操作系统和软件在开发过程中可能会存在安全漏洞(如缓冲区溢出、权限提升等),存在高危等级安全漏洞的ECS实例应及时进行修复。
安全风险
安全漏洞是操作系统或软件在设计和开发过程中无意产生的缺陷。攻击者可以利用这些缺陷,执行恶意代码、窃取数据、非法提升权限,甚至完全控制您的服务器。操作系统与应用厂商在发布漏洞公告以及漏洞修复补丁后,会有大量黑灰产人员根据漏洞补丁研发利用程序,应用使用方应当根据厂商的漏洞公告及时修复高危漏洞,避免因为已公开的漏洞被攻击。
最佳实践
关注系统和应用漏洞
通过阿里云云安全中心发现和查看漏洞:
发现风险:启用主机安全防护后,云安全中心会持续检测您服务器和应用中的已知漏洞及其他安全风险。
告警通知:通过通知设置,云安全中心在检测到您的资产存在安全风险时,可以给通知接收人发送通知,以便您及时处理风险事件,保障资产安全。
第一时间掌握安全动态,及时修复漏洞,避免潜在损失。同时,也请定期查阅阿里云官方发布的安全公告,确保您能及时掌握最新的漏洞动态。
修复漏洞
使用云安全中心管理应用安全漏洞与高危漏洞修复
控制台
前往云安全中心控制台。
在左侧导航栏,选择,单击需紧急修复的漏洞(CVE)下的数字(0表示无高危漏洞),找到状态为未修复且紧急程度为高的漏洞。
单击操作列的修复,根据提示填写快照保存时间等信息,单击立即修复。等待创建任务成功后,单击确认。
修复任务执行后,漏洞状态会变为修复中。
等待任务完成后,单击验证,或等待下一次漏洞扫描周期,确认漏洞状态是否变为已处理或不再显示。如果修复失败,可以根据提示信息进行排查。
API
使用ModifyOperateVul接口对检测到的漏洞进行处理。
使用OperateVuls接口修复Linux软件漏洞。
更多漏洞管理相关的OpenAPI,请参见漏洞修复。
开启OOS补丁基线自动修复操作系统高危安全漏洞
只支持修复操作系统漏洞,对于紧急的安全漏洞或应用安全漏洞,可使用云安全中心管理应用安全漏洞与高危漏洞修复。
控制台
登录ECS控制台-实例,选择目标实例并进入其详情页面。
在实例详情页,单击定时与自动化任务管理标签页,选择自动升级补丁卡片,单击自动升级补丁按钮。
按照页面提示配置执行策略。
定时类型:建议选择周期性重复执行,并设置一个业务低峰期(如:0 0 2 ? * * 表示每天凌晨2点执行)。
是否重启:根据您的业务需求谨慎选择。某些核心补丁需要重启系统才能生效。建议设置为“是”,以确保补丁的完整有效性,并将执行时间安排在ECS计划维护窗口。如果安装补丁时选择允许重启实例,系统会根据所安装的补丁的信息自动重启实例。
配置完成后,点击下一步,确认信息后单击确定,系统将为您自动创建并按策略执行运维任务。
开启后可能并不会立即修复漏洞,取决于您配置的生效周期。
API
使用系统运维管理的StartExecution接口,通过TemplateName参数设置为ACS-ECS-ScheduleApplyPatchBaseline指定自动升级补丁任务,通过Parameters参数控制补丁的生效范围、生效时间等。
合规能力
漏洞扫描
启用主机安全防护后,表示您已开通免费的云安全中心,系统会周期性(默认没两天)进行漏洞扫描。扫描结果可在漏洞管理页面进行查看:
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在漏洞管理页面,进行手动扫描漏洞或配置自动扫描漏洞。
检查:是否存在有高危漏洞实例
ECS使用成熟度评估与洞察
选择安全性能力页签,单击检查项使用补丁管理进行运维管理,可以查看未开启OOS补丁自动升级的实例。
开启OOS补丁自动升级可以定时自动修复系统漏洞,ECS使用成熟度评估与洞察的检查结果是以漏洞最终修复结果为准。
云安全中心
计费说明。
前往云安全中心控制台。
在左侧菜单栏选择,选择云产品配置风险页签,查找名为未修复高危系统漏洞的计算机的检查项,单击操作列的扫描按钮。
若状态显示为未通过,表示存在未修复高危系统漏洞的实例,可单击详情进行查看。
修复:修复实例高危安全漏洞
通过云安全中心漏洞管理修复高危漏洞
具体操作,请参见使用云安全中心管理应用安全漏洞与高危漏洞修复。
通过OOS补丁基线修复高危漏洞
具体操作,请参见开启OOS补丁基线自动修复操作系统高危安全漏洞。