在ECS控制台启用基础安全服务以检测异常登录和扫描漏洞-云服务器 ECS(ECS)-阿里云帮助中心

阿里云ECS的基础安全服务，涵盖异常登录检测、漏洞扫描等功能，您可通过ECS控制台或云安全中心实时查看云服务器的安全状态。

背景信息

阿里云云安全中心（Security Center）为云服务器ECS提供免费版的漏洞扫描、基础告警通知、异常登录检测、AK泄露检测、合规检查等基础安全服务。您可以在ECS管理控制台的概览页面或者云安全中心控制台查看相关安全信息。更多信息，请参见什么是云安全中心。

计费说明

基础安全服务的计费说明如下：

云服务器ECS的基础安全服务为免费服务，不收取服务费用。详情请参见云安全中心免费版简介。
如果您需要升级为高级版或者企业版云安全中心，可以在云安全中心控制台免费试用或者购买服务。高级版或者企业版云安全中心的计费说明，请参见计费说明。

使用云安全中心客户端

云安全中心客户端是安装在云服务器ECS中的低损耗的控件。未安装云安全中心客户端的云服务器ECS不会受到云安全中心保护，ECS管理控制台页面也不会显示该资产的漏洞、告警、基线漏洞和资产指纹等数据。关于云安全中心客户端的安装路径，请参见客户端支持的操作系统。

您可以按以下方式操作云安全中心客户端。

创建ECS实例时自动安装云安全中心客户端
1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。
2. 创建一台ECS实例，在镜像区域，选中免费安全加固，系统自动为新建ECS实例安装云安全中心客户端。更多信息，请参见自定义购买实例。
可以在调用RunInstances时通过设置SecurityEnhancementStrategy=Active为新建ECS实例自动安装云安全中心客户端。
为已有的ECS实例手动安装云安全中心客户端

具体操作，请参见安装客户端。
卸载云安全中心客户端

具体操作，请参见卸载客户端。

查看安全状态和修复安全问题

您可以按以下步骤查看云服务器ECS的安全状态并修复安全问题。

访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。
选择以下其中一种方式查看实例安全状态：
- 方式一：在实例列表页面查看基础安全服务的状态。
  
  将鼠标悬停在图标上方，即可查看当前实例安全状态。将鼠标悬停在待处理任务后，单击立即处理，查看告警详情。
- 方式二：单击实例ID进入实例详情页面，然后在安全防护区域查看基础安全服务的状态。
  
  将鼠标悬停在待处理任务后，单击立即处理，查看告警详情。
进入云安全中心控制台修复对应的漏洞和安全告警事件，修复方法具体请参见查看和处理漏洞和评估及处理安全告警。

安全问题常见场景

常见的漏洞和安全告警事件场景可参见漏洞分类及场景和安全告警事件场景。

漏洞分类及场景

漏洞等级	描述	常见场景	应对措施	修复方式
高危漏洞	此类漏洞会直接威胁系统安全，如未修复的系统漏洞、SQL注入、弱口令等。建议您重点关注并尽快修复。	未修复的系统漏洞：操作系统（如Linux、Windows）中存在的高风险CVE漏洞。未及时修复的远程代码执行漏洞（RCE）。	定期检查并安装操作系统和软件的安全补丁。使用云安全中心的漏洞扫描功能，及时修复高风险漏洞。	对于Linux系统：运行 `yum update` 或 `apt-get update` 安装更新。对于Windows系统：通过Windows Update安装最新补丁。
		Web应用漏洞： SQL注入漏洞（可直接获取数据库权限）。远程命令执行漏洞（如Struts2漏洞）。	对用户输入进行严格的验证和过滤。使用Web应用防火墙（WAF）防护常见攻击。	修复代码中的安全漏洞（如使用参数化查询防止SQL注入）。更新Web框架和组件到最新版本。
		服务配置漏洞： Redis、MySQL等服务未设置密码或暴露在公网。 Docker未授权访问漏洞。	禁止将高危服务（如Redis、MySQL）暴露在公网。设置强密码并限制访问IP。	修改配置文件，绑定到内网IP或设置访问白名单。启用身份验证功能（如Redis的`requirepass`）。
		恶意软件：挖矿木马、后门程序等恶意文件。	定期扫描系统，查杀恶意文件。使用云安全中心的恶意文件检测功能。	删除恶意文件并修复相关漏洞。重置受影响的服务密码。
		弱口令风险： SSH、RDP、FTP等服务使用弱密码或默认密码。	使用强密码策略（包含大小写字母、数字、特殊字符）。启用多因素认证（MFA）。	修改弱密码为强密码。禁用默认账号或修改默认密码。
中危漏洞	此类漏洞可能对系统造成一定危害，如XSS、文件上传漏洞、异常登录等。建议您及时修复。	未修复的软件漏洞：中间件（如Apache、Nginx、Tomcat）中的中风险漏洞。数据库（如MySQL、PostgreSQL）中的权限提升漏洞。	定期更新中间件到最新版本。关闭不必要的功能模块。	下载并安装官方补丁。修改配置文件，禁用高风险功能。
		Web应用漏洞：跨站脚本攻击（XSS）。文件上传漏洞（可能导致恶意文件上传）。	对用户输入和输出进行严格的过滤和编码。限制文件上传类型和大小。	修复代码中的XSS漏洞（如对输出内容进行HTML编码）。增加文件上传的类型检查和病毒扫描。
		配置风险：未启用HTTPS的Web服务。未限制IP访问的高风险端口（如22、3389）。	启用HTTPS加密通信。关闭不必要的端口。	配置SSL证书并启用HTTPS。修改安全组规则，限制高风险端口的访问IP。
		异常登录：检测到暴力破解行为（如多次尝试登录失败）。	启用登录失败锁定机制。限制登录IP范围。	配置SSH的`Fail2Ban`工具防止暴力破解。修改安全组规则，限制SSH、RDP等服务的访问IP。
		数据泄露风险：配置文件（如.env）中包含敏感信息。	避免将敏感信息明文存储在配置文件中。使用加密存储敏感数据。	移除配置文件中的敏感信息。使用环境变量或密钥管理服务（KMS）存储敏感数据。
低危漏洞	此类漏洞对系统影响较小，但长期存在可能增加风险，如配置风险、合规风险等。您可以延后修复。	未修复的低风险漏洞：操作系统或软件中的低风险漏洞（如信息泄露漏洞）。	定期扫描系统，修复低风险漏洞。	安装官方提供的补丁或更新。
		配置风险：未启用日志审计功能。未及时更新SSL证书。	启用日志审计功能，定期检查日志。及时更新SSL证书。	配置日志审计工具（如Logrotate）。更新SSL证书并配置自动续期。
		合规风险：未启用多因素认证（MFA）。不符合等保2.0或GDPR等合规要求。	启用多因素认证（MFA）。根据合规要求调整系统配置。	在云控制台启用MFA。参考等保2.0或GDPR要求，完善安全配置。
		其他风险：未使用的服务或端口未关闭。	关闭未使用的服务和端口。	使用`systemctl disable`关闭未使用的服务。修改安全组规则，关闭未使用的端口。

安全告警事件场景

更多的安全告警类型请参见CWPP（云工作负载）安全告警概述和CWPP（云工作负载）安全告警概述。

告警类型	描述	常见场景
异常登录	检测到异常的登录行为。	异地登录：从未登录过的IP地址。暴力破解：多次尝试登录失败。非常用时间段登录：非工作时间的登录行为。
恶意文件	检测到恶意程序或文件。	挖矿木马：如XMRig。后门程序：如WebShell。病毒或蠕虫：恶意软件传播行为。
网络攻击	检测到针对ECS实例的网络攻击行为。	DDoS攻击：如SYN Flood、UDP Flood。端口扫描：针对ECS实例的端口扫描。暴力破解：如FTP、MySQL服务的暴力破解。
数据泄露	检测到敏感信息泄露或未授权访问。	敏感信息泄露：数据库或配置文件泄露。未授权访问：未授权用户访问敏感资源。
配置风险	检测到系统或服务配置不当导致的安全隐患。	高风险端口暴露：如22、3389端口暴露在公网。未启用HTTPS：Web服务未启用HTTPS加密。
合规风险	检测到不符合安全合规要求的行为。	未启用MFA：未启用多因素认证。日志审计未开启：未开启日志审计功能。
其他告警	检测到其他潜在的安全威胁或异常行为。	异常进程：未知的恶意程序运行。文件篡改：系统关键文件被篡改。

设置告警通知

基础安全服务支持对安全告警处理项目设置告警通知，接收方式为站内信。您可以按以下方式设置告警通知。

ECS管理控制台
在概览页面，鼠标悬停在安全防护区域中的待处理任务后，单击立即处理，前往云安全中心管理控制台。
在左侧导航栏，选择系统配置 > 通知设置。
在安全告警区域，选择消息等级，设置通知方式和通知时间。关于安全告警等级，请参见安全告警风险等级的分类。

如果您已经升级为高级版或者企业版云安全中心，请参见CWPP（云工作负载）安全告警概述查看更多告警方式。

安全告警风险等级的分类

云安全中心对安全告警风险等级的分类如下：

风险等级	描述	处理说明
紧急	告警行为与已知攻击者行为高度相似，可能对资产造成破坏性或持久性影响，例如反弹Shell。此等级表示资产极有可能正在遭受攻击。	立即响应，建议操作：隔离资产、阻断可疑网络连接、保存攻击现场。
可疑	告警行为具有潜在风险，但可能与某些运维操作相似，例如“可疑的添加用户行为”。或该行为是攻击路径上的非关键步骤，例如“攻击痕迹清理”。此等级表示资产有一定概率正在受到攻击。	需要研判，检查是否为计划内运维操作。若是，建议将该行为加入白名单；若否，应按紧急告警处理。
提醒	告警行为是攻击路径上的非必经步骤，且与正常运维行为相似，例如“可疑的端口监听行为”。	审计与优化，用于发现不合规的配置或潜在风险点，建议定期审查并优化安全策略，无需立即处置。

漏洞等级	描述	常见场景	应对措施	修复方式
高危漏洞	此类漏洞会直接威胁系统安全，如未修复的系统漏洞、SQL注入、弱口令等。建议您重点关注并尽快修复。	未修复的系统漏洞：操作系统（如Linux、Windows）中存在的高风险CVE漏洞。未及时修复的远程代码执行漏洞（RCE）。	定期检查并安装操作系统和软件的安全补丁。使用云安全中心的漏洞扫描功能，及时修复高风险漏洞。	对于Linux系统：运行 `yum update` 或 `apt-get update` 安装更新。对于Windows系统：通过Windows Update安装最新补丁。
		Web应用漏洞： SQL注入漏洞（可直接获取数据库权限）。远程命令执行漏洞（如Struts2漏洞）。	对用户输入进行严格的验证和过滤。使用Web应用防火墙（WAF）防护常见攻击。	修复代码中的安全漏洞（如使用参数化查询防止SQL注入）。更新Web框架和组件到最新版本。
		服务配置漏洞： Redis、MySQL等服务未设置密码或暴露在公网。 Docker未授权访问漏洞。	禁止将高危服务（如Redis、MySQL）暴露在公网。设置强密码并限制访问IP。	修改配置文件，绑定到内网IP或设置访问白名单。启用身份验证功能（如Redis的`requirepass`）。
		恶意软件：挖矿木马、后门程序等恶意文件。	定期扫描系统，查杀恶意文件。使用云安全中心的恶意文件检测功能。	删除恶意文件并修复相关漏洞。重置受影响的服务密码。
		弱口令风险： SSH、RDP、FTP等服务使用弱密码或默认密码。	使用强密码策略（包含大小写字母、数字、特殊字符）。启用多因素认证（MFA）。	修改弱密码为强密码。禁用默认账号或修改默认密码。
中危漏洞	此类漏洞可能对系统造成一定危害，如XSS、文件上传漏洞、异常登录等。建议您及时修复。	未修复的软件漏洞：中间件（如Apache、Nginx、Tomcat）中的中风险漏洞。数据库（如MySQL、PostgreSQL）中的权限提升漏洞。	定期更新中间件到最新版本。关闭不必要的功能模块。	下载并安装官方补丁。修改配置文件，禁用高风险功能。
		Web应用漏洞：跨站脚本攻击（XSS）。文件上传漏洞（可能导致恶意文件上传）。	对用户输入和输出进行严格的过滤和编码。限制文件上传类型和大小。	修复代码中的XSS漏洞（如对输出内容进行HTML编码）。增加文件上传的类型检查和病毒扫描。
		配置风险：未启用HTTPS的Web服务。未限制IP访问的高风险端口（如22、3389）。	启用HTTPS加密通信。关闭不必要的端口。	配置SSL证书并启用HTTPS。修改安全组规则，限制高风险端口的访问IP。
		异常登录：检测到暴力破解行为（如多次尝试登录失败）。	启用登录失败锁定机制。限制登录IP范围。	配置SSH的`Fail2Ban`工具防止暴力破解。修改安全组规则，限制SSH、RDP等服务的访问IP。
		数据泄露风险：配置文件（如.env）中包含敏感信息。	避免将敏感信息明文存储在配置文件中。使用加密存储敏感数据。	移除配置文件中的敏感信息。使用环境变量或密钥管理服务（KMS）存储敏感数据。
低危漏洞	此类漏洞对系统影响较小，但长期存在可能增加风险，如配置风险、合规风险等。您可以延后修复。	未修复的低风险漏洞：操作系统或软件中的低风险漏洞（如信息泄露漏洞）。	定期扫描系统，修复低风险漏洞。	安装官方提供的补丁或更新。
		配置风险：未启用日志审计功能。未及时更新SSL证书。	启用日志审计功能，定期检查日志。及时更新SSL证书。	配置日志审计工具（如Logrotate）。更新SSL证书并配置自动续期。
		合规风险：未启用多因素认证（MFA）。不符合等保2.0或GDPR等合规要求。	启用多因素认证（MFA）。根据合规要求调整系统配置。	在云控制台启用MFA。参考等保2.0或GDPR要求，完善安全配置。
		其他风险：未使用的服务或端口未关闭。	关闭未使用的服务和端口。	使用`systemctl disable`关闭未使用的服务。修改安全组规则，关闭未使用的端口。