一、查看体检报告

点击任意一份主机体检报告,进入该主机的体检详情,报告从主机系统安全、网络安全、性能负载、趋势预测这四个维度对主机的运行情况进行展示。

二、系统安全

要进行主机系统安全检查,要求主机已经安装了行云管家Agent(延伸阅读:了解行云管家Agent),系统将对主机进行异常账户、异常登录、SSH密码登录、关键软件包检查、匿名访问服务、系统时间、Web Server权限、临时目录权限等检查。

2.1、异常账户检查

检查系统中是否存在未锁定的无用账户、空密码账户或id为0的非root帐号,异常账户意味着系统可能存在安全隐患;

  • 检查建议:您可以点击“立即锁定”或手工执行 “passwd -l” 锁定异常账户,如果您认为账号是安全的,可以将其加入白名单;

2.2、异常登录检查

在过去24小时内,连续3次登录失败,将被归为异常登录。网络攻击或配置原因都有可能导致大量异常登录日志的产生,例如:攻击者暴力破解系统账户、数据库密码配置错误等情况

(1)登录IP、登录次数等信息是通过目标主机系统日志来进行获取的:

  • a)Windows:登录目标主机,在计算机管理->事务查看器->Windows日志->安全->筛选当前日志:输入ID 4625(登录失败的ID),选择时间范围即可搜索相关日志。

  • b)Linux:通过读取/var/log/secure、var/log/auth.log 、/var/log/messages等文件的登录失败日志 ,解析日志获取;

(2)当在系统日志里无法获取到登录IP时,就会使用主机名等关键词;

登录IP一般会在系统事件日志里进行获取,因为在用RDP连接Windows时不一定能获取到IP,这个时候就会使用该日志里的主机名等信息作为登录IP;

延伸阅读:异常登录检查里发现经常有其他IP异常登录,如何防范?

2.3、SSH密码登录检查

该项为SSH主机体检项,使用SSH密钥登录并关闭密码登录,将使您的系统更安全;

  • 检查建议:将SSH密码登录关闭,并启用SSH密钥登录,推荐使用平台SSH密钥对来进行管理;

2.4、关键软件包检查

该项为SSH主机体检项,检测关键软件包是否被篡改;

2.5、匿名访问服务检查

该项为SSH主机体检项,检查系统中是否开启了telnet服务和ftp匿名访问功能,这两项服务会消耗系统资源,且存在安全隐患,如果业务中不需要使用,建议关闭;

2.6、系统时间检查

该项为SSH主机体检项,检查主机系统时间与所在时区是否同步;

2.7、Web Server权限检查

该项为SSH主机体检项,以root身份运行apache/tomcat/nginx这类Web Server存在安全风险;

  • 检查建议:建议以非root身份运行apache/tomcat/nginx等Web Server,如果您认为是安全的,可以将其加入白名单;

  • 注意事项:在Linux下,1024以下端口必须以root用户启动,建议使用root身份启动主进程,但以nobody身份来运行子进程;

2.8、临时目录权限检查

该项为SSH主机体检项,攻击者可能利用应用程序的漏洞远程下载恶意程序到/tmp;/var/tmp;/dev/shm等临时目录,一旦执行将产生严重后果;

  • 检查建议:建议将临时目录挂载于一个独立的系统分区之上,并添加nodev/nosuid/noexec挂载选项,如果您认为是安全的,可以将其加入白名单;

延伸阅读:/tmp、/var/tmp、/dev/tmp目录处理建议

三、网络安全

如果该主机没有公网IP,将无法对“防火墙”、“危险端口开放”、“DDoS攻击”进行检查;

3.1、防火墙检查

防火墙是防范网络攻击的重要手段,防火墙关闭后将导致主机被暴露在网络上,极易遭受网络攻击;

3.2、危险端口开放检查

关闭非必要的端口服务,能够有效降低网络风险;

检查云主机当前开放的端口是否安全,若出现危险等级的端口将标记为“危险”,用户如希望将某些非安全的端口置为安全,可将其加入到“端口白名单”中,系统将在下次体检中,忽略对其安全性的评估;

  • 检查建议:使用主机安全组/防火墙关闭相关端口,但如果您认为端口是安全的,可以将其加入白名单;

延伸阅读:危险端口开放检查是如何检查的?

3.3、DDoS攻击检查

检查过去24小时,公网入站流量是否正常,公网入站流量突发性增长意味着可能存在DDoS攻击,DDoS攻击将导致您的业务系统无法正常提供服务;

3.4、内网访问检查

将SSH和RDP协议端口暴露在公网存在网络风险;

四、性能负载

对于主机的CPU、内存、磁盘等资源负载情况,行云管家通过对过去24小时平均使用率、浮动范围、中位数、95分位数、高负载区间累计所占时长等数据进行分析判断,得出是否健康的结论。同时辅以可视化的负载热力图让用户对过去24小时CPU及内存的负载情况有更直观的了解。

4.1、CPU负载检查

分析过去24小时内的CPU负载情况;

4.2、内存负载检查

分析过去24小时内的内存负载情况;

4.3、公网出站负载检查

需要该主机有公网IP,才能检测公网出站负载。分析过去24小时内的公网出站负载情况,公网出站负载是判断公网带宽是否能满足应用质量要求的重要标准;

4.4、磁盘IO负载检查

分析过去24小时内的磁盘IO负载情况,磁盘IO是体现系统瓶颈的重要指标;

  • 检查建议:建议在业务允许的情况下进行降低磁盘规格;

五、趋势预测

根据过去10天内存使用率和磁盘分区使用率的增长情况,对未来使用率的上升趋势进行预测,提醒用户要及时关注相关指标,是否存在可用空间不足的可能;

5.1、内存使用率检查

根据过去10天的内存使用率变化趋势,来预测近期内存是否可能达到瓶颈;

5.2、磁盘分区使用率检查

根据过去10天的磁盘分区使用率变化趋势,来预测近期磁盘分区的使用率是否可能达到100%;

六、常见问题

6.1、我的服务器明明存在异常登录,为什么在系统安全异常登录检查中却没有体现?

请参考这里

6.2、体检报告某些问题项评判不准确怎么办?

请参考这里

6.3、其他常见问题

其他常见问题请查看体检中心FAQ指引