价格体系_企业主机安全 HSS_常见问题_费用_华为云

(1)

常见问题

文档版本 38

发布日期 2022-01-29

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^产品咨询

1.1 什么是企业主机安全？

企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。

工作原理

在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

企业主机安全服务的工作原理如图1-1所示。

图1-1 工作原理

企业主机安全服务的组件功能及工作流程说明如下：

(8)

表1-1 组件功能及工作流程说明

组件说明

管理控制台可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。

HSS云端防护中心 ● 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。

● 集成多种杀毒引擎，深度查杀主机中的恶意程序。

● 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。

● 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。

Agent ● Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。

● 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。

● 根据您配置的安全策略，阻止攻击者对主机的攻击行为。

说明

● 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。

● Agent可安装在华为云弹性云服务器（Elastic Cloud Server，

ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。

● 根据操作系统版本选择对应的安装命令/安装包进行安装。

● 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

1.2 哪些区域可以使用 HSS？

以下区域支持HSS服务：

● 华北-北京一

● 华北-北京四

● 华东-上海一

● 华东-上海二

● 华南-广州

● 西南-贵阳一

仅在以下区域，您才可以接入非华为云主机：

● 华北-北京一

● 华东-上海二

(9)

● 华南-广州

● 华北-北京四

表1-2 配额购买场景

主机类型如何购买配额

华为云弹性云服务器ECS 华为云裸金属服务器 BMS

华为云云耀云服务器

请在ECS/BMS/HECS所在区域购买HSS配额。

第三方云主机请在“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”这四个区域购买HSS配额，然后使用非华为云主机的安装方式，将主机接入配额所在区域。

线下主机

1.3 如何使用企业主机安全服务？

如使用企业主机安全请按照如下步骤进行操作：

步骤1 购买防护配额。

请购买对应版本的防护配额。

步骤2 安装Agent。

● 安装Agent后，您才能开启企业主机安全服务。

● 基础版、企业版和网页防篡改版共用一个Agent。

步骤3 （可选）设置告警通知。

开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。

步骤4 开启主机防护。

● Agent安装成功后，您可以为主机开启安全防护。

● 开启企业主机安全服务时，您需为指定的主机分配一个配额，关闭企业主机安全服务或删除主机后，该配额可被分配给其他的主机使用。

步骤5 查看检测结果并处理相关风险。

----结束

1.4 企业主机安全支持版本升级吗？

企业主机安全支持版本升级。

(10)

升级版本

如果您已购买“基础版”或者“企业版”防护配额，且您当前防护配额的版本无法满足您的业务需求，您可以根据需要将企业主机安全服务的版本升级为“企业版”、

“旗舰版”或者“网页防篡改版”。

详细信息请参见升级版本规格。

切换版本

基础版、企业版、旗舰版和网页防篡改版是独立的版本，如果各版本有充足的配额，

你可以通过“切换版本”的方式切换使用的防护配额。

● 如果购买了充足的基础版、企业版、旗舰版配额。可以通过“切换版本”的方式在版本间轻松切换。

您可以在“管理控制台 > 主机管理 > 云服务器”页面，在“操作”列中，单击

“开启防护”，为主机切换为基础版、企业版或者旗舰版主机安全防护。

详情请参见开启基础版/企业版/旗舰版防护章节的版本切换。

● 如果没有基础版、企业版或者旗舰版对应的配额，请根据需要购买配额。

● 如果待开启“网页防篡改”防护的主机已开启基础版/企业版/旗舰版主机安全防护，如需使用“网页防篡改版”，请先关闭基础版/企业版/旗舰版主机安全防护，

购买“网页防篡改版”主机安全配额后，选择并开启网页防篡改版主机安全防护。

购买网页防篡改版时赠送旗舰版，开启网页防篡改防护时会同步开启旗舰版防护。

1.5 HSS 是否支持防护本地 IDC 服务器？

支持。

若您的本地服务器能连接到公网，就可以使用企业主机安全对其进行防护。

1.6 HSS 是否和其他安全软件有冲突？

企业主机安全可能会和“DenyHosts”、“网防G01”或“360安全卫士服务器版”冲突。

Agent 软件可能与“DenyHosts”有冲突

详情请参见：Agent是否和其他安全软件有冲突？

双因子认证功能可能与“网防 G01”或“360 安全卫士服务器版”冲突

开启企业主机安全服务的Windows主机，在使用双因子认证功能时，可能会和“网防 G01”软件或360安全卫士服务器版的登录认证功能产生冲突，您可以根据实际情况，

选择使用华为云企业主机安全服务的双因子认证功能、“网防G01”或“360安全卫士服务器版”的登录认证功能。

(11)

1.7 HSS 与 VSS、WAF 有什么区别？

华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。

表1-3 HSS、VSS、WAF 的区别 服务名称所属分

类防护对象功能差异

企业主机安全

（HSS）主机安全

提升主机整体安全

性。 ● 资产管理

● 漏洞管理

● 入侵检测

● 基线检查

● 网页防篡改漏洞扫描服务

（VSS）应用安全

提升网站整体安全

性。 ● 多元漏洞检测

● 网页内容检测

● 网站健康检测

● 基线合规检测 Web应用防火

墙（WAF）应用安

全保护Web应用程序的可用性、安全性。

● Web基础防护

● CC攻击防护

● 精准访问防护

1.8 HSS 可以跨帐号使用吗？

不支持帐号与帐号之间共享使用。

若您未开通企业项目，支持同一帐号下多个IAM用户、及帐号与该帐号下IAM用户共享使用。

同一帐号下多个 IAM 用户共享使用

例如：您创建了1个帐号（“Domain”），“Domain”下有2个IAM用户（“user1”

和“user2”）。

当“user1”购买了HSS，如果“user2”授权了HSS Administrator权限，则“user2”

也可以使用HSS。

(12)

图1-2 同一帐号下多个 IAM 用户共享使用

有关HSS权限管理的详细操作，请参见创建用户并授权使用HSS。

帐号与该帐号下的 IAM 用户共享使用

例如：您创建了1个帐号（“Domain”），“domain”帐号下有1个IAM用户

（“user2”）。

● 当“Domain”购买了HSS，如果“user2”授权了HSS Administrator权限，则

“user2”也可以使用HSS。

图1-3 帐号与该帐号下的 IAM 用户共享使用（1）

有关HSS权限管理的详细操作，请参见创建用户并授权使用HSS。

。

● 当“user2”购买了HSS，则“Domain”也可以使用HSS。

(13)

图1-4 帐号与该帐号下的 IAM 用户共享使用（2）

1.9 什么是 HSS 的 Agent？

Agent是企业主机安全服务（Host Security Service，HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。

Agent分为Linux版本和Windows版本，您需要根据主机的OS版本，选择对应版本进行安装。主机上安装Agent，并开启HSS防护后，即可获得HSS提供的主机防护功能。

Agent 的作用

● 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息上报给云端防护中心。

● 根据您配置的安全策略，阻止攻击者对主机的攻击行为。

说明

● 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。

● Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）/云耀云服务器（Hyper Elastic Cloud Server，HECS）、线下主机以及第三方云主机中。

● 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

Linux Agent 相关进程

Agent进程运行账号：root。

Agent包含以下进程：

表1-4 Linux Agent 包含以下进程

Agent进程名称 进程功能进程所在路径

hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。

/usr/local/hostguard/bin/

hostguard

upgrade 该进程用于Agent版本的升

级。 /usr/local/hostguard/bin/

upgrade

(14)

Windows Agent 相关进程

Agent进程运行账号：system。

Agent包含以下进程：

表1-5 Windows Agent 包含以下进程

Agent进程名称 进程功能进程所在路径

HostGuard.exe 该进程用于系统的各项安全

检测与防护。 C:\Program Files (x86)\HostGuard

\HostGuard.exe HostWatch.exe 该进程用于Agent进程的守

护和监控。 C:\Program Files (x86)\HostGuard

\HostWatch.exe upgrade.exe 该进程用于Agent升级。 C:\Program Files

(x86)\HostGuard\upgrade.exe

1.10 HSS 可以跨区域使用吗？

不支持跨区域使用。

如果您购买了与主机不在同一区域的配额，请退订配额后重新购买主机所在区域的配额。

1.11 业务不在华为云上，是否可以使用 HSS？

支持将HSS的Agent安装在华为云ECS服务器、BMS服务器、线下主机以及第三方主机中，您可以集中管理同一区域内多样化部署的主机。

由于主机的性能差异，非华为云的主机与企业主机安全服务的兼容性可能较差，为使您获得良好的服务体验，建议您使用华为云主机。

非华为云主机需要能通过公网IP访问华为云，才能接入HSS。请根据您的操作系统安装 Agent，并接入HSS。

安装 Linux Agent

登录待安装Agent非华为云主机，使用安装命令在线安装Agent。

步骤1 登录管理控制台。

步骤2 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。

(15)

图1-5 企业主机安全

步骤3 在左侧导航栏中，选择“安装与配置”，进入“安装Agent”界面，复制安装Agent的命令。

图1-6 复制安装 Agent 的命令

步骤4 远程登录待安装Agent的非华为云主机。

请使用远程管理工具（例如：“Xftp”、“SecureFX”、“WinSCP”）登录主机，并使用root帐号在主机中安装Agent。

步骤5 粘贴复制的安装命令，并按“Enter”，在主机中安装Agent。

若界面回显信息与如下信息类似，则表示Agent安装成功。

Preparing... ########################## [100%]

1:hostguard ########################## [100%]

Hostguard is running.

Hostguard installed.

步骤6 使用service hostguard status命令，查看Agent的运行状态。

若界面回显如下信息，则表示Agent服务运行正常。

(16)

Hostguard is running

----结束

安装 Windows Agent

有两种安装方式，以下步骤演示方式一。

● 方式一：下载企业主机安全服务的Agent，上传至待安装Agent的云主机后，在云主机中安装Agent。

● 方式二：登录待安装Agent的云主机，在云主机中登录华为云管理控制台，下载并安装Agent。

步骤3 在左侧导航栏中，选择“安装与配置”，进入“安装Agent”界面，下载Agent安装包。

(17)

图1-8 安装 Windows Agent

步骤4 远程登录待安装Agent的非华为云主机。

请使用Windows系统的“远程桌面连接”工具，或第三方远程管理工具（如：

“pcAnywhere”、“UltraVNC”）登录主机，并使用管理员帐号在主机中安装 Agent。

步骤5 将Agent安装包上传到待安装Agent的主机中。

步骤6 使用管理员权限运行Agent安装程序。

安装Agent时，在主机类型界面，选择主机类型。

非华为云主机：请选择“其他云主机”。请从安装Agent界面复制组织ID，如图1-9所示。

(18)

图1-9 选择主机类型（非华为云主机）

图1-10 获取组织 ID（非华为云主机）

步骤7 安装完成后，在“Windows任务管理器”中查看进程“HostGuard.exe”和

“HostWatch.exe”，如图1-11所示。

若进程不存在，则表示Agent安装失败，请尝试重新安装Agent。

(19)

图1-11 查看 Agent 运行状态

----结束

1.12 HSS 是否支持线下多台服务器共用一个公网 IP？

HSS不支持线下多台服务器共用一个公网IP地址的情况。与HSS绑定的每一个服务器均需要一个公网IP地址。

1.13 购买什么版本的 HSS 能够满足等保二级的整改要求？

您需要买企业版、旗舰版或者网页防篡改版才能满足等保二级的整改要求，基础版的功能无法满足整改要求。

1.14 使用 HSS 后，是否还需要安装杀毒软件？

企业主机安全和杀毒软件的功能不相同。

企业主机安全重点在于防攻击，可以发现恶意程序，HSS针对勒索病毒提供了防勒索解决方案，帮助您从勒索病毒入侵前、入侵时和入侵后全方位应对勒索病毒，详情请参见防勒索病毒概述。

你可通过创建防护策略来防止您的主机被勒索病毒侵害。

同时您可以安装杀毒软件，作为企业主机安全的补充。

(20)

1.15 HSS 与 SA 的基线检查有什么区别？

HSS基线检查主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，

并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息，降低入侵风险并满足安全合规要求。

SA基线检查支持对华为云云服务的关键配置项进行检测，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

表1-6 HSS 与 SA 基线检查的区别

类别 HSS SA

检测

对象 ● 华为云弹性云服务器（Elastic Cloud Server，ECS）

● 华为云裸金属服务器（Bare Metal Server，BMS）

● 华为云云耀云服务器（Hyper Elastic Cloud Server，HECS）

● 第三方云主机

● 线下主机

● 统一身份认证（Identity and Access Management，IAM）

● 弹性负载均衡（Elastic Load Balance，ELB）

● 云审计服务（Cloud Trace Service，CTS）

● 弹性云服务器（Elastic Cloud Server，ECS）

功能 ● 口令复杂度策略检测

检测系统中的口令复杂度策略，

给出修改建议，帮助用户提升口令安全性。

● 经典弱口令检测

检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。

● 配置检测

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。

● 身份与访问管理

检测是否启用IAM用户、检测IAM 用户是否启用AK/SK认证，检测 IAM用户是否开启登录保护，检测IAM用户是否开启操作保护、

检查IAM密码策略和IAM登录验证策略配置，以及检查IAM用户会话超时策略和帐号停用策略的配置。

● 检测检测ELB健康状态以及是否启用 CTS。

● 基础设施防护

检测安全组入方向规则和高危端口、远程管理端口暴露配置，检测是否启用秘钥对登录ECS，以及检测日志指标过滤和告警事件配置。

● 数据保护

检测ELB证书有效性。

1.16 HSS 可以添加黑名单 IP 吗？

HSS暂不支持手动添加黑名单IP，HSS的账户暴力破解防护功能已具备全网IP黑名单功能。

(21)

当发现暴力破解主机的行为，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。若被拦截的IP在超过默认拦截时间后，没有再被继续攻击，系统自动解除拦截。

1.17 主机重装系统后，HSS 防护功能是否需要手动开启？

购买主机时，若勾选了主机安全服务，主机重装系统后，HSS的Agent会自动安装并开启防护。

购买主机时，若未勾选主机安全服务，主机重装系统后，需要您为主机安装Agent并在HSS管理控制台上开启防护。

更多主机安全防护配置，请参见安全配置、高级防御。

1.18 HSS 的恶意程序检测周期、隔离查杀是多久一次？

检测周期：实时检测。

隔离查杀周期：

● 已开启自动隔离查杀：系统实时查杀（出现告警，立刻自动查杀）。

● 未开启自动隔离查杀：需人工查杀，逐一处理。

须知

1. HSS的隔离查杀支持对“恶意程序（云查杀）”和“进程异常行为”实时检测的告警进行查杀，检测能力详情请参见服务版本差异。

2. HSS隔离查杀分为自动隔离查杀和人工隔离查杀。

● 开启自动隔离查杀：详情请参见安全配置中的“开启恶意程序隔离查杀”章节。

● 人工隔离查杀：操作详情请参见管理文件隔离箱中的“选择隔离查杀”章节。

1.19 HSS 的病毒库、漏洞库多久更新一次？

更新周期：即时发现，即时更新。

漏洞库：当Windows或Linux官网有补丁发布时，企业主机安全服务产品的相关负责人会在第一时间同步更新企业主机安全服务的漏洞库。

病毒库：当后台发现新型病毒后，企业主机安全服务产品的相关负责人会在第一时间同步更新企业主机安全服务的病毒库。

1.20 每台 ECS 都需要配置部署主机安全服务吗？

建议您的云上主机全部部署主机安全服务。

全部部署后可有效防止未防护主机感染的勒索、挖矿等病毒传染给其他主机，导致企业网整体沦陷。

(22)

不同服务版本区别及防护能力详情请参见服务版本差异。

购买防护配额的约束限制和操作详情请参见购买防护配额。

1.21 开启 HSS 基础版（免费）防护及说明

说明

1. HSS基础版为免费使用版本，默认免费赠送，无需单独购买。

2. 若使用防护版本为“包年/包月”的基础版，到期后将自动转为“按需计费”的基础版，转换后不收费，继续享受免费的基础版防护功能。

3. 开启防护选择基础版的“包年/包月”出现配额不足时，选择“按需计费”的基础版即可，同样享受免费的基础版防护功能。

4. 基础版防护没有可用时长限制，可持续免费使用。

开启 HSS 基础版防护

场景定位开启渠道

开启方式

开启步骤校验开启状

态

对即将需要购买的ECS 或HECS开启防护

在ECS 或HECS 控制台购买时开启

（建议方案）

自动配置执行开启

● 在您购买ECS时，勾选“开通主机安全”，并选择主机安全的“基础版”，HSS会自动为该ECS安装 Agent并开启“基础版（按需计费）”防护。

购买配置详情请参见购买参数配置，开启主机安全请参见开启主机安全。

● 在您购买HECS时，勾选“主机安全基础班”，HSS会自动为该HECS安装Agent并开启“基础版（按需计费）”防护。

购买配置详情请参见购买参数配置，开启主机安全请参见开启主机安全。

开启后可在开启防护列表查看防护情况。

对已经购买的服务器进行开启（购买时或购买后未开启主机安全防护）

在HSS 控制台开启

手动配置执行开启

在HSS控制台进行手动安装Agent后开启基础版防护。

1. 安装Linux版本/Windows版本的 Agent。

2. Agent安装完成后开启主机防护。

若需开启告警通知，详情请参见设置告警通知。

开启基础版防护更多详细操作详情请参见主机安全“基础版（免费）”。

(23)

1.22 HSS 的数据传输实现原理是什么？

端口使用：HSS采用企业主机安全服务端的443端口，Agent使用的是随机端口通信，

Agent可以通过任意端口将数据传输到HSS的443端口。

传输方式：HSS是通过IP的方式进行传输，监控的Agent是通过DNS的方式传输，传输过程不会产生数据丢失的情况。

(24)

2 ^{购买 HSS}

2.1 ECS 如何享受免费的 HSS 防护？

新购买 ECS

● 在新购买华为云ECS时，勾选“开通主机安全”，并选择主机安全的“基础版”或者“企业版”，HSS会自动为该ECS安装Agent，并开启“基础版”或者“企业版”防护。

购买ECS时，参数选择说明如表2-1所示。

表2-1 参数选择说明 ECS计

费模式选择HSS 自动开启HSS防护 HSS计费 包年/

包月

基础版基础版（按需）免费

按需计费

“基础版”或者“企业版”

“基础版（按需）”或

者“企业版（按需）” ● 基础版（按需）：免费

● 企业版（按需）：按实际使用的时长收费。

目前，仅支持“华北-北京一”、“华北-北京四”、“华东-上海一”、“华东-上海二”、“华南-广州”、“西南-贵阳一”区域，其他区域敬请期待。

● 若“基础版”或者“企业版”不满足您的业务需求，您也可以购买其他版本配额。关闭“基础版（按需）”或者“企业版本（按需）”防护后，开启更高级的防护。

已购买 ECS

● 若已购买ECS，且购买时没有“开通主机安全”，您需要在ECS上手动安装 Agent，并手动开启“基础版（按需）”防护。您可以持续享受免费的主机安全

“基础版（按需）”服务，如图2-1所示。

(25)

图2-1 开启基础版（按需）防护

● 若“基础版（按需）”不满足您的业务需求，您也可以购买其他版本配额。关闭

“基础版（按需）”防护后，开启更高级的防护。

2.2 购买 ECS 时，为什么无法选择免费的企业主机安全防护？

购买ECS时，仅当选择HSS支持的操作系统版本，才能选择免费的HSS基础版对ECS进行安全加固。

HSS支持的操作系统版本如下所示。

须知

已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，

建议重装或者升级为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。

● 企业主机安全服务支持的华为云主机Linux系统版本如表2-2和表2-3所示。

表2-2 Linux 系统版本（X86 计算）

序号支持的OS类型

1 CentOS：6，7 and 8 (64 bit)

2 Debian：7，8，9 and 10 (32/64 bit) 3 EulerOS：2.2，2.3 and 2.5 (64 bit) 4 Fedora：24，25，and 30 (64 bit)

(26)

5 OpenSUSE：13.2，15.0 and 42.2 (64bit)

6 Ubuntu：14.04，16.04，18.04 and 20.04 (32/64 bit) 7 Gentoo：13.0 and 17.0 (64 bit)

8 Oracle Linux：6.9 and 7.4 (64bit)

表2-3 Linux 系统版本（鲲鹏计算）

1 CentOS：7.4，7.5，7.6，8.0 64bit with ARM(40GB) 2 EulerOS：2.8 64bit with ARM(40GB)

3 Fedora：29 64bit with ARM(40GB) 4 OpenSUSE：15.0 64bit with ARM(40GB) 5 Ubuntu：18.04 64bit with ARM(40GB)

● 企业主机安全服务支持的华为云主机Windows系统版本如表2-4所示。

表2-4 Windows 系统版本

序号支持的OS类型使用限制说明

1 Windows Server 2019 数据中心版 64位英文

(40GB) 若服务器安装了

McAfee软件、360 安全卫士、腾讯管家等第三方安全防护软件，请先停止第三方安全防护软件的防护功能，待 Agent安装完成后再开启。

2 Windows Server 2019 数据中心版 64位简体中文(40GB)

3 Windows Server 2016 标准版 64位英文 (40GB)

4 Windows Server 2016 标准版 64位简体中文 (40GB)

5 Windows Server 2016 数据中心版 64位英文 (40GB)

6 Windows Server 2016 数据中心版 64位简体中文(40GB)

7 Windows Server 2012 R2 标准版 64位英文 (40GB)

8 Windows Server 2012 R2 标准版 64位简体中文(40GB)

(27)

序号支持的OS类型使用限制说明 9 Windows Server 2012 R2 数据中心版 64位

英文(40GB)

10 Windows Server 2012 R2 数据中心版 64位简体中文(40GB)

2.3 如何扩充 HSS 防护配额

按需计费

按需计费的的用户，登录企业主机安全控制台，选择“主机管理”，在“云服务器”

列表中，选择所需开启安全防护的主机，单击“开启防护”，在“开启防护”对话框中，“计费模式”选择“按需计费”，选择“主机安全版本”，开启主机防护即可。

包年/包年

包年/包月的用户，登录企业主机安全控制台，购买防护配额后。在“云服务器”列表，选择所需开启安全防护的主机，单击“开启防护”，在“开启防护”对话框中，

“计费模式”选择“包年/包月”，选择“主机安全版本”、“分配配额”，开启主机防护即可。若当前的版本不满足您的业务需求，您可以切换主机版本，详细操作步骤请参见切换主机安全版本。

说明

购买ECS/HECS，免费赠送HSS基础版，无时长限制。

(28)

3 ^{开通与配置}

3.1 Agent

3.1.1 购买 HSS 后会自动安装 Agent 吗？

新购 ECS 时，勾选“开通主机安全”

在新购买华为云ECS时，勾选“开通主机安全”，并选择主机安全的“基础版”或者

“企业版”，HSS会自动为该ECS安装Agent，并开启“基础版”或者“企业版”防护。

● “计费模式”选择的“包年/包月”，您只能选择主机安全“基础版”，并开启

“基础版”防护（持续免费，更多信息请参见ECS如何享受免费的HSS防护？）。

● “计费模式”选择的“按需计费”，您可以选择“基础版”或者“企业版”，

HSS自动为该ECS开启“基础版”或者“企业版”防护。

目前，仅支持“华北-北京一”、“华北-北京四”、“华东-上海一”、“华东-上海二”、“华南-广州”、“西南-贵阳一”区域，其他区域敬请期待。

若基础版或者企业版不满足您的业务需求，您可以购买其他版本配额，获取更高级的防护（不需要重新安装Agent）。各版本的差异请参见服务版本。

其他情况

不会自动安装Agent，需要手动安装Agent、手动开启防护。

3.1.2 如何安装 Agent？

● 华为云主机

– Linux客户端，请参见安装Linux版本Agent。

– Windows客户端，请参见安装Windows版本Agent。

● 非华为云主机

– Linux客户端，请参见安装Linux版本Agent。

– Windows客户端，请参见安装Windows版本Agent。

(29)

3.1.3 如何批量安装 Agent？

Windows 操作系统

windows操作系统可以使用镜像的方式批量安装Agent，操作步骤如下：

步骤1 购买华为云弹性云服务器，选定所需使用的Windows系统镜像，详细操作请参见购买华为云弹性云服务器。

步骤2 在购买的弹性云服务器中安装HSS Agent，详细操作请参见在华为云主机中安装 Windows版本客户端。

说明

除在主机中安装HSSAgent外，请勿开启其他服务或执行相关配置操作。

步骤3 在任务管理器中关闭HostGuard进程。

步骤4 删除“C:\Program Files(x86)\HostGuard\config\agentinfo”下的文件。

步骤5 关闭弹性云服务器，使用该弹性云服务器制作镜像，详细操作请参见创建镜像。

说明

关闭弹性云服务器后，在制作镜像前，请勿重启弹性云服务器，否则您需重新执行步骤3和步骤 4。

步骤6 使用步骤5制作的镜像为Windows弹性云服务器批量安装Agent。

----结束

Linux 操作系统

Linux操作系统可以通过如下两种方式批量安装Agent：

方法一：使用脚本批量安装Agent 前提条件

批量安装脚本需要使用ansible工具，需要被控端满足以下条件：

● 被控端当前用户与主控端用户一致。

● 被控端和主控端做过ssh免密交换。

● ansible主控端配置有忽略ssh登录验证。

操作步骤

步骤1 下载批量安装脚本，如图3-1所示。

(30)

图3-1 下载批量安装脚本

步骤2 收集待安装主机（被控端）的IP、ssh用户名、ssh密码、root密码。

步骤3 把主机IP、ssh用户名、密码、root密码按顺序保存在一个文本文件中（utf-8编码），

文档格式unix格式（可以使用notepad++进行编辑），空格分隔，每行一个记录，最后一行以换行结尾，如“hostinfo.txt”，格式参考如下：

例：现在有两台待安装主机，主机A：192.168.1.101，ssh登录用户名为root，root密码为“123456”，另一台主机B：192.168.1.102，ssh登录用户名为test，test的密码为“test123”，root的密码为“123456”，则文件的内容如图3-2所示：

图3-2 示例

步骤4 找一台linux机器作为执行机（主控端：建议4U8G），该机器可以通过ssh（22端口）

连接待安装主机。

步骤5 在执行机上执行ansible，检查是否已安装ansible，如果没有请安装ansible。

步骤6 把主机信息配置文件hostinfo.txt和Agent安装脚本（deploy-ansible-expect）上传到执行机（放在同一个目录下）。

步骤7 执行sh config.sh hostinfo.txt命令，生成ansible需要的配置信息文件hosts。

步骤8 执行chmod u+x install.sh; ./install.sh完成批量安装。

----结束

(31)

说明

1. ansible脚本是默认使用su来切换root，但是有些机器su无法切换成root。如果执行结果有因为权限失败的，可以尝试修改安装脚本里面的hosts文件，将ansible_become_method=su改为ansible_become_method=sudo，保存后重新执行install.sh。

2. 部分机器在使用ansible安装的时候可能出现如下图的错误提示（在ubuntu16上发现过该错误），原因是目标机器上没有默认的python。可以选择以下两种方法进行规避。

1. 可以参照如何安装Agent？手动安装。

2. 登录目标机器设置默认python。

可以执行sudo update-alternatives --install /usr/bin/python python /usr/bin/

python3 10

也可以执行ln -s /usr/bin/python3 /usr/bin/python(ln -s /usr/bin/

python2 /usr/bin/python) 方法二：使用镜像批量安装Agent

步骤1 购买华为云弹性云服务器，选定所需使用的Linux系统镜像，详细操作请参见购买华为云弹性云服务器。

步骤2 在购买的弹性云服务器中安装HSSAgent，详细操作请参见在华为云主机中安装Linux Agent。

说明

除在主机中安装HSSAgent外，请勿开启其他服务或执行相关配置操作。

步骤3 在服务器中关闭HSS进程。

使用ps -ef命令确定HSS的PID，使用kill -pid命令关闭Linux系统中的hostguard进程。

步骤4 删除配置文件。

使用rm -rf命令，删除linux系统中“/usr/local/hostguard/conf/agentinfo”下的文件。

步骤5 关闭弹性云服务器，使用该弹性云服务器制作镜像，详细操作请参见创建镜像。

说明

关闭弹性云服务器后，在制作镜像前，请勿重启弹性云服务器，否则您需重新执行步骤3和步骤 4。

步骤6 使用步骤5制作的镜像为Linux弹性云服务器批量安装Agent。

----结束

3.1.4 如何使用命令行方式安装 Agent（Windows 操作系统）？

前提条件

● 待安装Agent所在的线上主机需要与网段相通，服务器安全组出方向需设置允许访问100.125.0.0/16网段的443端口。

(32)

操作步骤

步骤1 使用具有“管理员”权限的账号（例如，administrator）登录Windows弹性云服务器。

步骤2 在浏览器地址栏输入Agent安装包地址，下载并解压缩安装包。

表3-1 安装包下载路径

名称格式下载路径

Windows

Agent安装包 zip 华北-北京一：https://hostguard-agent.obs.cn- north-1.myhuaweicloud.com/windows/HSS- WindowsAgentSetup_x86.zip

华北-北京四：https://hss-agent-bj04.obs.cn- north-4.myhuaweicloud.com/windows/HSS- WindowsAgentSetup_x86.zip

华东-上海一：https://obs.cn-

east-3.myhuaweicloud.com/hss-agent-sh01/

windows/HSS-WindowsAgentSetup_x86.zip 华东-上海二：https://hss-agent-sh02.obs.cn- east-2.myhuaweicloud.com/windows/HSS- WindowsAgentSetup_x86.zip

华南-广州：https://hss-agent-gz01.obs.cn- south-1.myhuaweicloud.com/windows/HSS- WindowsAgentSetup_x86.zip

西南-贵阳一：https://obs.cn-

southwest-2.myhuaweicloud.com/hss-agent- gy01/windows/HSS-

WindowsAgentSetup_x86.zip

步骤3 运行“CMD命令提示符”，找到安装包所在路径。

步骤4 执行.\hostguard_setup.exe /silent命令，完成安装Agent。

安装Agent成功后，建议删除Agent的安装包。

----结束

3.1.5 Agent 是否和其他安全软件有冲突？

Agent可能会和DenyHosts这款软件产生冲突。

● 冲突表现：若登录主机的IP地址被识别为攻击IP，但是无法被“解封”。

● 冲突原因：企业主机安全服务和DenyHosts会同时封禁可能为攻击IP的登录IP地址，企业主机安全服务无法解封DenyHosts中封禁的IP地址。

● 处理方法：建议停止DenyHosts。

1. 以root用户登录ECS。

2. 执行以下命令，检查是否安装了DenyHosts。

ps -ef | grep denyhosts.py

若界面回显类似以下信息，则说明安装了DenyHosts。

(33)

3. 执行以下命令，停止DenyHosts。

kill -9 'cat /var/lock/denyhosts'

4. 执行以下命令，取消DenyHosts的自启动。

chkconfig --del denyhosts；

3.1.6 Agent 的默认安装路径是什么？

在Linux/Windows操作系统的主机中安装Agent时，安装过程中不提供安装路径的选择，默认安装在以下路径中，如表3-2所示。

表3-2 Agent 的默认安装路径

操作系统默认安装路径

Linux /usr/local/hostguard/

Windows C:\Program Files (x86)\HostGuard

3.1.7 如何筛选未安装 Agent 的主机？

步骤3 在主机管理页面，筛选未安装Agent的云服务器，如图3-4所示。

(34)

图3-4 筛选未安装 Agent 的主机

Agent状态，如下所示：

● 未安装：未安装Agent，或Agent已安装但未成功启动。

● 在线：Agent运行正常。

● 离线：Agent与HSS服务器通信异常，HSS无法提供安全防护功能。

单击“离线”，您可以查看Agent不在线的华为云主机列表，并查看“离线原因”。

----结束

3.1.8 Agent 安装失败应如何处理？

使用安装命令安装 Agent 失败

问题现象

使用命令安装失败，安装Agent后，控制台防护列表页面仍然显示“未安装”。

可能原因

解决方案

步骤1 确认是否已关闭主机Selinux防火墙。

(35)

● 已关闭：请执行步骤2。

● 未关闭：请关闭Selinux防火墙后重新安装。

步骤2 确认主机是否已绑定弹性IP。

● 是：请执行步骤3。

● 否：请绑定弹性IP后重新安装。

步骤3 请根据主机所在区域、主机操作系统，确认安装命令是否正确。

1. 正确地选择主机所在的区域，详细操作请参见“如何切换可用区域？”。

2. 根据主机操作系统复制正确的安装命令。

– 主机中32位的系统，只能使用32位系统对应的操作命令。

– 主机中64位的系统，只能使用64位系统对应的操作命令。

● 否：请使用正确的命令重新安装。

步骤4 确认安装账号是否为root帐号。

● 否：请使用root帐号重新安装。

步骤5 使用root账号卸载Agent后强制安装。

● 安装成功：结束操作。

● 安装失败：请联系技术支持。

----结束

使用脚本安装 Agent 失败

问题现象

安装Agent时报错，使用脚本安装Agent提示如下报错信息。

图3-5 报错信息

可能原因

DNS地址配置错误，DNS无法解析域名obs.myhuaweicloud.com。

解决方案

(36)

配置DNS完成后，重新执行安装脚本。操作步骤如下所示：

步骤1 执行以下命令，查看“resolv.conf”文件。

cat /etc/resolv.conf

步骤2 执行以下命令，ping域名，若回显如图3-6所示，请进行步骤3。

ping obs.myhuaweicloud.com

图3-6 域名无法 ping 通

步骤3 执行以下命令，打开“resolv.conf”文件。

vi /etc/resolv.conf

将如图3-7所示的部分替换成公共域名解析服务DNS常用的IP，如下所示：

nameserver DNS常用IP1 nameserver DNS常用IP2

图3-7 替换内容

步骤4 修改完成后，再次执行命令ping obs.myhuaweicloud.com，若回显信息类似如下，

说明域名已经ping通。

图3-8 域名 ping 通信息

(37)

步骤5 配置DNS完成后，请重新执行安装脚本。

----结束

Agent 安装失败案例

● 安装失败信息：install rpm package failed。

原因分析：安装包错误，需确认安装环境对应的安装包、参照的安装流程是否正确。

解决办法：

a. 参照如何卸载Agent？将已安装的Agent进行卸载。

b. 卸载后参照Linux版本或Windows版本重新安装Agent。

3.1.9 Agent 状态异常应如何处理？

Agent状态主要分为以下三种，若Agent的运行状态为“未安装”或者“离线”时，可能是Agent与服务器间通信异常。请参见本文进行排查。

● 未安装：主机从未安装Agent，或Agent已安装但未成功启动。

● 离线：Agent与服务器通信异常，主机中的Agent已被删除，或非华为云主机离线。

● 在线：主机内的Agent运行正常。

可能的原因

● 网络故障。

主机中的Agent和云端防护中心出现异常，如网卡故障、IP地址异变及带宽较低。

● Agent进程异常。

● 安装Agent后，不会立即生效，需要等待3~5分钟左右控制台才会刷新。

处理方法

步骤1 排查网络故障。

请确保您的云服务器所属安全组出方向设置允许访问100.125.0.0/16网段的443端口，

确保云服务器能正常访问网络。

待网络恢复正常后：

● 若Agent状态为“在线”，则故障清除。

● 若Agent状态仍为“未安装”或者“离线”，请执行步骤2。

步骤2 若长时间Agent状态仍为“未安装”或者“离线”，可能是Agent进程异常，需要登录主机，重启Agent进程。

● Windows操作系统

以管理员administrator权限登录主机，完成重启Agent。

(38)

图3-9 重启 Windows Agent

● Linux操作系统

请以root用户在命令行终端执行以下命令，完成重启Agent。

service hostguard restart

若回显以下信息，则表示重启成功。若无回显信息，请卸载Agent，重新安装 Agent。

root@HSS-Ubuntu32:~#service hostguard restart Stopping Hostguard...

Hostguard stopped Hostguard restarting...

Hostguard is running

重启进程后等待约2分钟：

● 若Agent状态为“在线”，则故障清除。

● 若Agent状态仍为“未安装”或者“离线”，请卸载Agent，再重新安装Agent。

----结束

3.1.10 Agent 检测时占用多少 CPU 和内存资源？

● CPU占用自动控制在10%以内。若CPU超过10%，Agent会自动降CPU；自动降 CPU后，Agent检测主机时间会延长，但不影响检测结果。

● 内存占用控制在150MB以内。如果超过200MB，Agent会在5分钟以内自动重启。

3.1.11 安装 HSS Agent 有什么影响？

安装HSS Agent不影响在线业务，也不会影响服务器的运行状态。

(39)

企业主机安全服务（HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。

更多有关HSS Agent的信息，请参见什么是HSS的Agent？。

3.1.12 网页防篡改与主机安全共用 Agent 吗？

是的。

网页防篡改与主机安全共用同一个Agent，同一主机只需安装一次。

3.1.13 如何卸载 Agent？

操作场景

● Agent包选择错误，需要卸载Agent后重新安装。

● 安装命令复制错误（如在32位的主机中安装64位的Agent），需要卸载Agent后重新安装。

前提条件

● 已获取管理控制台的登录帐号与密码。

● 云服务器的“Agent状态”为“在线”。

控制台一键卸载 Agent

用户可以通过企业主机安全控制台直接卸载Agent，方便用户操作。

说明

卸载Agent后主机安全服务将无法为该服务器提供任何防护。

步骤3 在左侧导航中选择“安装与配置”，进入“安装与配置”界面，单击右上角“卸载 Agent”。

步骤4 在弹出的“卸载Agent”界面中，如图3-11所示，选择需要卸载Agent的云服务器。

(40)

图3-11 卸载 Agent

步骤5 单击“确定”。

云服务列表“Agent状态”显示为“离线”，卸载Agent成功。

----结束

主机本地卸载

用户在不需要使用企业主机安全服务或需要重新安装Agent时，可从本地卸载版本 Agent。

说明

卸载Agent后主机安全服务将无法为该服务器提供任何防护。

● 卸载Linux版本Agent

a. 登录需要卸载企业主机安全服务Agent的云服务器，并执行su - root命令切 换到root用户。

b. 在任意目录执行以下命令，卸载Agent。

i. 针对“.rpm”格式的安装包，执行命令：rpm -e --nodeps hostguard ii. 针对“.deb”格式的安装包，执行命令：dpkg -P hostguard

若界面回显如下信息，则表示卸载完成。

Stopping Hostguard...

Hostguard stopped Hostguard uninstalled.

● 卸载Windows版本Agent

a. 登录需要卸载主机安全服务Agent的云服务器。

b. 在“控制面板 > 程序和功能”中选中“HostGuard”，然后单击“卸载”。

(41)

说明

● 用户也可以进入安装目录，双击“unins000.exe”，启动卸载程序。

● 若安装Agent时创建了开始菜单下存放Agent快捷方式的文件夹，用户还可以在

“开始 > HostGuard”中选择“卸载HostGuard”进行卸载。

c. 在“HostGuard卸载”提示框中，单击“是”，开始卸载。

d. 卸载完成后单击“确定”。

3.2 安全配置

3.2.1 如何清除 HSS 中配置的 SSH 登录 IP 白名单？

防护配额在不同状态下，清除HSS中配置的SSH登录IP白名单的方式不同。请根据配额的状态，选择清除SSH登录IP白名单的方式。

正常/已过期

配额状态为“正常”和“已过期”时，您可以正常使用配额，通过管理控制台“禁用”或者“删除”配置的SSH登录IP白名单，操作步骤如下所示。

步骤3 在“安装与配置”界面，选择“安全配置 > SSH登录IP白名单”，进入SSH登录IP白名单页面。

(42)

图3-13 SSH 登录 IP 白名单

步骤4 单击“禁用”或者“删除”，清除配置的SSH登录IP白名单。

----结束

已冻结/冻结期满，配额被删除

当配额状态为“已冻结”时，或者冻结期满，配额被彻底删除后，HSS均不会再防护您的主机，您无法通过管理控制台清除SSH登录IP白名单。

清除配置的SSH登录IP白名单，操作步骤如下所示。

步骤1 登录需要清除SSH登录IP白名单的云主机。

步骤2 执行以下命令，查看“/etc/sshd.deny.hostguard”文件，如图3-14所示。

cat /etc/sshd.deny.hostguard

图3-14 查看文件内容

步骤3 执行以下命令，打开“/etc/sshd.deny.hostguard”文件。

vim /etc/sshd.deny.hostguard 步骤4 按“i”进入编辑模式，删除“ALL”。

步骤5 按“Esc”退出编辑，输入“:wq”保存并退出。

----结束

3.2.2 不能通过 SSH 远程登录主机，怎么办？

问题现象

可以通过华为云管理控制台登录到主机，但是无法通过SSH远程登录主机，为什么？

(43)

可能原因

● 因账户暴力破解（例如：输入密码错误次数过多，30秒内，错误次数达到5次及以上），导致主机IP被拦截。

● 开启了SSH登录IP白名单功能，但需要通过SSH登录主机的IP没有添加到IP白名单。

开启SSH登录IP白名单后，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。

解决方案

步骤1 确认是否因为账户暴力破解，导致主机IP被拦截。

● 是，请到“事件管理”页面，单击“已拦截IP”，解除IP的拦截。

● 否，请执行步骤2。

步骤2 确认是否已开启SSH登录白名单，且登录主机的IP没有添加到IP白名单。

● 是，将登录主机的IP加入到IP白名单。

● 否，请联系技术支持工程师。

----结束

3.3 双因子认证

3.3.1 如何使用双因子认证？

本章节指导用户如何使用双因子认证。

如何开启

请参见：开启双因子认证功能。

登录与使用

● 登录Linux主机

a. 使用PuTTY/Xshell登录云主机。

登录时，请选择“Keyboard Interactive”，输入用户身份验证。

▪

^PuTTY

请参见图3-15选择“Keyboard Interactive”，并单击“确定”。

(44)

图3-15 键盘交互模式（一）

▪

^Xshell

在会话属性框中，选择“连接 > 用户身份验证 > 方法”，单击“方法”

下拉选项，选择“Keyboard Interactive”，单击“确定”。

(45)

图3-16 键盘交互模式（二）

b. 输入云主机的账户与密码。

c. 开启双因子认证后，需输入订阅终端接收到的验证码，如图3-17所示。

图3-17 输入验证码

说明

● 订阅主题的手机或邮箱会收到信息：【华为云】您的云服务器（xxxx-yyyy）第XX 号登录验证码为：XXXXXX。

● 如果未收到验证码，请检查Selinux防火墙是否关闭，关闭后重试。

● 当企业主机安全服务检测到主机可能遭受到暴力破解时，需先输入订阅终端的详细信息（如手机号码或邮箱），输入正确后，系统才会发出验证码。如图3-18。

图3-18 输入手机号码/邮箱

● 订阅主题的手机号码或邮箱单次可增加10个，一个主题最多可添加1万个。

● 登录Windows主机

(46)

a. 单击“开始”菜单，在搜索栏中输入“远程桌面连接”，按“Enter”，打开远程桌面连接。

b. 在“计算机”栏输入云主机的IP地址，并单击“连接”。

图3-19 远程桌面连接

c. 若已开启双因子认证，需要输入预留手机号或邮箱，单击“获取验证码”。

图3-20 输入手机号或邮箱

说明

订阅主题的手机或邮箱会收到信息：【华为云】您的云服务器（xxxx-yyyy）第XX号登录验证码为：XXXXXX。

d. 获取验证码后，在登录界面输入验证码、云主机账号和密码，单击，登录云主机。

3.3.2 开启双因子认证失败，怎么办？

问题现象

● 在双因子认证列表下，没有待开启双因子认证的主机，怎么办？

● 开启双因子认证后，不生效，怎么办？

● 开启双因子认证失败，怎么办？

(47)

可能原因

● 主机未开启防护。

● 开启双因子认证不会立即生效，需要等大约5分钟才生效。

● Linux主机没有关闭“密钥对”登录方式。

● 与“网防G01”软件、服务器版360安全卫士存在冲突。

● 没有关闭Selinux防火墙。

解决方案

步骤1 确认待开启双因子认证的主机，是否已开启主机安全防护。

● 否：请将待开启双因子认证的主机开启主机安全防护。

步骤2 确认开启双因子认证后，是否已等待5分钟。

● 否：请等待5分钟后，再确认开启的双因子认证是否生效。

步骤3 确认是否为Linux主机，且使用“密钥对”方式登录。

● 是：请关闭“密钥对”登录方式，开启“密码”登录方式。详细操作请参见Linux 云服务器怎样切换密钥登录为密码登录？

● 否：请执行步骤4。

步骤4 确认主机是否已停止“网防G01”软件、服务器版360安全卫士。

● 否：请停止“网防G01”软件和服务器版360安全卫士。

步骤5 确认主机是否已关闭Selinux防火墙。

● 否：请执行以下命令，关闭Selinux防火墙。

– 临时关闭Selinux防火墙。

setenfore 0 #临时关闭 – 永久关闭Selinux防火墙。

vi /etc/selinux config selinux=disabled #永久关闭 步骤6 请联系技术支持。

----结束

3.3.3 开启双因子认证后收不到验证码？

● 开启双因子认证功能后，不会立即生效。

需要等大约5分钟才生效。

● 开启双因子认证需要关闭Selinux防火墙。

请关闭Selinux防火墙后重试。

● Linux主机需要使用“密码”登录方式。

(48)

请关闭“密钥对”登录方式。

3.3.4 为什么开启双因子认证后登录主机失败？

登录主机失败的原因可能为文件配置错误或登录方式错误导致。

文件配置错误

您可检查配置文件是否正确。

配置文件路径：/etc/ssh/sshd_config 需要确认的配置文件项：

PermitEmptyPasswords no UsePAM yes

ChallengeResponseAuthentication yes

须知

如果您使用的是root登录，还需要配置文件项为：

PermitRootLogin yes

登录方式错误

失败原因：开启双因子认证后，可能是通过以下方式登录云主机导致登录失败。

● 通过CloudShell工具登录云主机。

● Linux主机中，通过云堡垒机登录云主机。

根本原因：双因子的验证实现是通过内置模块进行验证，由于以上登录方式无法弹出交互页面，导致验证失败。

解决办法：您可参照如何使用双因子认证？重新登录认证。

说明

开启双因子的前提条件、约束与限制更多详情请参见安全配置章节中的“开启双因子认证”。

3.3.5 开启双因子认证时，如何添加手机号？

当您开启双因子认证，选择“短信邮件验证”，才可以在消息通知服务主题中添加手机号/邮箱接收验证码。

“选择消息通知服务”下拉列表中，只展示状态已确认的消息通知服务主题。

● 如果没有主题，请单击“查看消息通知服务主题”进行创建。具体操作请参见创建主题。

● 如果已有主题，添加或者修改手机号码/邮箱收到验证码，请修改对应主题，具体操作请参见订阅主题。

(49)

图3-21 短信邮件验证

3.3.6 双因子认证中，验证码是一个固定的验证码吗？

当您开启双因子认证无法用手机/邮箱接收验证码时，您可以选择“验证码验证”。当您每次登录云主机时，HSS均会生成一个随机验证码发送到您的登录界面，您直接输入随机验证码即可登录该云主机。

图3-22 验证码验证

3.4 主机配额

3.4.1 如何查看配额？

您可以在防护配额页面查看配额的使用情况、配额的状态，及时为即将到期的配额进行续费，或对没有使用额配额执行退订操作。

配额列表仅显示在所选区域购买的配额，若未找到您的配额，请切换到正确的区域后再进行查找。

(50)

企业版/旗舰版配额

步骤3 在“主机管理”页面，选择“防护配额”页签，进入防护配额列表页面。

图3-24 查看主机安全防护配额

步骤4 在防护配额页面，查看主机安全防护配额，以及使用该配额的服务器名称。

表3-3 参数说明 参数名称说明配额类型/

版本

配额的版本类型。

配额ID 配额的ID。

价格体系_企业主机安全 HSS_常见问题_费用_华为云

常见问题

目 录

1 产品咨询...1

2 购买 HSS... 18

3 开通与配置...22

4 告警事件处理...57

5 漏洞管理...90

6 网页防篡改...94

7 企业项目... 100

8 费用... 117

9 其他... 120

A 修订记录... 132

1 产品咨询

1.1 什么是企业主机安全？

工作原理

1.2 哪些区域可以使用 HSS？

1.3 如何使用企业主机安全服务？

1.4 企业主机安全支持版本升级吗？

升级版本

切换版本

1.5 HSS 是否支持防护本地 IDC 服务器？

1.6 HSS 是否和其他安全软件有冲突？

Agent 软件可能与“DenyHosts”有冲突

双因子认证功能可能与“网防 G01”或“360 安全卫士服务器版”冲突

1.7 HSS 与 VSS、WAF 有什么区别？

1.8 HSS 可以跨帐号使用吗？

同一帐号下多个 IAM 用户共享使用

帐号与该帐号下的 IAM 用户共享使用

1.9 什么是 HSS 的 Agent？

Agent 的作用

Linux Agent 相关进程

Windows Agent 相关进程

1.10 HSS 可以跨区域使用吗？

1.11 业务不在华为云上，是否可以使用 HSS？

安装 Linux Agent

安装 Windows Agent

1.12 HSS 是否支持线下多台服务器共用一个公网 IP？

1.13 购买什么版本的 HSS 能够满足等保二级的整改要求？

1.14 使用 HSS 后，是否还需要安装杀毒软件？

1.15 HSS 与 SA 的基线检查有什么区别？

1.16 HSS 可以添加黑名单 IP 吗？

1.17 主机重装系统后，HSS 防护功能是否需要手动开启？

1.18 HSS 的恶意程序检测周期、隔离查杀是多久一次？

1.19 HSS 的病毒库、漏洞库多久更新一次？

1.20 每台 ECS 都需要配置部署主机安全服务吗？

1.21 开启 HSS 基础版（免费）防护及说明

开启 HSS 基础版防护

1.22 HSS 的数据传输实现原理是什么？

2 购买 HSS

2.1 ECS 如何享受免费的 HSS 防护？

新购买 ECS

已购买 ECS

2.2 购买 ECS 时，为什么无法选择免费的企业主机安全防 护？

2.3 如何扩充 HSS 防护配额

按需计费

包年/包年

3 开通与配置

3.1 Agent

3.1.1 购买 HSS 后会自动安装 Agent 吗？

新购 ECS 时，勾选“开通主机安全”

其他情况

3.1.2 如何安装 Agent？

相关问题

3.1.3 如何批量安装 Agent？

Windows 操作系统

Linux 操作系统

3.1.4 如何使用命令行方式安装 Agent（Windows 操作系统）？

前提条件

操作步骤

3.1.5 Agent 是否和其他安全软件有冲突？

3.1.6 Agent 的默认安装路径是什么？

3.1.7 如何筛选未安装 Agent 的主机？

3.1.8 Agent 安装失败应如何处理？

使用安装命令安装 Agent 失败

使用脚本安装 Agent 失败

Agent 安装失败案例

3.1.9 Agent 状态异常应如何处理？

可能的原因

处理方法

目录

1 ^产品咨询

2 ^{购买 HSS}

2.2 购买 ECS 时，为什么无法选择免费的企业主机安全防护？

3 ^{开通与配置}