4.5.1 添加登录白名单后,为什么还有异地登录告警?
HSS提供的“SSH登录IP白名单”、“登录白名单”和“异地登录”功能,功能差异如 表4-2所示。
表4-2 功能差异
功能名称 实现机制 屏蔽告警
SSH登录IP白
名单 将IP加入SSH登录IP白名单,
只允许白名单内的IP通过SSH 登录指定服务器。
须知
启用该功能时请确保将所有需要 发起SSH登录的IP地址都加入白 名单中。 入登录白名单,HSS将不会对该IP 的“账户暴力破解”登录事件进行
与“常用登录IP”,HSS将不会对 来自“常用登录地”和“常用登录 IP”的登录行为进行异地告警。
4.5.2 如何查看异地登录的源 IP?
告警策略
异地登录检测功能实时检测您服务器上的异地登录行为,您配置常用登录地后,对于 在非常用登录地的登录行为HSS会立即进行告警。
在控制台查看异地登录记录
步骤1 登录管理控制台。
步骤2 在页面左上角选择“区域”,单击 ,选择“安全与合规 > 企业主机安全”,进入 企业主机安全页面。
图4-22 企业主机安全
步骤3 单击“账户异常登录”,如图4-23所示。
图4-23 异地登录
----结束
本地查看登录记录
对于linux主机,您可以在“/var/log/secure”和“/var/log/message”路径下查看日 志,或使用last命令查看登录记录中是否有异常登录。
4.5.3 收到主机登录成功的告警,怎么处理?
● 若您在“实时告警通知”项目中勾选了“登录成功通知”选项,则任何账户登录 成功的事件都会向您实时发送告警信息。
● 若您所有ECS上的账户都由个别管理员负责管理,通过该功能可以对系统账户进行 严格的监控。
● 若系统账户由多人管理,或者不同主机由不同管理员负责管理,那么运维人员可 能会因为频繁收到不相关的告警而对运维工作造成困扰,此时建议您登录企业主 机安全服务控制台关闭该告警项。
● 登录成功并不代表发生了攻击,需要您确认登录IP是否是已知的合法IP。
4.5.4 是否可以关闭异地登录检测?
不可以关闭异地登录检测。
如果不想接收异地登录的告警通知,您可以将登录地点添加到常用登录地,或者取消 勾选告警通知,操作步骤如下所示。
● 在“常用登录地”页面,单击“添加常用地登录”,将登录地点添加到常用登录 地。添加到常用登录地的登录行为,HSS不会进行异地登录告警。
图4-24 添加常用登录地
● 在“安装与配置 > 告警通知”页签,取消勾选“每日告警通知”中的“异地登 录”和“实时告警通知”中的“账户异常登录”,如图4-25所示。
账户异常登录包含异地登录、发生账户被黑客破解并登录成功事件。如果取消勾 选“账户异常登录”告警通知的选项,当发生账户被黑客暴力破解时,您将不能 实时接收到账户破解的告警通知,请谨慎操作。
图4-25 取消勾选异地登录告警通知
4.5.5 如何确认入侵账号是否登录成功?
● 若已开启入侵检测告警通知,当有账号被破解,或有账号破解风险时,您会立即 收到告警通知。
● 也可以在“入侵检测”页面在线查看攻击IP的拦截情况。
● 若想进一步确定,可以在Linux主机上的“/var/log/secure”和“/var/log/
message”查看日志,或使用last命令查看是否有异常登录记录。