一、查看体检报告
点击任意一份主机体检报告,进入该主机的体检详情,报告从主机系统安全、网络安全、性能负载、趋势预测这四个维度对主机的运行情况进行展示。
二、系统安全
要进行主机系统安全检查,要求主机已经安装了行云管家Agent(延伸阅读:了解行云管家Agent),系统将对主机进行异常账户、异常登录、SSH密码登录、关键软件包检查、匿名访问服务、系统时间、Web Server权限、临时目录权限等检查。
2.1、异常账户检查
检查系统中是否存在未锁定的无用账户、空密码账户或id为0的非root帐号,异常账户意味着系统可能存在安全隐患;
- 检查建议:您可以点击“立即锁定”或手工执行 “passwd -l” 锁定异常账户,如果您认为账号是安全的,可以将其加入白名单;
2.2、异常登录检查
在过去24小时内,连续3次登录失败,将被归为异常登录。网络攻击或配置原因都有可能导致大量异常登录日志的产生,例如:攻击者暴力破解系统账户、数据库密码配置错误等情况
(1)登录IP、登录次数等信息是通过目标主机系统日志来进行获取的:
-
a)Windows:登录目标主机,在计算机管理->事务查看器->Windows日志->安全->筛选当前日志:输入ID 4625(登录失败的ID),选择时间范围即可搜索相关日志。
-
b)Linux:通过读取/var/log/secure、var/log/auth.log 、/var/log/messages等文件的登录失败日志 ,解析日志获取;
(2)当在系统日志里无法获取到登录IP时,就会使用主机名等关键词;
登录IP一般会在系统事件日志里进行获取,因为在用RDP连接Windows时不一定能获取到IP,这个时候就会使用该日志里的主机名等信息作为登录IP;
2.3、SSH密码登录检查
该项为SSH主机体检项,使用SSH密钥登录并关闭密码登录,将使您的系统更安全;
- 检查建议:将SSH密码登录关闭,并启用SSH密钥登录,推荐使用平台SSH密钥对来进行管理;
2.4、关键软件包检查
该项为SSH主机体检项,检测关键软件包是否被篡改;
2.5、匿名访问服务检查
该项为SSH主机体检项,检查系统中是否开启了telnet服务和ftp匿名访问功能,这两项服务会消耗系统资源,且存在安全隐患,如果业务中不需要使用,建议关闭;
2.6、系统时间检查
该项为SSH主机体检项,检查主机系统时间与所在时区是否同步;
2.7、Web Server权限检查
该项为SSH主机体检项,以root身份运行apache/tomcat/nginx这类Web Server存在安全风险;
-
检查建议:建议以非root身份运行apache/tomcat/nginx等Web Server,如果您认为是安全的,可以将其加入白名单;
-
注意事项:在Linux下,1024以下端口必须以root用户启动,建议使用root身份启动主进程,但以nobody身份来运行子进程;
2.8、临时目录权限检查
该项为SSH主机体检项,攻击者可能利用应用程序的漏洞远程下载恶意程序到/tmp;/var/tmp;/dev/shm等临时目录,一旦执行将产生严重后果;
- 检查建议:建议将临时目录挂载于一个独立的系统分区之上,并添加nodev/nosuid/noexec挂载选项,如果您认为是安全的,可以将其加入白名单;
三、网络安全
如果该主机没有公网IP,将无法对“防火墙”、“危险端口开放”、“DDoS攻击”进行检查;
3.1、防火墙检查
防火墙是防范网络攻击的重要手段,防火墙关闭后将导致主机被暴露在网络上,极易遭受网络攻击;
3.2、危险端口开放检查
关闭非必要的端口服务,能够有效降低网络风险;
检查云主机当前开放的端口是否安全,若出现危险等级的端口将标记为“危险”,用户如希望将某些非安全的端口置为安全,可将其加入到“端口白名单”中,系统将在下次体检中,忽略对其安全性的评估;
- 检查建议:使用主机安全组/防火墙关闭相关端口,但如果您认为端口是安全的,可以将其加入白名单;
延伸阅读:危险端口开放检查是如何检查的?;
3.3、DDoS攻击检查
检查过去24小时,公网入站流量是否正常,公网入站流量突发性增长意味着可能存在DDoS攻击,DDoS攻击将导致您的业务系统无法正常提供服务;
3.4、内网访问检查
将SSH和RDP协议端口暴露在公网存在网络风险;
- 检查建议:开启内网访问服务,进行内网安全运维;
四、性能负载
对于主机的CPU、内存、磁盘等资源负载情况,行云管家通过对过去24小时平均使用率、浮动范围、中位数、95分位数、高负载区间累计所占时长等数据进行分析判断,得出是否健康的结论。同时辅以可视化的负载热力图让用户对过去24小时CPU及内存的负载情况有更直观的了解。
4.1、CPU负载检查
分析过去24小时内的CPU负载情况;
4.2、内存负载检查
分析过去24小时内的内存负载情况;
4.3、公网出站负载检查
需要该主机有公网IP,才能检测公网出站负载。分析过去24小时内的公网出站负载情况,公网出站负载是判断公网带宽是否能满足应用质量要求的重要标准;
4.4、磁盘IO负载检查
分析过去24小时内的磁盘IO负载情况,磁盘IO是体现系统瓶颈的重要指标;
- 检查建议:建议在业务允许的情况下进行降低磁盘规格;
五、趋势预测
根据过去10天内存使用率和磁盘分区使用率的增长情况,对未来使用率的上升趋势进行预测,提醒用户要及时关注相关指标,是否存在可用空间不足的可能;
5.1、内存使用率检查
根据过去10天的内存使用率变化趋势,来预测近期内存是否可能达到瓶颈;
5.2、磁盘分区使用率检查
根据过去10天的磁盘分区使用率变化趋势,来预测近期磁盘分区的使用率是否可能达到100%;
六、常见问题
6.1、我的服务器明明存在异常登录,为什么在系统安全异常登录检查中却没有体现?
请参考这里;
6.2、体检报告某些问题项评判不准确怎么办?
请参考这里;
6.3、其他常见问题
其他常见问题请查看体检中心FAQ指引;