授权委托失败可以根据以下方法进行排查与解决。
● 使用子账号进行扫描
如果您登录华为云使用的是子账号,请确保该子账号所在的用户组拥有Agent Operator和Security Administrator这两个权限,否则扫描时会提示委托授权失 败。
● 使用企业账号(主账号进行扫描)(推荐)
如果用户使用的是主账号扫描还是提示委托失败,可能是因为委托数量到达了上 限。
查询委托数量是否达到上限:
a. 将鼠标移动至用户名,单击“统一身份认证”,如图3-1所示,进入“用户”
页面。
图3-1 统一身份认证
b. 单击“委托”,进入“委托”页面查看委托数量,如图3-2所示,最多可委托 10个。
图3-2 委托数量
1. 安全组和网络ACL访问限制。
2. 网络故障。
如果是网络故障的原因导致主机不能访问,请在网络恢复后重新进行主机扫描,如果 是因为安全组和网络ACL访问限制导致的主机不能访问,请您将以下VSS的扫描IP添加 至主机访问的白名单中:
119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,
139.9.114.20,119.3.176.1
3.7 主机扫描为什么会扫描失败?
问添加策略允许VSS的IP网段访问您的主机。– 主机IP被当成不信任IP被主机安全服务拦截,请参见解除拦截受信任的IP解除 主机IP封禁,并参见配置SSH登录IP白名单将您的主机IP配置为白名单。
3.8 主机扫描支持非华为云主机吗?
支持,但目前仅支持linux主机。
3.9 漏洞扫描服务支持哪些操作系统的主机扫描?
漏洞扫描服务支持扫描的主机操作系统版本如下:
支持的Linux操作系统版本,如表3-1所示。
表3-1 Linux 操作系统版本 分类 支持的OS类型
EulerOS EulerOS 2.2, 2.3 and 2.5 64bit
CentOS CentOS 6.5, 6.8, 6.9, 6.10, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8 and 7.9 (64 bit)
RedHat Red Hat Enterprise Linux 6.10 and 7.5 64bit Ubuntu Ubuntu 16.04 and 18.04 server 64bit
SUSE SUSE Enterprise 11 SP4 64bit, SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit, SUSE Enterprise 15 SP1/SP2 64bit
OpenSUS
E OpenSUSE 13.2 and 42.2 64bit
分类 支持的OS类型
Debian Debian 8.2.0, 8.8.0, 9.0.0, 10.0.0 64bit
3.10 如何修复扫描出来的主机漏洞?
– EulerOS:支持的最低系统版本为EulerOS 2.2。
– CentOS:支持的最低系统版本为CentOS 6.5。
– RedHat:支持的最低系统版本为Red Hat Enterprise Linux 6.10。
– Ubuntu:支持的最低系统版本为Ubuntu 16.04 server。
– SUSE:支持的最低系统版本为SUSE Enterprise 11 SP4。
– OpenSUSE:支持的最低系统版本为OpenSUSE 13.2。
– Debian:支持的最低系统版本为Debian 8.2.0。
有关物理服务器使用VSS的详细介绍,请参见物理服务器可以使用漏洞扫描服务吗?。
3.12 物理服务器可以使用漏洞扫描服务吗?
当您的物理服务器为Linux操作系统,且满足以下版本要求时,如果您的物理服务器可 以远程登录,则可以通过添加跳板机的方式使用漏洞扫描服务。
● EulerOS:支持的最低系统版本为EulerOS 2.2。
● CentOS:支持的最低系统版本为CentOS 6.5。
● RedHat:支持的最低系统版本为Red Hat Enterprise Linux 6.10。
● Ubuntu:支持的最低系统版本为Ubuntu 16.04 server。
● SUSE:支持的最低系统版本为SUSE Enterprise 11 SP4。
● OpenSUSE:支持的最低系统版本为OpenSUSE 13.2。
● Debian:支持的最低系统版本为Debian 8.2.0。
操作步骤
IP地址 添加主机的公网IP地址。 192.168.2.3是否使用跳板机 选择“是”。 是
跳板机 可在下拉框中选择已有跳板机,或
者单击“新增跳板机”,添加跳板 机。
-步骤6 新增跳板机。
1. 单击“新增跳板机”。
2. 在弹出的对话框中,设置跳板机参数,如图3-5所示,相关参数说明如表3-3所 示。
图3-5 添加跳板机
表3-3 跳板机配置参数说明
参数名称 参数说明
主机名称 添加的跳板机的主机名称。
公网IP 添加的跳板机的公网IP。
登录端口 添加的跳板机的登录端口。
选择登录方式 “密码登录”和“密钥登录”。
– 选择密码登录时,需要添加跳板机的用户名和密 码。
– 选择密钥登录时,需要添加跳板机的用户名、私钥 和私钥密码。
参数名称 参数说明
选择加密密钥 为了保护主机登录密码或密钥安全,请您必须使用加 密密钥,以避免登录密码或密钥明文存储和泄露风 险。
您可以选择已有的加密密钥,如果没有可选的加密密 钥,请单击“创建密钥”,创建VSS专用的默认主密 钥。
说明
● 如果需要修改已有SSH授权,单击“编辑”,进行修改。
● 如果需要删除已有SSH授权,单击“删除”,进行删除。
选择已有SSH授权,或者单击“创建SSH授权”创建SSH授权,如图3-7所示,参数说 明如表3-4所示。
图3-7 创建 SSH 授权
表3-4 参数说明
参数名称 参数说明
SSH授权别称 自定义SSH授权名称。
登录端口 SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端 口访问VSS。
选择登录方式 ● “密码登录”
● “密钥登录”
参数名称 参数说明
选择加密密钥 为了保护主机登录密码或密钥安全,请您必须使用 加密密钥,以避免登录密码或密钥明文存储和泄露 风险。
您可以选择已有的加密密钥,如果没有可选的加密 密钥,请单击“创建密钥”,创建VSS专用的默认 主密钥。
Root权限是否加固 打开该权限后,不可以用root账号直接登录,而只 能通过普通用户登录,然后才能切换到root用户。
sudo用户名 默认为root。
sudo密码 设置sudo用户对应的密码,单击“加密保存”,对 密码进行加密保存。
步骤10 单击“确定”,完成主机授权。
----结束
3.13 如何创建 SSH 授权?
Linux主机支持“SSH授权登录”授权方式。
添加Linux主机后,请参照以下操作步骤创建SSH授权。
步骤1 登录管理控制台。
步骤2 选择“服务列表 >安全与合规 > 漏洞扫描服务”,进入漏洞扫描服务管理控制台。
步骤3 在左侧导航栏,选择“资产列表 > 主机”。
步骤4 批量选择需要配置的主机,单击“批量操作 > 编辑”,进入批量授权入口,如图3-8所 示。
图3-8 进入批量授权入口
说明
用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“编辑”。
步骤5 在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”,如图3-9所 示。
说明
● 用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“配置授权信息”。
● 如果需要修改主机名称,单击 ,在弹出的对话框中,进行修改。
图3-9 批量授权
步骤6 选择已有SSH授权,或者单击“创建SSH授权”创建SSH授权,如图3-10所示,参数说 明如表3-5所示。
图3-10 创建 SSH 授权
表3-5 参数说明
参数名称 参数说明
SSH授权别称 自定义SSH授权名称。
登录端口 SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端 口访问VSS。
选择登录方式 ● “密码登录” 密钥,请单击“创建密钥”,创建VSS专用的默认 主密钥。
Root权限是否加固 打开该权限后,不可以用root账号直接登录,而只 能通过普通用户登录,然后才能切换到root用户。
sudo用户名 默认为root。
sudo密码 设置sudo用户对应的密码,单击“加密保存”,对 密码进行加密保存。
步骤7 阅读《华为云漏洞扫描服务声明》后,勾选“我已阅读并同意《华为云漏洞扫描服务 声明》”,单击“确定”,完成Linux主机授权。
----结束
3.14 配置主机授权时,必须使用加密密钥吗?
在创建SSH授权登录(Linux主机)时,为了保护主机登录密码或密钥安全,请您必须 使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建 VSS专用的默认主密钥。
有关配置主机授权的详细操作,请参见如何对主机进行授权?。
须知
● 您也可以在数据加密服务的以下区域创建密钥:
● 华北-北京一
● 华南-广州
● 华东-上海二
有关创建密钥的详细操作,请参见创建密钥。
● 使用数据加密服务需要单独计费,详细的服务资费和费率标准,请参见价格详情。
3.15 创建 SSH 授权时,如何设置登录端口?
在为Linux主机创建SSH授权登录时,需要设置登录端口,如图3-11所示。
在设置登录端口时,请确保安全组已添加该端口,以便主机可通过该端口访问VSS。
图3-11 设置登录端口
3.16 如何扫描修改了 IP 地址的主机?
如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地 重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服 务可以访问该主机。
有关对主机进行授权的详细操作,请参见如何对主机进行授权?。
3.17 对主机扫描出的漏洞执行“忽略”操作有什么影响?
3.18 主机扫描可以关闭基线检查吗?
主机扫描不能关闭基线检查。如果您确认基线检查扫描出的检查项不会对主机造成危 害,您可以在目标检查项所在行的“操作”列,单击“忽略”,忽略该检查项,相应 的检查项统计结果将发生变化,扫描报告中也不会出现该检查项。
3.19 基线检查的风险个数是如何统计的?
基线检查结果中“未通过”的检查项的总数即为基线检查的风险个数。
3.20 等保合规的检查项可以忽略吗?
可以。
● 如果您确认扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行的
“操作”列,单击“忽略”,忽略该检查项,后续执行扫描任务会扫描出该漏 洞,但相应的检查项统计结果将发生变化,扫描报告中也不会出现该检查项。
● VSS目前仅企业版用户支持等保合规检测,如果您需要对您的主机进行等保合规检 测,请购买企业版。
3.21 基线检查总数与检查项数不一致,为什么?
VSS目前仅支持扫描一个tomcat进程,当目标主机有多个tomcat进程时,基线检查的 总扫描数与检查项显示的个数不一致。
请您保留一个tomcat进程后,重新对该目标主机进行扫描。
3.22 配置普通用户和 sudo 提权用户漏洞扫描失败案例
默认情况下,Linux系统没有将普通用户列入到sudoer列表中(普通用户 is not in the sudoers file. This incident will be reported.):
1. 登录系统并切换到root权限。
2. 输入#vi /etc/sudoers,就会打开sudoers配置文件。
3. 在配置文件末尾添加:普通用户名 ALL=(ALL:ALL) ALL,输入 :wq! ,保存修改。
说明
● 使用VSS的sudo提权扫描功能时,认证凭据输入位置的“普通用户密码”和“sudo密码”请 保持一致,均为“普通用户”的密码。
● 扫描完成后,请还原配置。
3.23 如何配置跳板机进行内网扫描?
图3-12 网络示意图
创建扫描任务,IP地址栏填写小网IP;添加跳板机配置,跳板机需有公网IP且与被测目 标的小网环境互通。
另外:跳板机需在ssh的配置文件“ /etc/ssh/sshd_config”添加:
AllowTcpForwarding yes,用于支持SSH授权登录转发。修改配置后需重启sshd服 务。
4 移动应用安全类
4.1 任务状态显示失败如何处理?
任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如 下:
表4-1 常见失败原因分析
失败原因分析 解决方案
应用文件解析异常 应用文件本身存在不完整、结构异常等 问题,导致服务无法正常解析。提供正
应用文件解析异常 应用文件本身存在不完整、结构异常等 问题,导致服务无法正常解析。提供正