带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(2)

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(2)

带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(1):https://developer.aliyun.com/article/1441589


三、如何安全加固您的操作系统

接下来介绍一下如何安全加固操作系统。

 

本章节主要包括三部分,使用OOS补丁基线自动更新安全补丁、Alibaba Cloud Linux操作系统内核热补丁以及使用免费的基础安全服务。

 

首先来看一下OOS补丁基线自动更新安全补丁。

  image.png

 

为什么需要更新安全补丁,回顾安全事件案例二,斯里兰卡国家政务云正是因为使用了存在漏洞的软件,导致操作系统被入侵,丢失了将近四个月的重要数据。如图所示的一些官方渠道经常会发布一些安全漏洞的公告以及修复漏洞的安全补丁。

 

黑客常常利用网上已经公布的安全漏洞,并且特定的工具进行扫描、攻击、入侵。您若未及时更新操作系统,时间越久,您就面临的安全风险越高。安全攻防常常是攻击方、防守方时间上的竞速,实际上不存在完美的系统,但只要修复的比攻击的更快,系统永远是安全的。

 

另外一方面,许多行业标准、法律法规都要求企业定期更新软件或操作系统,并及时安装最新的安全补丁,以满足合规性的一些要求。既安全补丁的更新重要,如何尽快知道操作系统中存在安全漏洞,以及如何快速找到对应的安全补丁,并且安装补丁快速修复安全漏洞。

 

image.png

 

阿里云系统管理与运维服务,也就是OOS是阿里云提供的云上自动化运维服务,能够自动化管理和执行任务。OOS的补丁基线支持用户根据默认或者自定义的补丁基线对ECS实例的补丁进行扫描和安装。在这个过程中,用户可以选择安全相关或者其他类型的更新,自动修复相应的ECS实例。它能够支持主流的WindowsLinux多达31种操作系统,包括CentOSRed HatUbuntuWindows Service等等。

 

image.png

 

 

不同的操作系统版本补丁基线实现的原理因为使用不同的包管理工具,扫描与安装补丁的原理都会有所差异。如图所示的CentOS7使用的yumCentOS8使用的是dnfUbuntu使用的是aptyum包管理工具为例,存在更新通知的概念,在软件仓库存储者名为updateinfo.xml的一个文件来存储软件的更新通知。

 

根据updateinfo中的更新通知如图CentOS公共安全基线规则配置所示的补丁基线配置了包括更新通知的类型以及严重等级,包括了Security\Bugfix\...对应的更新通知的类型以及严重等级为Critical\Important\...。配置后它工作流等效的命令相当于执行了严重重要等级的安全补丁以及漏洞补丁,执行yum update的命令。可以配置只升级严重以及重要等级的安全补丁。

 

image.png

 

常用补丁存在以下几种场景,比如操作系统以及应用程序的安全补丁的应用,Windows安装ServicePack以及Linux小版本的升级,按照操作系统类型,同时对多台ECS实例进行批量的漏洞修复,查看缺失的补丁报告,自动安装缺失的补丁以及跨账号跨地域补丁修复,对于跨账号跨地域的补丁修复的场景,对规模比较大的一些企业,不同的部门ECS实例可能会存在多个账号,多个账号的一些是的补丁集中管理是比较重要的一个问题。

 

在跨账号的补丁修复的产品中,阿里云的角色主要分为两个,一个是管理账号,另外一个是资源账号,其中资源账号可以是一个也可以是多个,管理员账号本身其实也是一个资源账号,如右图所示的可以通过所有资源账号下创建一个管理账号,账号可以分别扮演对应的RAM角色的方式授予补丁修复的所需要的相关的权限,从而达到管理账号内账号跨地补丁修复的效果。

 

操作系统内严重的安全漏洞修复是刻不容缓的,但是修复通常需要重启操作系统才能够进行生效,重启又会影响线上业务的运行,接下来看一下什么是Alibaba Cloud Linux操作系统内核热补丁。

 

image.png

 

Alibaba Cloud Linux操作系统为内核热补丁的高危安全漏洞,也就是CVE以及重要的错误修复Bugfix提供了热补丁支持,内核热补丁可以在保证服务的安全性以及稳定性的情况下,平滑且快速的为内核更新高危安全漏洞以及重要的错误修复的补丁。

 

它有以下的几个优点,第一是不需要重启服务器以及任何业务相关的任务进程,也不需要等待长时间运行的任务完成,也不需要用户注销登录,不需要进行业务进行迁移。

 

 

不过它也存在一些限制,它仅仅适用于Alibaba Cloud Linux的操作系统,而且要求是指定内核版本以上,并不是所有的安全漏洞以及Bugfix都是支持热补丁。热补丁主要的修复范围是严重级别以上的CVE以及严重级别的错误修复。在更新补丁的过程以及补丁生效之后,不能对补丁的函数进行测试以及跟踪。

 

image.png

 

采用热补丁的升级方法主要有两种:


一种是手动的查看Alibaba Cloud Linux CVE公告平台,获取热补丁升级的RPM包,使用yum安装的一个指定操作系统内核版本的热补丁,但是这种方式是比较繁琐的,推荐使用第二种方式,安装使用阿里云提供的内核热布定管理工具livepatch-mgr,它能够极大的简化流程,只要一个命令就能够实现,支持热补丁的查看、安装、卸载等等能力。

 

除了使用OOS补丁基线以及内核热补丁外,ECS实例还为您提供了免费的基础安全服务。

 

image.png

在使用公共镜像新购ECS实例时,阿里云默认会为您提供较为丰富的基础安全服务,也就是云安全中心免费版。也可以选择取消该能力,但是强烈建议您开启该能力,它能够为您提供基础的安全加固能力,包括主流的服务器漏洞扫描、云产品安全配置基线核查、登录异常告警、AK异常调用、合规检查等等。云安全中心免费版是完全免费的服务,不收取任何费用。如果有更多的一些需求,可以购买相应的高级版、企业版以及旗舰版。

 

image.png

 

我们的云安全中心免费版免费为您提供了漏洞扫描的能力,支持Linux Windows系统的漏洞,也支持web-CMS等常见的漏洞一些扫描,还能针对近期互联网上爆发的高危漏洞做应急漏洞检查,帮助您及时发现系统中存在的重大漏洞。建议您定期检查与管理您的漏洞,以帮助您更全面的了解您资产中存在的漏洞风险,降低系统被入侵的风险。

 

image.png

 

云安全中心免费版还为您提供异常登录检查的能力。异常登录检查的原理是云安全中心agent通过定时收集服务器上的一些登录日志并上传到云端,在云端进行分析和匹配。如果发现非常用登陆地或者非常用登录的IP在非常用的登录时间、非常用登录账号登录成功的时间将会触发告警。

 

如何判定不同的IP的具体登录行为,当云安全中心首次应用在您的服务器上时,由于您服务器未设置常用登录地点,这段期间内登录行为不会触罚告警。

 

当某公网IP第一次成功登录到的服务器后,云安全中心将会该IP地址的位置标记为常用登陆地。并且从这个时间开始往顺延24小时内,所有的公网登录地址将会被记录为常用登陆地,超过24小时,所有不在上述常用登陆地的行为被视为异常登录告警,当某IP判定为异常登录行为时,只有第一次登录行为会进行短信告警,如果IP成功登录六次或者六次以上,云安全中心默认将IP地址记录为常用登录地址,异常登录只对公网IP有效,云安全中心会对某异常IP进行第一处理。

 

如果使用的云安全中心高级版,企业版或者旗舰版。可以针对服务器进行设置常用登录地、常用登录IP、采用登录时间、采用登录账号以及对上述的登陆地IP、登录时间登录账号之外的均设置为提示告警。

 

image.png

 

除了漏洞扫描、异常登录检查外,云安全中心还支持提供AK泄露检查。AK泄露检查会实时检查GitHub等平台公开源代码中是否包含阿里云的账号AK,以鉴定您的AK泄露风险。通常支持的通知方式如下几种方式,一种是AK泄露检查异变的告警,只要检测到AK泄露,无论AK是否有效都会提供告警。

 

另外是控制台弹窗的提示,只有检测到泄露的SK信息有效时,在访问阿里云控制台首页或者多数云产品的控制台时才会提示,根据通知设置发送告警通知,只有检测到泄露的SK信息有效时,才会根据您设置通知方式,比如站内信、邮件、短信等发送通知。建议您定期做AK的轮转,以避免AK泄露造成的严重安全问题。



带你读《从基础到应用云上安全航行指南》——九大提升ECS实例操作系统安全性的技巧(3):https://developer.aliyun.com/article/1441587

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
17天前
|
存储 Unix 程序员
面试题:Ctrl + C在不同操作系统下的应用
字节跳动面试题:Ctrl + C在不同操作系统下的应用
35 1
|
1月前
|
存储 分布式计算 网络协议
阿里云服务器内存型r7、r8a、r8y实例区别参考
在阿里云目前的活动中,属于内存型实例规格的云服务器有内存型r7、内存型r8a、内存型r8y这几个实例规格,相比于活动内的经济型e、通用算力型u1实例来说,这些实例规格等性能更强,与计算型和通用型相比,它的内存更大,因此这些内存型实例规格主要适用于数据库、中间件和数据分析与挖掘,Hadoop、Spark集群等场景,本文为大家介绍内存型r7、r8a、r8y实例区别及最新活动价格,以供参考。
阿里云服务器内存型r7、r8a、r8y实例区别参考
|
1月前
|
存储 弹性计算 编解码
ecs实例规格工作负载模式
阿里云ECS实例有多种工作负载模式:计算密集型(适合高性能计算)、内存密集型(适用于内存数据库)、通用型(平衡资源,多场景适用)、大数据型(优化大数据分析)、共享型(低成本,轻负载)和企业级实例(高稳定性和隔离性)。用户依据业务需求选择实例规格,结合SLB和ESS服务可优化架构,应对动态负载。
22 4
|
1月前
|
存储 弹性计算 编解码
ecs实例规格业务类型
阿里云ECS提供多样化实例规格,涵盖通用、计算、内存、存储、GPU、FPGA/ASIC和弹性伸缩型实例,适应不同业务场景。例如,通用型适合日常Web服务,计算型用于高性能计算,内存型适用于内存数据库,GPU实例支持图形和AI计算,而弹性伸缩实例则可根据负载动态调整资源。各规格族内有不同实例大小,满足用户个性化需求。
16 3
|
1月前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
29天前
|
缓存 编解码 弹性计算
阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例适用场景汇总
目前阿里云活动购买云服务器时,除了轻量应用服务器之外,活动内的云服务器实例规格主要以e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae这几种为主,本文主要为大家介绍了阿里云服务器的实例规格是什么,有什么用?并汇总了阿里云轻量应用服务器和阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例规格适用场景,以供大家了解和选择适合自己的需求的实例规格。
阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例适用场景汇总
|
28天前
|
弹性计算
2024年阿里云服务器不同实例规格与配置实时优惠价格整理与分享
2024年阿里云服务器的优惠价格新鲜出炉,有特惠云服务器也有普通优惠价格,本文为大家整理汇总了2024年阿里云服务器的优惠价格,包含特惠云服务器和其他配置云服务器的优惠价格。以便大家了解自己想购买的云服务器选择不同实例规格和带宽情况下的价格,仅供参考。
2024年阿里云服务器不同实例规格与配置实时优惠价格整理与分享
|
1月前
|
存储 机器学习/深度学习 弹性计算
ecs实例规格存储和I/O需求
阿里云ECS提供多种实例类型满足不同需求:通用型适合中小型应用;计算型强调CPU性能,适合大数据分析;存储型针对高I/O场景,如数据库;内存型适合内存敏感应用;GPU型用于GPU加速任务;异构计算型包含FPGA、ASIC。实例搭配不同性能的云盘(如ESSD)以调整IOPS和吞吐量。选择实例时,需综合考虑应用对计算、内存和存储I/O的需求。
15 1
|
存储 弹性计算 网络协议
阿里云服务器经济型e、通用算力型u1与c7/g7/r7/c8y/g8y/r8y实例区别及选择参考
在阿里云目前的各个活动中,除了轻量应用服务器之外,活动内的云服务器实例规格主要以经济型e、通用算力型u1、计算型c7/c8y、通用型g7/g8y、内存型r7/r8y这几个实例规格为主,c7/c8y属于计算型实例,g7/g8y属于通用型实例,c7/r8y属于内存型实例,c7/g7/r7属于最新第七代云服务器实例,c8y/g8y/r8y属于倚天云服务器实例,不同的云服务器实例规格在性能、特点及适用场景上有所不同,本文大家介绍一下阿里云服务器经济型e、通用算力型u1与c7/g7/r7/c8y/g8y/r8y的区别,以供参考。
阿里云服务器经济型e、通用算力型u1与c7/g7/r7/c8y/g8y/r8y实例区别及选择参考
|
6天前
|
缓存 安全 调度
代理服务器如何保护用户隐私和安全?
Python搭建代理IP池实现接口设置与整体调度
24 10

相关产品

  • 云服务器 ECS