一:环境
1、两台云服务器,一台升级为主机安全专业版或者旗舰版(暴力破解阻断功能需要专业版或者旗舰版)
10.0.0.4是专业版
2、暴力破解python脚本 python脚本依赖python3环境、paramiko模块
pip3 install paramiko 安装包错,根据报错提示升级pip版本: pip3 install --upgrade pip
3、配置暴力破解策略如下:命中规则1阻断5分钟
二:开始测试
1、测试之前确认下主机安全agent的版本:
[root@VM-0-4-centos ~]# /usr/local/qcloud/YunJing/YDEyes/YDService -v Version:3.4.2.20 [root@VM-0-4-centos ~]
接到暴力破解成功的告警,控制台事件列表如下:
发现2个问题: a、来源地是河北张家口,但是来源ip属于北京
以上ip不对是由于ip库没有更新导致的。
b、阻断状态未阻断
原因稍后同步
2、升级agent版本进行测试
升级方式:
linux(vpc网络):wget http://u.yd.tencentyun.com/ydeyes/download/ydeyes_linux64_4.2.2.64.tar.gz -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh
linux(基础网络):wget http://u.yd.qcloud.com/ydeyes/download/ydeyes_linux64_4.2.2.64.tar.gz -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh
windows(vpc):http://u.yd.tencentyun.com/ydeyes/download/self_cloud_ydeyes_1.2.0.134.zip
windows(基础网络):http://u.yd.qcloud.com/ydeyes/download/self_cloud_ydeyes_1.2.0.134.zip
升级到最新版本
继续测试暴力破解阻断成功
验证:策略生效
经确认:主机安全阻断的方式有两种
1、客户端阻断
MinAgentBanVersionLinux > "4.0.2.32" MinAgentBanVersionWindows > "1.2.0.120"
2、流量层阻断
需服务器IP在可支持阻断区 正常来讲服务器IP跟服务器应该是在同一个区域 由于IP数量不够从其他区域借用IP 导致服务器IP跟服务器不在一个区,而服务器IP又不在支持阻断的区域所以控制台会显示不支持阻断
第一次测试为阻断的原因:版本低、触发了第2个条件
使用该功能首先添加自己信任的ip白名单,重要的是服务器需要做好安全加固避免被暴力破解成功
加固方式可以参考:
1)服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng.51240.com/ 2)删除服务器上设置的不需要的用户 3)对于不需要登录的用户,请将用户的权限设置为禁止登录 4)修改远程登录服务的默认端口号以及禁止超级管理员用户登陆 Linux远程端口修改参考文档:https://cloud.tencent.com/developer/article/1124500 5)较为安全的方法:只使用密钥登录禁止密码登陆 (针对Linux系统) 6)腾讯云平台有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档: https://cloud.tencent.com/document/product/215/20398 7)不建议向公网开放核心应用服务端口访问,例如mysql、redis等,您可修改为本地访问或禁止外网访问 8)如果您的本地外网IP固定,建议使用安全组或者系统防火墙禁止除了本地外网IP之外所有IP的登录请求
重要的数据要做好定时备份或者快照。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。