[Aliyun-ACP] 安骑士之初体验
本实验将介绍并使用安骑士的基本功能“木马查杀”,“补丁管理”,“安全管理”和“安全运维”。云中沙箱平台会自动创建一台已部署Phpwind站点的ECS云服务器实例。首先,模拟“暴力破解”ECS密码的情况,查看“拦截信息”。然后,设置“常用登陆地”,查看异地登录情况。最后,简要介绍安骑士的“补丁管理”,“木马查杀”等。
操作系统级别做: PAM ----à pam_tally2.so
Deny2hosts ---à/etc/hosts.deny
实验目标
完成此实验后,可以掌握的能力有:
1. 通过管理控制台,使用安骑士服务;
2. 安骑士的不同版本之间的区别。
学前建议
1. 了解ECS的基本功能
2. 了解安全方面的基础知识。
1.1 背景知识
越来越多的企业开始使用阿里云的各种服务,比如ECS,RDS,负载均衡等等。随之而来的是用户最关心的安全问题:比如,因为用户使用通用软件的漏洞而被黑客入侵;Web服务器(内部/外部)被黑客入侵窃取网站的核心数据等。
因此,阿里云推出云盾服务。云盾是阿里巴巴集团多年来安全技术研究积累的成果,它结合阿里云云计算平台强大的数据分析能力,为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDoS等一站式安全服务。阿里云对于安全方面,可谓“十年攻防,一朝成盾”:
服务器安全(安骑士)是云盾的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,从而保障服务器的安全。
服务器安全(安骑士)的架构图,如下图:
阿里云平台默认为用户开通安骑士的 基础版,若用户希望可以通过安骑士深度维护云服务器,可以购买 专业版,增强版 或 企业版。不同版本提供不同的服务。
安骑士主要提供五大服务:
· 木马查杀:服务器安全(安骑士)Agent将自动识别服务器的Web目录,对服务器的Web目录进行后门文件扫描,每天凌晨将会对Web目录进行一次扫描,同时若Web目录文件发生变化也会触发单次单文件扫描。
· 补丁管理:支持通用Web软件漏洞扫描和Windows系统漏洞扫描,当前扫描周期为1天。不仅如此,当前漏洞补丁均为云盾自研补丁,快于官方补丁推出。用户可以通过控制台的 一键修复 功能,实现漏洞批量修复和回滚。
· 安全巡检:支持 手动巡检 和 周期巡检 两种方式。手动巡检 主要对服务器常见系统配置缺陷进行检测,包括对可疑系统账户、弱口令、注册表等进行检测。用户也可设置周期检测时间定期对自己的服务器进行安全体检。
· 主机防火墙:支持TCP,UDP和HTTP三种协议的自定义访问控制;共享云盾恶意IP库,直接将恶意IP进行拦截;支持Web攻击拦截策略自定义;不但可以记录4层和7层策略的命中情况,而且允许近1个月的记录查看和数据导出。
· 安全运维:支持Shell命令(Linux)、BAT命令(Windows),非交互式命令;支持在服务器安全(安骑士)控制台一键下发脚本命令,支持运行账户切换、权限切换;支持对运行结果在线查看和导出结果查看。
2.3 搭建黑客服务器
1.点击左侧导航栏的 实验资源 ,在实验资源展开页中复制 控制台URL, 在浏览器隐身窗口(或新浏览器)中访问,在阿里云登录界面,输入实验资源分配的 子用户 (格式:子用户名称@企业别名)、 密码 ,然后登录。
2.点击阿里云管理控制台的左上角 产品与服务,在弹出的下拉列表中,选择 弹性计算、云服务器ECS,进入ECS控制台。
3.通过实验资源,查看分配的黑客服务器的地域。可得知黑客服务器在华东 1
下面步骤是创建ECS实例的方法。因为实验已经分配好了黑客ECS资源,无需创建,只作参考学习,直接进入下一节。
怎么创建ECS实例?
点击左侧栏的 实例,进入实例列表,点击右上角的 创建实例,进入实例的购买页面。
4. 购买ECS实例,配置如下,其它默认。
计费方式:按量计费
地域:选择与实验资源不同的地域即可 (若实验资源提供的地域为华北2,请使用华东1)
实例:选择 ecs.n1.tiny 类型
镜像:公共镜像 ,选择 centos 6.8 64位
网络:专有网络
专有网络:默认专有网络
交换机:默认交换机
公网IP地址:分配
安全组:默认安全组
登录凭证:自定义密码
登录密码:Passw0rd
确认密码:Passw0rd
实例名称:hacker-server
配置好后,点击 确认订单。
勾选 服务协议 ,点击 创建实例 ,创建成功后,点击 管理控制台。
2.4 安骑士暴力破解拦截
1.本章将介绍安骑士的 暴力破解拦截 功能。通过此功能,可以有效的拦截密码穷举、暴力破解等攻击。用户可以在阿里云管理控制台实时查看到监控的 登录纪录 和 暴力破解拦截信息。
2. 在阿里云管理控制台左上角的 产品与服务 中,选择 安全(云盾)模块下的 云安全中心(安骑士),进入安骑士管理控制台。
然后点击 去云安全中心。
3.点击 资产管理, 可以查看当前帐户下有两台ECS实例:实验资源提供的ECS实例和一台分配的黑客服务器ECS实例。两台实例均已安装安骑士,且没有检测到漏洞和风险。
4. 查看是否有攻击者对安骑士监控的两台服务器暴力破解,只需点击左侧的 安全告警处理 ,看是否有告警。
5. 由于安骑士检测到暴力破解后,会以短信的方式发送给用户,爆破的方式又是批量SSH密码穷举登录。为防止用户输错密码而被安骑士检测为暴力破解,并短信告警带来的不便,可以通过添加白名单的方式来避免该问题。
(1)点击 设置, 登录IP拦截加白
然后添加白名单。
(2)查询您的ip,新建网页打开www.ip138.com ,复制您的ip以备用。
(3)对象类型选择 弹性公网EIP,源IP输入复制的IP,服务器选择非黑客ECS的IP,最后确认。
2.5 安骑士异地登录报警
本章用户将通过 设置常用登录地,检测异地登录情况。从而,可以有效的获取异地登录的信息,避免黑客攻击。
1.在安骑士管理控制台的 安全告警页面 页面中,筛选 异常登录,当前没有异常登录记录。点击 安全告警设置。
2.然后添加常用登录地,在弹框中,选择常用登录地为实验资源提供的地域,如提供的地域为华东2,则添加常用登录地为上海,只有使用上海的IP地址,远程登录到设置常用登陆地的ECS实例,才会记录为正常访问。其余地域远程登录均被记录为异地登录。
在请添加应用的服务器的列表中勾选:实验资源提供的云服务器的弹性IP ,然后确认。
此时,登录安全设置下有一条记录。
3.使用攻击者服务器 hacker-server(与实验提供的云服务器地域不同)异地登录 实验资源 提供的云服务器。
远程登录ECS服务器 hacker-server ,( IP地址 可以在ECS控制台实例界面找到,密码为 Passw0rd),登录成功后,在该终端SSH登录 实验资源提供的ECS服务器,使用 实验资源 提供的ECS服务器的 弹性IP地址,用户 和 密码 远程登录ECS。
说明:远程登录Linux系统ECS实例的详细步骤,请参考云中沙箱 帮助文档
4.返回安骑士云安全中心的控制台,进入 安全告警处理, 可以看到异常登录,点进异常登录,能看到登录异地登录的信息。
5. 若用户的ECS服务器被黑客注入木马,则安骑士可以通过定期的 安全巡查,获取木马信息。在 安全告警处理的 网站后门 可以查看。
说明:由于安全巡查是定期进行的,本章节为介绍章节,不提供实验环境。
至此,我们完成了安骑士所有的实验内容,对于后续使用安骑士防护云主机的安全将会有很大的帮助。
3.1 常见问题
1.在非阿里云的云服务器上如何使用服务器安全(安骑士)?
一. 登录服务器安全(安骑士)控制台,在控制台下载最新版Agent程序, 地址 ,使用管理员权限执行安装程序。
二. 对于非阿里云服务器,在安装过程中会提示输入验证Key,这个验证Key用于关联你的阿里云账号,通过阿里云账号在控制台使用相关功能。安全验证Key在控制台获取,地址 。
三. 大约2分钟后在服务器安全(安骑士)控制台查看云服务器列表,若在列表中有新安装的机器ip,表示安装成功。
功能说明: 在非阿里云的服务器上,服务器安全(安骑士)提供了木马文件查杀、高危漏洞检测与修复、入侵告警通知等功能。
2.用户服务器安装Agent失败如何处理?
请参看:https://help.aliyun.com/knowledge_detail/40494.html?spm=5176.7840475.2.11.8SsPQ7
