安装云安全中心客户端

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

云安全中心客户端是部署在服务器上的轻量级安全代理。安装后,将所有服务器(云上或本地)纳入统一安全管理,实现资产清点、风险发现、入侵检测和合规检查等核心防护,是保障业务资产安全、实现集中风险管控与威胁响应的基石。

客户端工作原理

云安全中心客户端为目标服务器上的轻量级代理,其工作流程如下:

  1. 安装与注册:执行安装命令,客户端将自动下载并使用唯一密钥(安装key)向服务端注册身份。

  2. 数据采集:在后台实时采集服务器的进程、网络连接、登录行为等关键安全数据。

  3. 数据上报:通过TLS加密通道将采集的数据安全上报至服务端,并能自适应不同的网络环境(如代理)。

  4. 指令下发与执行:接收并执行服务端下发的安全指令(如漏洞扫描、基线检查),然后上报结果。

  5. 状态同步:定期发送心跳信号以报告存活与健康状态,确保控制台能实时展示服务器的防护状态。

适用范围

  • 系统版本:操作系统版本需在客户端支持范围内(详见客户端支持的操作系统)。

  • 服务器可访问公网:服务器需要能够访问云安全中心服务端(支持443/80 端口)。

  • 服务器归属:当前阿里云账号下已接入的服务器,不支持跨账号安装。

    说明

    如果需要使用云安全中心防护跨账号资源,请使用多账号安全管理功能。

准备工作

安装须知

  • 安装时间:单台服务器的安装过程约需5分钟。

  • 资源占用:客户端设计为轻量级代理,在执行扫描等高负载任务时,客户端的资源消耗(CPU 和内存)可能会出现短暂性升高。

  • 业务影响:安装过程无需重启服务器,不会中断正常业务。

清除旧客户端残留

如果服务器曾安装过客户端,需要先卸载客户端,然后手动检查并删除客户端安装目录下的所有遗留文件。默认路径如下:

  • Linux系统:/usr/local/aegis

  • Windows 系统:C:\Program Files\Alibaba\aegis(32位)或C:\Program Files (x86)\Alibaba\aegis(64位)。

确认待安装资产

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  3. 客户端 > 未安装客户端页签,查看未安装客户端的服务器数量及列表。

安装方式选择

安装方式

适用场景

核心优势

一键安装

已安装云助手、使用专有网络(VPC)、所在地域支持一键安装功能并且正在运行中的阿里云ECS。

操作简单,控制台操作即可,无需登录服务器。

通用安装

任何可访问公网的服务器(阿里云ECS、云外主机)。

适用性强,支持所有主流操作系统。

镜像批量安装

规模化、标准化地创建大量预装客户端的新服务器。

规模化部署,一次制作,批量复用。

网络受限或复杂环境安装

服务器无法直接访问公网、网络不稳定、或需指定接入点的场景。

通过代理或专线适配复杂的网络场景。

安装步骤详解

一键安装

适用场景

若阿里云ECS满足以下全部条件,则可使用一键安装。

  • ECS实例状态为“运行中”且已安装云助手客户端。

    说明

    如果该服务器尚未安装云助手,请先安装云助手

  • 网络类型为专有网络(VPC)。

  • ECS服务器所属地域必须在下表范围内。

    地域分类

    地域名称

    亚太

    • 华东 1(杭州)、华东 2(上海)、华北 1(青岛)、华北 2(北京)、华北 3(张家口)、华北 5(呼和浩特)、华南 1(深圳)、中国香港、华东 2 (金融云)

    • 新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、日本(东京)

    欧洲与美洲

    德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)

    中东与印度

    阿联酋(迪拜)

  • 已关闭或卸载第三方安全软件,避免安装冲突。

    说明

    在云安全中心客户端安装完成后,可以根据需要,重新启动或安装原有的第三方安全软件。

操作步骤

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  3. 客户端 > 未安装客户端页签,在要安装客户端的服务器的操作列单击安装客户端

    说明

    也可以选中多台服务器后单击一键安装,批量安装客户端。

通用安装

适用场景

若服务器可访问公网,均可使用此方式进行安装。

操作步骤

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  3. 客户端 > 安装命令页签,根据服务器操作系统,复制对应的安装命令。

    说明

    命令中已包含专属安装key(-k后的值)。

    • 默认安装命令:无需额外配置,快速便捷。适用于不需要立即进行精细化分组管理的场景。

    • 自定义安装命令:支持灵活配置分组和命令有效期,适用于安装时即需实现资产自动分类的精细化管理场景。

    默认安装命令

    使用默认安装命令安装的服务器分组为“未分组”,如何查看及创建服务器分组,请参见管理服务器的分组

    自定义安装命令

    单击新增安装命令,配置命令的基本信息后,单击确定,然后在安装命令页面查看并复制新增的命令。新增安装命令的配置信息如下表所示:

    配置项

    说明

    过期时间

    命令的过期时间,命令过期后将失效,客户端将无法安装。

    服务商

    在下拉列表中选择服务器所属的服务提供商。

    默认分组

    选择服务器分组,如何查看及创建服务器分组,请参见管理服务器的分组

    操作系统

    选择需要安装客户端的服务器的操作系统。

    制作镜像系统

    选择

    接入方式

    选择服务器的接入方式为直接访问公网地址:服务器通过公网IP直接与云安全中心服务端通信,无需额外代理或私网连接配置。

  4. 登录服务器,使用管理员或者root权限执行安装命令。

    • Windows系统:在命令提示符(CMD)或 PowerShell 中,执行已复制的安装命令,完成客户端的下载及安装。

    • Linux系统:在服务器的命令行界面,执行已复制的安装命令,完成客户端插件的下载及安装。

镜像批量安装

适用场景

此方法适用于需要规模化创建已预装客户端的服务器场景。核心原理是在模板服务器上安装客户端文件(不激活),然后基于此服务器制作镜像。

操作步骤

  1. 准备模板服务器并生成镜像安装命令

    1. 准备一台用作镜像模板的纯净服务器(未安装第三方安全软件)。

    2. 登录云安全中心控制台

    3. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

    4. 客户端 > 安装命令页签,单击新增安装命令,在弹出的对话框中进行以下配置:

      • 制作镜像系统:选择,这是最关键的一步。

      • 操作系统:选择与模板服务器匹配的操作系统。

      • 其他选项(如默认分组):参考配置项按需配置。

  2. 在模板服务器上执行安装

    1. 以管理员权限登录模板服务器。

    2. 执行上一步复制的镜像安装命令。脚本会下载客户端所需文件到指定目录,但不会启动任何服务进程

    3. 安装完成后,立即关闭模板服务器,不要重启该模板服务器。

  3. 制作并使用镜像

    警告
    • 制作镜像时,切勿重启模板服务器。

    • 使用同一模板服务器制作多个镜像前,务必先卸载并清理旧客户端,并重新获取安装命令,以避免因客户端唯一标识符(ID)冲突而无法向服务端注册。

    1. 使用已关机的模板服务器创建系统自定义镜像,可参考阿里云ECS创建自定义镜像

    2. 使用该镜像创建新的服务器实例。

    3. 客户端将在新实例首次启动时自动完成初始化,并生成唯一标识符(ID)并连接至云安全中心。

网络受限或复杂环境安装

适用场景

在复杂网络环境下,云安全中心提供以下安装方式,适用场景说明如下:

  • 代理接入:服务器无法直接访问公网。

  • 指定服务端域名接入:海外主机或网络不稳定、多云环境内网IP冲突、阿里云内网专线接入。

操作步骤

重要
  • 执行此安装命令的主机必须能够通过指定方式(如公网、代理、专线或VPN)访问云安全中心的服务端地址。

  • 此安装命令不支持 Linux 32位操作系统。

代理接入

  1. 首先,根据代理接入文档部署并配置好代理集群。

  2. 登录云安全中心控制台

  3. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  4. 客户端 > 安装命令页签,单击新增安装命令,在弹出的对话框中进行以下配置:

    • 接入方式选择自建代理集群,并在下拉列表选择已创建的代理集群,这是最关键的一步。

    • 制作镜像系统:选

      说明

      若选择是,请参考镜像批量安装,完成后续步骤。

    • 操作系统:选择与目标服务器匹配的操作系统。

    • 其他选项(如默认分组):参考配置项按需配置。

  5. 使用生成的命令进行安装,客户端将通过指定的代理与云安全中心通信。

指定服务端域名接入

  1. 获取安装key:控制台生成的默认安装命令-k后的值即为云安全中心的安装Key。

  2. 选择安装命令并登录服务器执行

    重要

    请将以下命令中的<YOUR_INSTALL_KEY>替换为实际安装Key。

    海外主机或网络不稳定

    该安装命令适用于海外主机接入云安全中心时,网络不稳定场景。

    • Linux

      wget "https://update6.aegis.aliyun.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh  "-j=jsrv-abroad.aegis.aliyuncs.com|jsrv.aegis.aliyun.com" "-u=aegis.alicdn.com|update6.aegis.aliyun.com|update.aegis.aliyun.com" -k=<YOUR_INSTALL_KEY>
    • Windows

      powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('https://update6.aegis.aliyun.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe '-j=jsrv-abroad.aegis.aliyuncs.com|jsrv.aegis.aliyun.com' '-u=aegis.alicdn.com|update6.aegis.aliyun.com|update.aegis.aliyun.com' -k=<YOUR_INSTALL_KEY>"

    多云环境内网IP冲突

    云安全中心客户端默认使用内网域名(100网段),可能与其他云服务存在IP地址冲突,导致连接耗时增加。为提升安装效率,可以指定使用互联网域名进行连接。

    • Linux

      wget "https://update.aegis.aliyun.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh "-j=jsrv.aegis.aliyun.com" "-u=aegis.alicdn.com|update.aegis.aliyun.com" -k=<YOUR_INSTALL_KEY>
    • Windows

      powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('https://update.aegis.aliyun.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe '-j=jsrv.aegis.aliyun.com' '-u=aegis.alicdn.com|update.aegis.aliyun.com' -k=<YOUR_INSTALL_KEY>"

    阿里云内网专线接入

    此命令适用于在阿里云内网的服务器,会优先尝试通过内网VPC接入点连接,以节省公网流量。

    • Linux

      wget "https://update2.aegis.aliyun.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh "-j=jsrv2.aegis.aliyun.com|jsrv3.aegis.aliyun.com|jsrv4.aegis.aliyun.com|jsrv5.aegis.aliyun.com|jsrv.aegis.aliyun.com" "-u=update2.aegis.aliyun.com|update4.aegis.aliyun.com|update5.aegis.aliyun.com|update3.aegis.aliyun.com|aegis.alicdn.com|update.aegis.aliyun.com" -k=<YOUR_INSTALL_KEY>
    • Windows

      powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('https://update6.aegis.aliyun.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe '-j=jsrv2.aegis.aliyun.com|jsrv3.aegis.aliyun.com|jsrv4.aegis.aliyun.com|jsrv5.aegis.aliyun.com|jsrv.aegis.aliyun.com' '-u=update2.aegis.aliyun.com|update4.aegis.aliyun.com|update5.aegis.aliyun.com|update3.aegis.aliyun.com|aegis.alicdn.com|update.aegis.aliyun.com' -k=<YOUR_INSTALL_KEY>"

验证安装状态

安装客户端后,系统会自动下载云安全中心客户端的相关文件至服务器并启动相关进程。可通过以下方法验证是否安装成功:

  • 控制台状态验证:最便捷的检查方式,无需登录服务器即可在统一界面查看。此方法依赖平台数据同步,通常会有几分钟的延迟。适合快速概览全局状态。

  • 服务器本地验证:提供服务器上即时、准确的本地状态反馈。需要登录服务器执行命令,是安装后即时确认或深入排查问题的首选途径。

控制台验证(约5分钟延迟)

可在云安全中心管理控制台主机资产页面查看服务器的客户端在线情况:

  • 阿里云服务器客户端列的图标从未防护图标变成已防护图标

  • 非阿里云服务器将会被添加至服务器列表中,并且客户端列的图标从未防护图标变成已防护图标

    重要

    云安全中心控制台每分钟会自动同步已安装客户端的资产信息。由于网络环境的原因,非阿里云服务器安装客户端后服务器信息同步可能会出现延迟,主机资产页面不会及时展示服务器的信息,此时,需要单击同步最新资产,手动同步资产信息。更多信息,请参见同步最新资产

服务器本地验证(实时)

通过在服务器上检查客户端相关进程运行状态和网络连通性,验证安装是否成功。

  1. 检查服务进程:检查云安全中心客户端的核心进程(AliYunDunAliYunDunUpdate)是否在服务器上正常运行。云安全中心客户端进程说明,请参见客户端进程说明

    Linux 系统

    查看进程命令:

    # 检查核心进程(AliYunDun, AliYunDunMonitor, AliYunDunUpdate 必须全部存在)
    ps -ef | grep -E 'AliYunDun|YunDunMonitor|YunDunUpdate'
    
    # 查看服务状态(应为 active (running))
    systemctl status aegis
    

    正常状态示例输出:

    root        5472       1  0 Sep10 ?        00:00:18 /usr/local/aegis/aegis_update/AliYunDunUpdate
    root        5524       1  0 Sep10 ?        00:01:34 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDun
    root        5546       1  0 Sep10 ?        00:03:13 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDunMonitor
    
    ● aegis.service - LSB: Aegis service
       Loaded: loaded (/etc/rc.d/init.d/aegis; generated)
       Active: active (running) since Mon 2023-10-30 10:00:00 CST; 1 day 2h ago
    

    Windows 系统

    • 方式一:在任务管理器中查看相关进程image.png

    • 方式二:使用 PowerShell 执行命令

      查看进程命令:

      # 检查核心进程
      Get-Process | Where-Object {$_.Name -match '^(AliYunDun|AliYunDunMonitor|AliYunDunUpdate)$'}
      
      # 查看服务状态(应为 Running)
      Get-Service | Where-Object {$_.Name -match 'Aegis|AliYunDun'}
      

      正常状态示例输出:

      Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName
      -------  ------    -----      -----     ------     --  -- -----------
          380      26    15948      19656     615.75   6072   0 AliYunDun
          599      31    47576      37356     968.73   2488   0 AliYunDunMonitor
          257      14     8072      11336     232.03   2904   0 AliYunDunUpdate
      
      Status   Name               DisplayName
      ------   ----               -----------
      Running  Alibaba Securit... Alibaba Security Aegis Detect Service
      Running  Alibaba Securit... Alibaba Security Aegis Update Service
  2. 检查网络连通性:在服务器上执行以下命令,确认是否可连接至云安全中心服务端(支持443/80 端口)。如果连接成功,终端将显示Connected to ...;如果连接失败,将提示Connection refusedConnection timed out

    说明

    确保服务器同时能够连通一个jsrv和一个update服务域名。jsrv域名用来下发指令(例如漏洞扫描、病毒检测等),update域名用来下载和更新客户端插件。

    • telnet jsrv.aegis.aliyun.com 443

    • telnet jsrv2.aegis.aliyun.com 443

    • telnet jsrv3.aegis.aliyun.com 443

    • telnet update.aegis.aliyun.com 443

    • telnet update2.aegis.aliyun.com 443

    • telnet update3.aegis.aliyun.com 443

问题排查与解决方案

快速排查清单

  1. 检查进程:确认 AliYunDunAliYunDunUpdate 进程是否正常运行。

  2. 检查网络:确认防火墙或安全组是否放行了到 jsrv.aegis.aliyun.com:443 的出站流量。

  3. 检查客户端ID:确认 /usr/local/aegis/aegis_client.conf 文件中的 uuid 是否存在,在镜像使用不当的场景下,多个服务器实例可能使用了相同的客户端ID。

  4. 检查日志:查看客户端日志(Linux: /usr/local/aegis/log/aegis.log)中是否有明显的错误信息。

  5. 检查冲突:确认是否安装了其他HIDS、EDR或杀毒软件,它们可能与云安全中心客户端冲突。

  6. 资源检查:CPU、内存占用率以及磁盘空间不足时,客户端进程无法启动。

典型问题与解决方案

进程未启动

首次安装云安全中心客户端时,进程未启动,执行以下步骤重新启动客户端。

Linux系统

执行以下命令,重启进程。

  1. 关闭相关进程:

    killall AliYunDun
    killall AliYunDunUpdate
  2. 启动最新版本客户端。

    请在 /usr/local/aegis/aegis_client 目录下查找 aegis_10_xx 文件夹,选取版本号数字最大的目录作为最新版本

    例如:在 aegis_10_70aegis_10_73aegis_10_75中,选择 aegis_10_75

    /usr/local/aegis/aegis_client/aegis_10_xx/AliYunDun

Windows系统

在服务项中重新启动云安全中心的两个服务项Alibaba Security Aegis Detect ServiceAlibaba Security Aegis Update Service,在服务列表中选择目标服务,右键选择重新启动。

重启

网络连接不通

服务器若无法正常连通云安全中心服务端,也会导致安装失败。

  1. 确认服务器的DNS服务正常运行。

    如果DNS服务无法运行,重启服务器,或者检查服务器DNS服务是否有故障。

  2. 检查服务器是否设置了网络访问策略配置。

    1. 防火墙ACL规则

      请确认已将云安全中心的服务端IP或域名加入防火墙白名单(仅出方向需添加,入方向无需配置)以允许网络访问。

      说明

      若使用的是阿里云云防火墙,操作步骤请参见配置内网访问互联网的流量管控策略(出向策略)

      防火墙配置示例 (iptables):

      # 允许访问控制服务
      iptables -A OUTPUT -p tcp -d jsrv.aegis.aliyun.com --dport 443 -j ACCEPT
      iptables -A OUTPUT -p tcp -d jsrv.aegis.aliyun.com --dport 80 -j ACCEPT
      
      # 允许访问更新服务
      iptables -A OUTPUT -p tcp -d update.aegis.aliyun.com --dport 443 -j ACCEPT
      iptables -A OUTPUT -p tcp -d update.aegis.aliyun.com --dport 80 -j ACCEPT
      
    2. 阿里云安全组规则

      如果使用阿里云 ECS,具体步骤请参见管理安全组

      说明

      请将100.100、106.11100.103网段的出方向均放行,端口号不做限制或者放行80443号端口。

      100.100网段为例,配置说明如下:

      • 方向:出方向

      • 授权策略:允许

      • 协议类型:TCP

      • 端口范围:80/443

      • 授权对象:100.100.0.0/16

脚本执行权限不足

切换有管理员权限的账号后运行安装脚本。

自保护在运行

Linux系统的云服务器ECS中病毒,并完成病毒清理后,再次安装云安全中心客户端收到提示:安装失败,原因是自保护在运行,请先在云安全中心控制台卸载或者关闭自保护后再重装。出现该现象的原因是,客户端的自保护生效,导致云安全中心客户端安装失败。

解决方案为:重启服务器。在上述场景下,重启服务器重启后自保护进程会失效,可正常安装客户端。

重要

重启服务器存在一定的风险,请评估风险后再谨慎执行该操作。

e3f662f224f3b711d22052aa81096685

CPU、内存占用率高

  1. 使用 top(Linux)或任务管理器(Windows)定位消耗资源最多的进程。

  2. 如果是由 AliYunDun 进程导致,请联系技术支持并提供相关日志。

  3. 如果是由其他业务进程导致,请优化业务应用,或考虑升级服务器配置。

高级排查:客户端问题排查功能

若无法判定问题原因,可使用客户端问题排查功能进行全面检查,以获取客户端状态异常的原因及解决方案。操作步骤及配置示例如下:

  1. 在左侧导航栏,选择资产中心 > 主机资产

  2. 主机资产页面的服务器页签下的服务器列表中,选中要排查的服务器。单击更多操作中的客户端问题排查

  3. 在配置排查要求后,单击开始诊断

    • 问题类型全面检查(未知问题类型时使用)

    • 模式增强模式

      说明

      增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析,排查需要5分钟左右。

  4. 诊断结束,可在主机资产页面右上角的客户端任务管理,查看排查任务结果。

  5. 在任务详情页,参照结果列中给出的解决方案处理。

    重要

    如果在结果列没有给出解决方案,请单击下载诊断日志,将导出的诊断日志和AliUid提交给云安全中心技术人员进一步做验证分析。

常见问题

安装与卸载问题

  • 如何卸载客户端?

    云安全中心提供控制台一键卸载和手动卸载两种方式,具体操作请参见卸载客户端

  • 制作镜像时,可以重启模板服务器吗?

    不可以。在执行完镜像安装命令后,必须直接关机制作镜像。重启会导致客户端在模板服务器上被激活,从而生成固定的实例ID,所有使用该镜像创建的服务器都会因ID冲突而无法正常上报。

资产与分组问题

  • 手动安装客户端后,服务器会自动添加到哪个分组?

    使用默认安装命令安装的服务器,会自动归入未分组。可以在新增安装命令时指定默认分组,或在安装后到主机资产页面手动为服务器调整分组。

  • 为什么在"未安装客户端"列表里看不到我的服务器?

    可能的原因有:

    1. 该服务器已安装客户端。

    2. 该服务器是刚刚创建的,资产信息同步存在延迟,稍等几分钟或手动同步最新资产

    3. 该服务器不属于当前阿里云账号或当前选择的地域。

资源与性能问题

  • 为什么客户端会占用文件句柄?

    Windows服务器中安装云安全中心客户端后,其主机安全监控与检测进程AliYunDunMonitor在执行文件系统检测时,会主动持有文件夹句柄以实现深度遍历。占用句柄的行为是云安全中心官方组件行为,符合安全行业标准。句柄会在扫描完成后自动释放,不会长期占用。

    image