账号安全
天翼云账号注册时要求您设置复杂度极高的密码。您应该妥善保管天翼云的账号密码并定期对密码进行更换。
同时天翼云还支持账号二次认证,您可以在个人中心-安全设置中开启安全验证。开启后每次登录均需要短信验证码进行登录。
主机密码安全
主机密码是弹性云主机访问时最常用的安全验证。您在创建时输入的主机密码应该确保复杂度满足要求,并且妥善保管密码。
主机密码的复杂度应满足如下要求:
- 不少于8个字符。
- 必须同时包含大写字母、小写字母、数字、符号中的三项。
- 符号支持: [()`~!@#**%^& _-+=|{}[]:;'<>,.?/](mailto:()%60~!@#**%^&* _-+=|{}[]:;'<>,.?/)。
- 密码不能以斜线号(/)开头。
密钥对
密钥对,也称为SSH密钥对,是一种用于远程登录云主机的身份验证方式,与传统的用户名和密码登录方式有所区别。通过使用密钥对,您可以提升云主机的安全性,并避免因密码被拦截或破解导致的密码泄露问题。
密钥对由公钥和私钥组成,如果用户将公钥配置在Linux云主机中,便可以使用私钥登录Linux云主机,无需输入密码。通过使用密钥对登录Linux云主机,可以防止密码被拦截或破解导致帐户密码泄露,从而提高Linux云主机的安全性。
更多内容请参见密码和密钥对。
监控云主机
您可以使用天翼云云监控产品来监控您的弹性云主机,云监控支持自动实时监控、告警配置和告警通知,让您更好地掌握弹性云主机的运行状态和各项性能指标。
指标监控:对弹性云主机的各项运行指标进行实时监控。还可以查询历史的监控指标情况。
监控告警:通过配置告警规则,在指标发生异常的第一时间对您进行提醒。及时发现问题并处理,可以有效保障部署在的弹性云主机上的服务持续可用。
更多内容请参见云监控。
备份云主机
您可以通过天翼云云主机备份产品和云硬盘备份产品,对弹性云主机上的数据进行备份,当云主机或主机上的云硬盘出现故障,或者软件造成的数据丢失损坏以及人为错误导致的数据误删时,您可以借助备份功能自助快速恢复数据。
云主机备份
云主机备份(CT-CSBS,Cloud Server Backup Service)提供对弹性云主机的备份保护服务,支持基于云硬盘快照技术的备份服务,并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务,可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下,还原云主机数据,确保业务的连续性和数据的安全性。
更多内容请参见云主机备份。
云硬盘备份
云硬盘备份(CT-VBS,Volume Backup Service)是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的云硬盘进行备份,并在云硬盘故障、用户误删数据、遭到黑客攻击等情况下,使用备份快速恢复数据,最大限度保证用户数据的安全性。
更多内容请参见云硬盘备份。
云硬盘加密概述
使用 KMS 加密数据密钥管理服务(Key Management Service,KMS)是一站式密钥管理和数据加密服务平台,提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成,实现云上原生数据的加密保护。
更多内容请参见云硬盘加密概述。
云硬盘快照策略
使用云硬盘快照策略对云硬盘进行周期性备份天翼云云硬盘快照是一种数据备份方式,云硬盘快照服务可以备份或者恢复整个云硬盘的数据,常用于数据备份、制作镜像、应用容灾等。
更多内容请参见云硬盘快照策略。
云主机访问控制
当您的云主机需要访问公网或被公网访问时您可以使用安全组和网络ACL对主机进行访问控制设置,屏蔽不使用的端口,尽可能减少暴露在公网的端口数量。可以有效提高云主机的安全性。
安全组
安全组是一种网络安全防护机制,用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙,用于限制入向和出向网络流量。安全组工作在网络层和传输层,它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云主机加入该安全组后,即受到这些访问规则的保护。
更多内容请参见安全组。
网络ACL
网络ACL是一个子网级别的流量防护策略,您可以自定义设置网络ACL规则,并将网络ACL与子网绑定,实现对子网中云主机实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据。
更多内容请参见网络ACL。
常见的高危端口
TCP:42、135、137、138、139、444、445、593、1025、1068、1434、3127、3128、3129、3130、4444、4789、5554、5800、5900、9996
UDP:135-139、1026-1028、1068、1433、1434、4789、5554、9996
定期升级操作系统
您应该定期对云主机内的操作系统进行升级。了解操作系统发布的漏洞公告,及时安装漏洞补丁,以防您的主机收到侵害。天翼云并不承诺对客户操作系统内进行升级和维护。
服务器安全卫士
服务器安全卫士(原生版)(CT-CSS,Cloud Security System)是一款全方位保障云上服务器安全的产品,能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为,当发现服务器出现安全问题时,第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能,帮助您构建服务器安全防护体系。
根据支持功能不同,服务器安全卫士(原生版)分为基础版、企业版、旗舰版和增值服务。不同规格功能差异请参见:服务器安全卫士产品规格。
Linux服务器SSH登录的安全加固
SSH是远程登录Linux服务器的主要方式,但它也是黑客进行暴力破解和恶意攻击的主要入口之一。为了加强Linux云主机的SSH登录安全,进行安全加固。
更多内容请参见Linux服务器SSH登录的安全加固。
基线检测
对服务器操作系统、数据库、关键应用软件配置等进行检测,帮助用户提前识别出可能导致安全漏洞的不安全配置项,例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测,可以及时发现并修复这些潜在的安全风险。
更多内容请参见基线检测
漏洞扫描
服务器安全卫士(原生版)支持扫描Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞,并提供漏洞的修复建议和一键修复功能,帮助您及时了解云主机操作系统中存在的风险,及时修复主机漏洞。
更多内容请参见扫描漏洞
弱口令检测
通过与弱口令库对比,检测系统账号和应用账号口令是否属于常用的弱口令,提示用户修改不安全的口令。
更多内容请参见弱口令检测
病毒查杀
服务器安全卫士(原生版)的病毒查杀功能,支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测,提供灵活的检测方式,支持一键检测和定时检测方式,通过简单操作即可完成对病毒的处理,支持对病毒文件进行隔离、删除和信任。
更多内容请参见病毒查杀
文件防勒索
围绕事前、事中、事后三个阶段进行防护,可以有效地应对勒索病毒的威胁。
更多内容请参见文件防勒索
网页防篡改
网页防篡改可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意算改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。此功能为付费的增值服务,需要单独购买。
更多内容请参见网页防篡改