免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

概述

云安全中心基线检查提示您的ECS实例存在风险项时,一般会存在对应的加固建议,详情请参见查看和处理基线检查结果。除此之外,对于一些常见的风险项,您可参考本文中的建议进行修复。

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

风险项一:SSH登录配置项

针对Linux系统中的SSH登录配置,加固建议如下。

建议一:修改SSH默认端口

SSH默认端口为22,建议参考下列步骤,修改为非22的端口:

  1. 登录Linux实例。
  2. 编辑/etc/ssh/sshd_config配置文件,定位到#Port 22所在行,在该行下面新增一行,内容类似如下。
    Port [$New_Port]
    说明:[$New_Port]指修改后的SSH端口号,比如“2222”。
  3. 保存修改,参考下列命令,重启SSH服务。
    systemctl restart sshd
    说明:此处以Cent OS 7系统中的命令为例,其他版本系统请参考对应的官方文档。
  4. 测试使用修改后的SSH端口号登录服务器,确认可以正常登录。

建议二:禁止root账号通过SSH远程登录

SSH默认允许root用户登录,存在安全隐患,建议参考下列命令,禁止root用户通过SSH登录:

  1. 登录Linux实例。
  2. 编辑/etc/ssh/sshd_config配置文件,定位到PermitRootLogin yes所在行,将其修改为PermitRootLogin no
  3. 保存修改,参考下列命令,重启SSH服务。
    systemctl restart sshd
  4. 测试是否可以通过root用户登录SSH。如果root用户不能登录,并且系统提示Permission denied错误,则表示修改成功。

风险项二:进程权限配置不当

该检测项主要检查网站和数据库程序是否以管理员身份(root、administrator、system)运行。如果云安全中心的基线检查检测到该风险项,您可参考以下步骤对相应的网站或数据库程序进行降权处理。

Windows实例

  1. 登录Windows实例。
  2. 打开任务管理器,查看网站或数据库进程所对应的用户名是否为administrator或system。如果是,则需要参考下列步骤进行降权处理。
    1. 创建一个普通权限的用户账号。
    2. 赋予该账号网站或数据库运行目录的读写权限。
    3. 登录该用户账号,启动网站或数据库应用。

Linux实例

Linux实例中不同程序的修复方式不同,您可以参考下列信息。

说明:Linux系统中,您可以通过ps -aux命令查看各进程的运行用户。

  • Nginx、Apache、MySQL等程序,可通过源码编译的方式进行修复。
  • Memcache、MongoDB、Redis等应用,您可以参考Windows实例的操作步骤进行降权处理。

风险项三:Windows实例中的注册表

如果云安全中心的基线检查功能检测到您的服务器上存在注册表风险项,建议您参考下列示例,更改风险注册表项的名称。

说明:此项风险仅针对Windows系统的实例。

  1. 记录云安全中心中风险注册表项的名称,比如Scripting.FileSystemObject
    说明:此处的注册表项为示例,仅供参考。现场以实际情况为准。后文中的所有者、注册表项等同理。
  2. 通过管理员用户登录Windows实例。单击开始 > 运行,输入regedit,单击确定,进入注册表编辑器页面。
  3. 在注册表中找到该注册表项。
  4. 更改该注册表项的名称为Scripting.FileSystemObject.bak
  5. 如果更改过程中收到没有相关权限的提示,您可以参考下列步骤,变更该注册表项及其子项的所有者以获取权限。
    1. 右键单击该注册表项,选择权限
    2. 单击高级,进入高级安全设置。
    3. 切换到所有者页签,检查当前所有者。如图所示,当前所有者为TrustedInstaller,所以管理员无权限修改该注册表项。
    4. 选择Administrator,单击确定,将所有者变更为Administrator。
      说明:如果不存在Administrator,可单击 其他用户或组,添加Administrator即可。
    5. 再次尝试更改该注册表项的名称为Scripting.FileSystemObject.bak

适用于

  • 云安全中心