5.7版本，开启登录失败日志开关的具体的操作步骤如下： 使用root权限登录主机。 查询log_warnings值，命令如下： show global variables like 'log_warnings' 修改log_warnings值，命令如下。 set global log_warnings=2 修改配置文件。 Linux系统中，修改配置文件my.conf，在[MySQLd]中增加log_warnings=2。

约束限制 仅操作系统为Windows且主机安全服务版本为旗舰版和网页防篡改版时，支持主机安全服务自保护。 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效，只有这三个功能开启一个以上时，开启自保护才会生效。相关操作请参见： 开启勒索病毒防护。 AV检测、HIPS检测默认开启，如果您手动关闭了这两个检测项，可参考查看策略组，重新开启。 开启自保护策略后的影响如下： 主机安全服务的Agent不支持通过主机的控制面板卸载，支持通过主机安全服务控制台卸载。 主机安全服务的进程无法被终止。 Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录（如果Agent升级过，再加上upgrade目录）外的其他目录无法访问。

Agent是否和其他安全软件有冲突？ Agent可能会和DenyHosts这款软件产生冲突。 冲突表现：如果登录主机的IP地址被识别为攻击IP，但是无法被“解封”。 冲突原因：主机安全服务和DenyHosts会同时封禁可能为攻击IP的登录IP地址，主机安全服务无法解封DenyHosts中封禁的IP地址。 处理方法：建议停止DenyHosts。 操作步骤： 以root用户登录ECS。 执行以下命令，检查是否安装了DenyHosts。 ps -ef | grep denyhosts.py 如果界面回显类似以下信息，则说明安装了DenyHosts。 执行以下命令，停止DenyHosts。 kill -9 'cat /var/lock/denyhosts' 执行以下命令，取消DenyHosts的自启动。 chkconfig --del denyhosts； 父主题： Agent问题

已冻结/冻结期满，配额被删除 当配额状态为“已冻结”时，或者冻结期满，配额被彻底删除后，HSS均不会再防护您的主机，您无法通过管理控制台清除SSH登录IP白名单。 清除配置的SSH登录IP白名单，操作步骤如下所示。 登录需要清除SSH登录IP白名单的云主机。 执行以下命令，查看“/etc/sshd.deny.hostguard”文件，如图1所示。 cat /etc/sshd.deny.hostguard 图1 查看文件内容 执行以下命令，打开“/etc/sshd.deny.hostguard”文件。 vim /etc/sshd.deny.hostguard 按“i”进入编辑模式，删除“ALL”。 按“Esc”退出编辑，输入“:wq”保存并退出。

什么是网页防篡改？ 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 网页防篡改功能可实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 网页防篡改的操作流程和主要功能概览。操作流程如图1所示，主要功能概览请参考表1。 图1 网页防篡改操作流程 表1 主机安全防篡改操作流程及功能说明 操作类型 操作 描述与参考 准备工作 -- 使用主机安全服务前，如果无VDC业务员账号，需要运营管理员创建VDC和VDC管理员，VDC管理员创建VDC业务员。 开通网页防篡改防护 申请防护配额 您需要申请防护配额后，才能开启网页防篡改防护。 安装Agent Agent是HSS提供的客户端，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 安装Agent后，您才能开启网页防篡改防护。 设置告警通知 设置告警通知功能后，您能接收到HSS发送的告警通知，及时了解主机/网页内的安全风险。 否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到告警信息。 开启主机防护 开启主机防护时，您需为指定的主机分配一个配额。 配置网页防篡改防护 添加防护目录 网页防篡改实时监控网站目录，开启网页防篡改前请添加防护目录。 添加远端备份 HSS默认将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下，为防止备份在本地的文件被攻击者破坏，请您启用远端备份功能。 添加特权进程 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 定时开启网页防篡改 网页防篡改提供的定时开关功能，能够定时开启/关闭静态网页防篡改功能，您可以使用此功能定时更新需要发布的网页。 开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 查看网页防篡改报告 开启网页防篡改防护后，HSS将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。 父主题： 产品咨询

步骤二：创建指标 在“指标仓库”页面，单击已创建的逻辑主体。 单击逻辑主体页面的“新建指标”，选择“新建单个指标”。 配置指标参数，参数说明如表2所示，配置完成后，单击“创建”。 表2 配置指标参数说明 参数名称 参数说明 类型 选择指标类型。 英文名称 自定义英文名称。 中文名称 自定义中文名称。 指标等级 选择指标等级。 描述 输入描述信息。 开放名称 - 指标类型 根据指标的类型分为RequestCount、DelayTime、SuccessRate、FailureRate、Speed、Bandwidth。 逻辑主体 选择指标来源的逻辑主体。 标签列表 - 指标责任人 - 开放状态 - 抽象指标 - 是否多聚合字段 - 聚合类型 选择指标的统计方式。 聚合字段 指标的度量对象。 过滤器 依据业务限定条件，给指标设置过滤规则，支持AND、OR多层嵌套过滤条件，节点类型为NODE。 举例：有5个过滤条件ABCDE，过滤条件汇总后为（A AND B）OR （C AND D AND E），ABCDE即为NODE节点。

概述 支持将应用部署到AppStage，对于Spring Cloud框架开发的服务，需要在代码中添加相应的依赖和配置。本章以开发SpringCloudDemo为例，演示如何开发业务代码及IaC部署脚本。您可以下载Demo源码，结合本章内容进行理解。 SpringCloudDemo包含DemoOrgidLogin、DemoServiceAService与DemoServiceBService三个微服务，其中DemoOrgidLogin是集成OrgID登录功能的微服务，DemoServiceAService为用户管理微服务、DemoServiceBService为订单管理微服务，其包含了完整的源代码以及构建好的容器镜像。 我们采用Cloud Map来实现微服务注册发现及微服务之间的调用，使用STS进行微服务身份认证及敏感信息管理，WiseDBA提供数据库管理功能，SLB管理路由转发负载均衡。接下来将介绍如何集成STS、Cloud Map、WiseDBA、SLB以及OrgId的登录功能。 父主题： 代码开发