操作系统安全

使用密钥对登录实例

密钥对（由公有密钥和私有密钥组成）是一组安全凭证，可在连接ECS实例时用来证明您的身份，避免弱密码可能造成的安全风险。阿里云的密钥对默认采用的是RSA 2048位的加密算法生成了包括公钥和私钥，使用公钥和私钥认证的方式登录实例，是一种安全便捷的登录方式。相对于传统的账号密码登录方式有如下优势：

• 常规的用户口令容易被爆破，密钥对杜绝了暴力破解的风险。

• 密钥对登录方式更加简便， 一次配置，后续再也不需要输入密码。

更多信息，请参见通过密码或密钥认证登录Linux实例、通过密钥认证登录Linux实例。

使用会话管理免密登录实例

除了使用密钥对登录ECS实例外，还可以使用会话管理免密登录实例。会话管理是由云助手提供的功能，相比于密钥对、VNC 等方式，可以更便捷地远程连接ECS实例，且兼具安全性。使用会话管理端连接实例的优势如下：

• 会话管理客户端与云助手服务端、云助手服务端与ECS云助手客户端之间通信时，会通过WSS协议建立WebSocket长连接，WSS使用SSL加密WebSocket长连接，能够保障数据的安全。

• 会话管理采用RAM进行鉴权，无需管理密码，避免密码因保存不善而导致泄露的安全风险。

• 会话管理使用云助手客户端与云助手服务端之间通过WebSocket连接，因此不需要打开ECS实例的入方向端口，进一步提高了ECS实例的安全性。

更多信息，请参见通过会话管理连接实例。

避免敏感端口0.0.0.0/0授权

Linux操作系统使用了SSH终端连接，默认使用22端口，Windows操作系统使用RDP远程桌面，默认使用的是3389端口。通常情况下，未限制端口访问（0.0.0.0/0授权）允许任意来源的访问可能导致黑客或攻击者在未经过您的授权的情况下，通过这些端口登录到操作系统中。阿里云免费为您提供了实例级别的虚拟化防火墙（安全组），它可以设置单台或多台ECS实例网络访问控制，是重要的安全隔离手段。更多信息，请参见安全组概述、安全组关联资源管理。

使用OOS补丁基线自动更新安全补丁

阿里云系统运维管理OOS能够自动化管理和执行任务。OOS的补丁基线支持用户根据默认或自定义的补丁基线对ECS实例的补丁进行扫描和安装。在这个过程中，用户可以选择安全相关或其他类型的更新，自动修复相应的ECS实例。更多信息，请参见补丁管理概述。

Alibaba Cloud Linux操作系统内核热补丁

Alibaba Cloud Linux操作系统为内核热补丁的高危安全漏洞（CVE）以及重要的错误修复（Bugfix）提供了热补丁支持，内核热补丁可以在保证服务的安全性以及稳定性的情况下，平滑且快速地为内核更新高危安全漏洞以及重要的错误修复的补丁。它具备不需要重启服务器以及任何业务相关的任务进程、不需要等待长时间运行的任务完成、不需要用户注销登录、不需要进行业务迁移等优势。更多信息，请参见内核热补丁使用说明。

使用免费的基础安全服务

在使用公共镜像新购ECS实例时，阿里云默认会为您提供较为丰富的基础安全服务（云安全中心免费版）。您也可以选择取消该能力，但是强烈建议您开启该能力，它能够为您提供基础的安全加固能力，包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录异常告警、AK异常调用、合规检查等。云安全中心免费版是完全免费的服务，不收取任何费用。如果有更多需求，可以购买高级版、企业版以及旗舰版。更多信息，请参见基础安全服务。

日志审计

等保合规