統(tǒng)一服務器安全管理系統(tǒng)集成了防惡意軟件、進程管控、防火墻、應用控制、入侵檢測、DDoS、海量數(shù)據(jù)可視化分析等多個模塊，以確保云服務器的應用及數(shù)據(jù)安全。防護系統(tǒng)支持linux主機和容器、采用有代理的部署模式，可直接對linux主機和容器內(nèi)部的文件及網(wǎng)絡內(nèi)容進行安全檢測。

管理中心頁面登錄方式為https://IP:8443 輸入用戶名密碼，首次登錄需要修改初始密碼，管理員登錄到系統(tǒng)后可進入 管理->用戶管理 頁面自己添加或刪除用戶。

1 部署主機安全組件

有代理主機和容器的安裝部署方式一致，都是部署在主機上；當主機中有容器時，部署時應選擇類型為服務器（容器）或server with container。

為方便用戶使用，系統(tǒng)支持兩種方式部署主機安全組件：

1.1 通過管理中心一鍵部署

1) 進入 資產(chǎn)管理 ->主機 頁面

2) 在頁面中點擊 新增 按鈕，會彈出 新增主機池 對話框，平臺選擇“非虛擬化平臺”

3) 在對話框中輸入主機池名稱、選擇添加方式、輸入計算機名、IP地址，點擊確定即可。

參數(shù)說明：

名稱 : 有代理主機將要添加至的主機池名稱，手動輸入會新建一個以輸入的名稱命名的主機池、也可以選擇管理中心現(xiàn)有的有代理主機池。

添加方式：有代理主機的添加方式分為單臺計算機和網(wǎng)段范圍內(nèi)的多臺計算機，默認為單臺計算機，即一次添加一臺有代理主機；如果選擇網(wǎng)段范圍內(nèi)的多臺計算機，即一次性添加多臺有代理主機，如下圖所示需要填寫起始地址和結束地址。

計算機名：如果填寫的是有代理主機的域名，系統(tǒng)會根據(jù)域名去添加有代理主機，不需要再輸入計算機IP；如果填寫的是有代理主機的別名，則需要再輸入正確的計算機IP。

計算機IP：有代理主機的IP地址。

4) 添加成功后，主機狀態(tài)為“未安裝安全組件”

5) 選擇剛才添加的有代理主機，點擊“安裝安全組件”按鈕

6) 在彈出的對話框中，輸入主機用戶名、密碼（即ssh的用戶名和密碼），選擇許可類型為標準版，點擊確定，系統(tǒng)開始在有代理主機上安裝安全組件。

7) 安裝安全組件過程中的狀態(tài)變化由未安裝安全組件->正在安裝->安裝成功->連接中斷->已連接，整個過程大約需要2分鐘。

8) 部署成功后，頁面中會顯示該主機池/資源池的服務器類型、部署地址，主機池名稱、該主機池/資源池下的所有主機、系統(tǒng)版本信息、文件和網(wǎng)絡特征庫信息及當前的連接狀態(tài)，如下圖所示。

9) 主機注冊成功后，管理中心 “資產(chǎn)管理”->“虛擬機/終端”頁面能夠看到該機器，其實時防護狀態(tài)正確。

10) 如果安裝失敗，主機狀態(tài)會顯示為“安裝失敗”，可點擊“安裝失敗”字樣查看失敗原因。

2 功能驗證

2.1 防惡意軟件（服務器）

防惡意軟件的功能能夠為有代理主機提供惡意軟件防護，可以使得每臺主機都能得到病毒防護，其功能如下：

每一臺主機

可以為主機指定獨立的保護策略（安全配置）

提供實時、手動、指定目錄和定期掃描功能

惡意軟件日志管理

測試方法：通過下載病毒文件至主機上，檢查惡意程序是否被隔離。

1) 進入管理中心，進入“資產(chǎn)管理 ”> “虛擬機/終端” 頁面，找到測試主機，然后點擊安全配置鏈接，進入“防惡意軟件頁面”

2) 確認實時防護已經(jīng)打開

3) 單擊”保存”保存配置

4) 進入測試主機，然后下載測試病毒至本地

5) 查看病毒文件是否下載成功

6) 等一兩分鐘，然后進入管理中心，進入“實時監(jiān)控”頁面，查看“安全事件歷史”，可以看到有防惡意軟件安全事件：

7) 點擊上圖中有安全事件的點，可以進入到日志分析界面，點擊原始日志圖標，可以查看惡意軟件防護的原始日志

2.2 防惡意軟件（容器）

防惡意軟件的功能能夠為有代理主機及其中的容器提供惡意軟件防護，可以使得每臺主機和主機中的所有容器都能得到病毒防護，其功能如下

主機及主機中的每一個容器

可以為主機指定獨立的保護策略（安全配置）

提供實時、手動、指定目錄和定期掃描功能

惡意軟件日志管理

測試方法：通過下載病毒文件至容器中，檢查惡意程序是否被隔離。

(1) 進入管理中心，進入“資產(chǎn)管理 ”> “虛擬機/終端” 頁面，找到測試主機，然后點擊安全配置鏈接，進入“防惡意軟件頁面”

(2) 確認實時防護已經(jīng)打開

(3) 單擊”保存”保存配

(4) 進入測試主機，然后下載測試病毒至容器中

(5) 查看病毒文件是否下載成功

(6) 等一兩分鐘，然后進入管理中心，進入“實時監(jiān)控”頁面，查看“安全事件歷史”，可以看到有防惡意軟件安全事件：

(1) 點擊上圖中有安全事件的點，可以進入到日志分析界面，點擊原始日志圖標，可以查看惡意軟件防護的原始日志。如下圖所示，容器中的病毒文件隔離成功，日志中記錄了容器中病毒文件的路徑及對應的容器名稱。

注： 對于容器內(nèi)的病毒，刪除操作會清空文件，不會刪除文件；隔離操作是隔離并清空文件。

2.3 應用程序控制

防護系統(tǒng)的應用程序控制功能，支持根據(jù)應用程序路徑和應用程序名制定規(guī)則，并預置操作系統(tǒng)應用程序列表。支持白名單和黑名單方式，可針對不同的用戶場景靈活配置管控規(guī)則。未被允許的應用程序將無法使用，徹底阻止勒索軟件或其他惡意軟件執(zhí)行。

測試方法：禁止在主機中運行chmod命令

1) 進入管理中心 安全策略 > 安全配置頁面

2) 點擊“Linux安全配置，進入“應用程序控制”標簽頁

3) 開啟實時管控功能、允許Linux系統(tǒng)應用程序、配置例外應用程序路徑為/usr/bin/chmod，其他應用程序啟動時采取動作為阻止

4) 點擊保存按鈕

1) 在測試主機中運行chmod命令，提示權限不夠/Permission denied

2) 等一二分鐘，進入管理中心 分析-應用程序控制頁面應該能看到進程管控的阻止日志

2.4 完整性監(jiān)控

防護系統(tǒng)的完整性監(jiān)控功能，可以通過對文件/目錄、注冊表等類型進行監(jiān)控，并對嚴重程度為高的事件進行告警，從而達到了系統(tǒng)安全防護預警的目的。

測試方法：手動掃描完整性監(jiān)控文件的增加。

1) 登錄管理中心界面，選擇安全策略--安全配置-點擊或新增Linux安全配置，進入配置界面。

2) 點擊系統(tǒng)加固下拉箭頭，選擇完整性監(jiān)控，關閉實時掃描、定期掃描，監(jiān)控等級設置為嚴格，勾選“編號為30002，監(jiān)控系統(tǒng)安裝的通用軟件目錄的任何變化(/bin)”這條規(guī)則，點擊保存。

3) 在管理中心選擇資產(chǎn)管理--虛擬機/終端，勾選所要掃描的虛擬機，點擊安全操作下拉箭頭，點擊重新生成完整性基線。

4) 根據(jù)30002這條規(guī)則，在所測虛擬機上對所監(jiān)控/bin目錄下建立測試文件1。

5) 在管理中心上選擇此虛擬機點擊安全操作下拉箭頭，點擊完整性掃描。

6) 掃描完成后可在管理中心完整性監(jiān)控分析日志看到對應日志：

2.5 漏洞管理

防護系統(tǒng)的漏洞管理功能支持對虛擬機/終端上的漏洞進行掃描，詳細展示相關的漏洞名稱、漏洞類型、危險程度、CVE編號等。同時基于漏洞掃描信息支持單機或批量推薦IPS規(guī)則，進行漏洞的防護處理。

測試方法：手動漏洞掃描

1) 登錄管理中心界面，選擇資產(chǎn)管理--虛擬機/終端，勾選所要掃描的虛擬機，點擊安全操作下拉箭頭，點擊漏洞掃描。

2) 等待大約10秒，會有彈窗提醒漏洞掃描已開始，請在虛擬機詳情中查看掃描詳情。

3) 點擊虛擬機名稱進入虛機概況界面，可以看到掃描狀態(tài)，上次掃描時間以及掃描結果。

4) 在虛機概況界面點擊對應嚴重等級的漏洞數(shù)，可以查看該嚴重等級的漏洞詳情

5) 在虛機概況界面點擊漏洞管理最右邊的查看日志，可以查看所有漏洞的詳情。

2.6 防火墻

防護系統(tǒng)防火墻模塊確保服務器在所必需的端口和協(xié)議上通信，并阻止其他所有端口和協(xié)議，降低對服務器進行未授權訪問的風險。

測試方法：禁止主機入站ssh協(xié)議。

1) 首先確認主機的ssh進程已啟動

2) 進入管理中心 安全策略 > 安全配置頁面

3) 點擊“Linux安全配置”，進入“防火墻”標簽頁

4) 點擊“新增”按鈕，會打開“防火墻規(guī)則“對話框

在對話框中輸入防火墻規(guī)則名稱、選擇動作為”阻止“、選擇方向為”入站“，選擇協(xié)議為”TCP“、在本地信息中配置端口為22，點擊確定按鈕。

6) 點擊保存按鈕，保存安全配置

7) 在其他機器上通過ssh協(xié)議訪問測試主機，訪問失敗，提示connection refused

8) 等一兩分鐘，進入管理中心查看有防火墻規(guī)則阻止成功的日志

2.7 失陷檢測

防護系統(tǒng)的失陷檢測功能能夠及時發(fā)現(xiàn)網(wǎng)絡中的僵尸主機，并進行告警和防護處理，防止這些“定時炸彈”摧毀目標網(wǎng)絡。

1) 登錄管理中心界面，選擇安全策略--安全配置-點擊或新增Linux安全配置，進入配置界面。

2) 點擊微隔離下拉箭頭，選擇失陷檢測，打開失陷檢測開關，失陷處理選擇隔離，點擊保存。

3) 當有在威脅情報庫中的惡意流量攻擊虛機時，可以看到虛機名稱變成綠色，同時安全配置后面會出現(xiàn)一個自定義配置的標記。

4) 在虛擬機概況界面可以看到失陷狀態(tài)：已失陷；隔離狀態(tài)：已隔離。

5) 點擊虛機的防火墻頁面可以看到自動生成的防火墻規(guī)則，阻止惡意流量進一步攻擊。

2.8 網(wǎng)絡可視化及管理

防護系統(tǒng)網(wǎng)絡可視化及管理模塊支持識別、攔截一千多種流行的網(wǎng)絡協(xié)議，用戶可以根據(jù)需要設置不允許一些跟工作無關的網(wǎng)絡協(xié)議運行，或者不允許占用太多網(wǎng)絡或者其他資源的網(wǎng)絡協(xié)議。

測試方法：禁止在測試主機中訪問購物網(wǎng)站

1) 進入管理中心 安全策略 > 安全配置頁面

2) 點擊“Linux安全配置”，進入“網(wǎng)絡可視化及管理”的“上網(wǎng)行為管理”標簽頁

3) 在左側的“選擇網(wǎng)絡協(xié)議”欄中選擇“商城/在線購物”，點擊”阻止“按鈕，點擊保存

4) 在測試主機中訪問購物網(wǎng)站，訪問失敗

5) 等一兩分鐘，管理中心能夠看到對應應用程序阻止的日志

2.9 入侵防御

功能描述：操作系統(tǒng)或應用程序不能及時打補丁的虛擬機或者還沒有對應的安全補丁，經(jīng)常會面臨病毒等惡意軟件的攻擊，但大量終端的補丁管理很難做到一步到位，并且新發(fā)布的補丁與業(yè)務系統(tǒng)的兼容性也需要驗證的時間；防護系統(tǒng)的入侵防御模塊提供針對這種入侵進行防御功能，避免惡意軟件的威脅；

漏洞介紹

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠程代碼執(zhí)行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。該漏洞是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯誤信息。導致遠程攻擊者可通過發(fā)送惡意的數(shù)據(jù)包，利用該漏洞在受影響服務器上執(zhí)行任意命令。

環(huán)境準備

1. 準備好str045攻擊漏洞的war包, str.war

2. 準備好攻擊腳本st2.py

被攻擊主機：

在被攻擊的linux主機中安裝jdk和tomcat

將st2.war文件放入tomcat的webapps目錄下

啟動tomcat

使用瀏覽器訪問http://ip:8080/st2/index.action 其中ip為被攻擊的地址，如果出現(xiàn)welcome的字樣，表示被攻擊主機的漏洞環(huán)境部署成功

攻擊主機

將攻擊腳本st2.py拷貝至攻擊主機中

測試方法

1. 在管理中心添加并部署被攻擊主機

2. 確認被攻擊主機的安全策略的有針對str045漏洞的入侵防御規(guī)則

3. 在攻擊主機中運行st2.py，并輸入相關參數(shù)，讓攻擊主機獲取被攻擊主機的管理員權限，并執(zhí)行添加用戶的命令， 如下所示，攻擊失敗，日志顯示Connection reset by peer

4. 管理中心能夠看到入侵防御日志

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學習； 我拉你進直播課程學習群，每周135晚上都是有實戰(zhàn)干貨的推廣引流技術課程免費分享！