腾讯云主机安全暴力破解测试

一：环境

1、两台云服务器，一台升级为主机安全专业版或者旗舰版（暴力破解阻断功能需要专业版或者旗舰版）

10.0.0.4是专业版

2、暴力破解python脚本 python脚本依赖python3环境、paramiko模块

pip3 install paramiko 安装包错，根据报错提示升级pip版本: pip3 install --upgrade pip

3、配置暴力破解策略如下：命中规则1阻断5分钟

二：开始测试

1、测试之前确认下主机安全agent的版本：

[root@VM-0-4-centos ~]# /usr/local/qcloud/YunJing/YDEyes/YDService -v Version:3.4.2.20 [root@VM-0-4-centos ~]

接到暴力破解成功的告警，控制台事件列表如下：

发现2个问题： a、来源地是河北张家口，但是来源ip属于北京

以上ip不对是由于ip库没有更新导致的。

b、阻断状态未阻断

原因稍后同步

2、升级agent版本进行测试

升级方式：

linux（vpc网络）：wget http://u.yd.tencentyun.com/ydeyes/download/ydeyes_linux64_4.2.2.64.tar.gz -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh

linux（基础网络）：wget http://u.yd.qcloud.com/ydeyes/download/ydeyes_linux64_4.2.2.64.tar.gz -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh

windows（vpc）：http://u.yd.tencentyun.com/ydeyes/download/self_cloud_ydeyes_1.2.0.134.zip

windows（基础网络）：http://u.yd.qcloud.com/ydeyes/download/self_cloud_ydeyes_1.2.0.134.zip

升级到最新版本

继续测试暴力破解阻断成功

验证：策略生效

经确认：主机安全阻断的方式有两种

1、客户端阻断

MinAgentBanVersionLinux > "4.0.2.32" MinAgentBanVersionWindows > "1.2.0.120"

2、流量层阻断

需服务器IP在可支持阻断区 正常来讲服务器IP跟服务器应该是在同一个区域 由于IP数量不够从其他区域借用IP 导致服务器IP跟服务器不在一个区，而服务器IP又不在支持阻断的区域所以控制台会显示不支持阻断

第一次测试为阻断的原因：版本低、触发了第2个条件

使用该功能首先添加自己信任的ip白名单，重要的是服务器需要做好安全加固避免被暴力破解成功

加固方式可以参考：

1)服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ，也可使用密码生成器自动生成复杂密码，这里给您一个链接参考：https://suijimimashengcheng.51240.com/ 2)删除服务器上设置的不需要的用户 3)对于不需要登录的用户，请将用户的权限设置为禁止登录 4)修改远程登录服务的默认端口号以及禁止超级管理员用户登陆 Linux远程端口修改参考文档：https://cloud.tencent.com/developer/article/1124500 5)较为安全的方法：只使用密钥登录禁止密码登陆 （针对Linux系统） 6)腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口，参考文档： https://cloud.tencent.com/document/product/215/20398 7)不建议向公网开放核心应用服务端口访问，例如mysql、redis等，您可修改为本地访问或禁止外网访问 8)如果您的本地外网IP固定，建议使用安全组或者系统防火墙禁止除了本地外网IP之外所有IP的登录请求

重要的数据要做好定时备份或者快照。