本实验将介绍并使用安骑士的基本功能“木马查杀”,“补丁管理”,“安全管理”和“安全运维”。云中沙箱平台会自动创建一台已部署Phpwind站点的ECS云服务器实例。首先,模拟“暴力破解”ECS密码的情况,查看“拦截信息”。然后,设置“常用登陆地”,查看异地登录情况。最后,简要介绍安骑士的“补丁管理”,“木马查杀”等。
1.本章将介绍安骑士的 白名单登录 功能。通过此功能,可以设置常用的登录地白名单,对非白名单登录进行告警通知。
2.在阿里云管理控制台左上角的 产品与服务 中,选择 安全(云盾)模块下的 云安全中心(安骑士),进入安骑士管理控制台。
然后点击 去云安全中心。
3. 在云安全中心的管理控制台中,点击左侧栏中的 资产中心。右侧页面进入资产列表,可以查看当前帐户下有两台ECS实例:实验资源 提供的ECS实例(以 实例ID 命名)和一台以 hacker-server 命名的新建ECS实例。两台实例均已安装安骑士( 保护状态 为 在线 ),并且没有检测到漏洞和风险。
4. 由于安骑士检测到非白名单登录后,会以短信的方式发送给用户,为防止用户正确登录而被安骑士检测为异地登录,并短信告警带来的不便,可以通过添加白名单的方式来避免该问题。
(1)查询 本地IP 。通过浏览器打开网址 www.ip138.com 来查询 本地IP ,并复制下来以备用。
(2)找到安骑士加入白名单界面,界面路径 安骑士→安全配置→登录IP拦截加白。
(3)将本地IP加入白名单,点击添加。
(4)对象类型选择 弹性公网EIP,源IP输入第1)步查找到的 本地IP,服务器选择非黑客ECS的IP。点击➡️,将此服务器移到 白名单配置生效的服务器 栏下。然后点击:确认
本章用户将通过 设置常用登录地,检测异地登录情况。从而,可以有效的获取异地登录的信息,避免黑客攻击。
1.在云安全中心管理控制台的 资产中心 页面中,点击 站点服务器 右侧的 查看 ,配置常用登录地址,当前没有异常登录记录。
2.在弹出的 登录安全设置 界面,在 常用登录地 右侧点击 添加 。
3.在弹出的对话框中,配置如下信息:
设置 常用登录地 为实验资源提供的 地域,如提供的地域为 华东2,则添加常用登录地为 上海,则做如下操作
· 添加的常用登录地:中国 、上海市 、上海市;这样,只有使用上海的IP地址,远程登陆到设置常用登陆地的ECS实例,才会记录为 正常访问。而其余地域远程登陆均被记录为 异地登录。
4.使用攻击者服务器 hacker-server异地登录 站点服务器。
远程登录ECS服务器 hacker-server ,( IP地址 和 用户名/密码 可以在实验资源列表中找到),登录成功后,在该终端SSH登录 站点服务器,使用 实验资源 提供的站点服务器的 弹性IP地址,用户 和 密码 远程登录ECS。
5. 返回云安全中心的管理控制台,总览 页面,看到 待处理告警 下有 1个 异常登录 记录,点击红框中的数字 1 ,进入异常登录页面。
说明:由于安骑士的拦截记录是从ECS服务器中获取,因此,等待时间可能较长,建议学员可以直接浏览下面的安骑士功能介绍章节,稍后返回查看实验结果。
本实验会自动创建一台已部署Nginx的ECS实例和一台负载均衡SLB实例。首先,使用阿里云云监控的 云服务监控 服务,配置并查看ECS实例和SLB实例的监控数据。然后,设置ECS实例的报警规则,并验证报警规则生效。之后,使用 站点监控 服务,监控已部署Nginx的站点的状态,并设置站点报警规则,验证报警规则。最后,清理云监控中的监控资源。
实验目标
完成此实验后,可以掌握的能力有:
使用云监控的管理控制台,监控ECS等阿里云产品
创建报警规则,及时获取阿里云服务或站点的异常状态;
使用站点监控,对网站进行监控。
清理云监控中的监控资源
学前建议
了解ECS和SLB的基本操作
说明:使用云监控对负载均衡实例进行监控时,不需要安装监控插件。但是,负载均衡实例中必须有监听。否则,云监控将无法对负载均衡实例进行监控。
2. 进入阿里云管理控制台后,点击阿里云管理控制台的左上角 产品与服务,在弹出的下拉列表中,选择 云计算基础服务 —> 网络 —> 负载均衡,进入负载均衡管理控制台。
3.
4. 在负载均衡服务管理控制台的 实例管理 中,选择 实验资源 提供的 地域。之后在顶部的搜索栏中,左侧关键字下拉框选择 负载均衡ID,搜索框中填入负载均衡ID 后 点击 搜索。在查询结果中点击右侧的操作栏下的 管理,进入SLB实例的管理界面。
5.在负载均衡实例的管理页面,点击 监听配置向导,进入 监听配置 页面。当前负载均衡实例中,无任何监听。点击右侧的 添加监听,创建负载均衡的监听。
在 基本配置 页面中,输入如下参数:前端协议 选择 HTTP,端口 设为 80;后端协议 HTTP的端口也设为 80;带宽峰值 为 1M。其余为默认设置。完成后,点击 下一步。
在后端服务器页面中,选择默认服务器组,点击继续添加,勾选ECS实例,点击下一步。
端口为80,权重为100,点击下一步。
在 健康检查配置 页面中,关闭 健康检查。完成后,点击 确认。
在配置审核页面中,检查监听配置无误后,点击提交。
页面提示监听配置成功,点击 确认。在 监听配置 页面,可以查看到一个状态为 运行中 的监听项。
6.点击阿里云管理控制台的左上角 产品与服务,在弹出的下拉列表中,依次选择 云计算基础服务—监控与管理—云监控,进入云监控的管理控制台。
7. 在 云监控 管理控制台的左侧栏中,查看到目前云监控主要提供的三种服务:站点管理,对网站进行监控;云服务监控,对阿里云中的多种产品和服务进行监控,目前云监控可以对 ECS,RDS 等云产品进行监控;自定义监控,为用户提供定制化的监控项,用户可以根据自身的需求,自定义监控内容,并实时的上传数据,查看监控信息。
8. 点击左侧栏 云服务监控 中的 云服务器ECS。出现更新提醒,选择 暂不更新。页面显示在 实验资源 提供的 地域 中有一台ECS实例。点击此台ECS实例中的 插件状态 的 点击安装,安装云监控插件。
说明:若ECS实例没有安装云监控插件,则无法使用云监控对ECS实例进行监控。
请等待1-2分钟,点击右上角的 刷新,当ECS实例的 ECS插件状态 变为 运行中,则完成ECS实例的插件安装。用户可以通过云监控管理控制台,查看此台ECS实例的监控数据。点击ECS实例右侧的 监控图表,实时查看更新的监控数据。
11. 在监控图表页面中,云监控提供两类ECS的监控数据:ECS实例基础监控 和 操作系统级别监控指标。用户可以根据自己的需求,查看相关的数据,并根据数据分析目前ECS实例的性能,适当调整实例的配置。可以点击具体目标查看监控详情。
说明:若无数据,请稍等1-2分钟后,刷新页面。因为云监控服务需要一定时间获取监控数据。
在详情中,用户可以自定义图表中显示的时间、查看云监控的其它信息。
10.点击左侧栏 云服务监控 的 负载均衡,页面显示当前帐户下仅有一台负载均衡实例。点击负载均衡实例右侧的 监控图表,查看负载均衡实例的监控数据。
11. 在负载均衡的监控图表页面中,用户可以查看到 流入流量,流出流量 等信息。点击 监控图表 中的 流入流量 等监控项目,进入详细的图表页面。
说明:流入流量,从外部访问负载均衡所需要消耗的流量;流出流量,负载均衡访问外部所需要消耗的流量;新建连接数,在统计周期内新建立的连接数的均值。它统计的是客户端连接请求,其中活跃连接数、非活跃连接数统计的也是客户端到负载均衡的连接请求。流入数据包数,负载均衡实例每秒接到的请求数据包数量;流出数据包数,负载均衡每秒发出的数据包数量;活跃连接数,当时所有ESTABLISHED状态的连接,可以理解为并发量,但是不能等同。因为如果用户采用的是长连接的情况,一个连接会同时传输多个文件请求;非活跃连接数,指除established状态的其他所有状态tcp连接数。
在创建报警任务之前,首先,创建报警联系人。然后,将报警规则中选择报警联系人所在的联系人组,最后,验证在触发警报时,发送报警信息给报警联系人。
点击云监控管理控制台左侧的 报警服务–>报警联系人,在报警联系人的页面中,默认当前阿里云账号的注册信息为报警联系人。点击页面右上角的 新建联系人,创建一个新的报警联系人。
3.在弹出的对话框中,输入 姓名,如:Connie,并输入 手机号 和 验证码。完成后,点击 保存。
3. 点击左侧栏中 云服务监控 类别下的 云服务器ECS ,进入ECS监控列表,选择 实验资源 提供的 地域 。点击ECS实例右侧的 报警规则。查看ECS实例的报警配置。
4. 在 设置报警规则 页面中,设置如下信息:规则名称 自定义,如:warning。监控项 选择 CPU使用率;统计周期 设为 1分钟;统计方法 设为 只要有一次 、>=,阈值 输入 80%,连续几次超过阀值后报警 输入1。也就是,每分钟都会统计CPU的使用率,当有1次检测到的CPU使用率大于80%时,会触发报警规则。
6. 然后,执行以下几步,完成 新建报警规则。
1). 设置 通知方式,点击 快速创建联系人组。
2). 在弹出的 新建联系人组 的对话框中,配置如下信息:组名 为 EcsOps(自定义),已选联系人 是将 已有联系人 中自建的报警联系人,如:Connie(用户自定义姓名),添加到 已选联系人。完成后,点击 确定。
3). 完成以上设置后,点击底部的 确认。
登录到ECS实例后,输入如下命令,增加ECS实例的CPU使用率。
# stress --cpu 8 --io 4 --vm 2 --vm-bytes 128M --timeout 10m
云监控不仅可以对阿里云中的云资源进行监控,也可以使用云监控对自建Nginx服务器的站点进行监控,并设置报警规则,通过设置报警规则,及时发现站点异常现象,并对其处理。
说明:用户不仅可以对自己的站点进行监控,也可以对百度等网站进行监控。
首先,在云监控管理控制台中,点击左侧栏的 站点管理,进入 站点监控 页面,点击右上角的 新建监控任务,弹出创建对话框,开始创建站点监控。
3. 在 创建监控点 的对话框中,站点类型 选择 HTTP;监控点的名称 输入 Nginx服务器;监控地址 输入 实例资源 提供的 负载均衡器的 IP地址;监控频率 设为 1分钟。其余为默认设置,完成后,点击 确定。如上配置,可以实现每分钟监控负载均衡的访问IP地址的状态。
页面提示 站点监控创建成功,点击 设置报警规则,开始创建站点的报警规则。
4. 在 设置报警规则 中,使用默认配置:状态码>=400,也就是当网站访问异常的时候,触发报警规则。完成后,点击 下一步。
5. 在 设置通知对象 中,配置如下参数:连续几次超过阈值后报警,选择 1;报警方式选择 多检测点独立报警,也就是若在 创建站点监控 时,填写多个站点信息,只要一个站点异常,就会触发报警,而 多检测点组合报警,只有所有监测点均异常,才会报警;联系人通知组 勾选 EcsOps。完成后,点击 确定”。
对话框提示 已完成了1个站点的报警规则设置,点击 关闭。完成报警规则的创建。
6. 在 站点监控 页面,可以查看到一个新建监控站点 Nginx服务器,等待1-2分钟后,可以查看到不同地域监控点的监控信息。
7. 此时当停止服务器后,监控就会向应急联系人的手机和邮箱发送报警短信
8.