第6 章 ： 云上安全防护

阿里云高校学生计划

https://developer.aliyun.com/adc/student/

云安全中心之初体验

实验概述

本实验将介绍并使用安骑士的基本功能“木马查杀”，“补丁管理”，“安全管理”和“安全运维”。云中沙箱平台会自动创建一台已部署Phpwind站点的ECS云服务器实例。首先，模拟“暴力破解”ECS密码的情况，查看“拦截信息”。然后，设置“常用登陆地”，查看异地登录情况。最后，简要介绍安骑士的“补丁管理”，“木马查杀”等。

实验目标

完成此实验后，可以掌握的能力有：

1. 通过管理控制台，使用安骑士服务；

2. 安骑士的不同版本之间的区别。

实验手册

1 申请黑客服务器

请点击页面左侧的 ，在左侧栏中，查看本次实验资源信息。
ecshacker-server ECS
在弹出的左侧栏中，点击 创建资源 按钮，开始创建实验资源。
资源创建过程需要1-3分钟。完成实验资源的创建后，用户可以通过 实验资源 查看实验中所需的资源信息，例如：阿里云账号等。

2 搭建黑客服务器

1．点击左侧导航栏的 实验资源 ，在实验资源展开页中复制 控制台URL, 在浏览器隐身窗口（或新浏览器）中访问，在阿里云登录界面，输入实验资源分配的 子用户 (格式：子用户名称@企业别名)、 密码 ，然后登录。

image001

2．点击阿里云管理控制台的左上角 产品与服务，在弹出的下拉列表中，选择 弹性计算、云服务器ECS，进入ECS控制台。

image003

3.通过实验资源，查看分配的黑客服务器的地域。可得知黑客服务器在华东 1

下面步骤是创建ECS实例的方法。因为实验已经分配好了黑客ECS资源，无需创建，只作参考学习，直接进入下一节。

怎么创建ECS实例?

点击左侧栏的 实例，进入实例列表,点击右上角的 创建实例，进入实例的购买页面。

image005

4. 购买ECS实例，配置如下，其它默认。

计费方式：按量计费

地域：选择与实验资源不同的地域即可 (若实验资源提供的地域为华北2，请使用华东1)

实例：选择 ecs.n1.tiny 类型

镜像：公共镜像 ，选择 centos 6.8 64位

网络：专有网络

专有网络：默认专有网络

交换机：默认交换机

公网IP地址：分配

安全组：默认安全组

登录凭证：自定义密码

登录密码：Passw0rd

确认密码：Passw0rd

实例名称：hacker-server

配置好后，点击 确认订单。

勾选 服务协议 ，点击 创建实例 ,创建成功后，点击 管理控制台。

image007

3 安骑士配置白名单

1.本章将介绍安骑士的 白名单登录 功能。通过此功能，可以设置常用的登录地白名单，对非白名单登录进行告警通知。

2. 在阿里云管理控制台左上角的 产品与服务 中，选择 安全（云盾）模块下的 云安全中心（安骑士），进入安骑士管理控制台。

image009

然后点击 去云安全中心。

image011

3. 在云安全中心的管理控制台中，点击左侧栏中的 资产中心。右侧页面进入资产列表，可以查看当前帐户下有两台ECS实例：实验资源 提供的ECS实例（以 实例ID 命名）和一台以 hacker-server 命名的新建ECS实例。两台实例均已安装安骑士（ 保护状态 为 在线 ），并且没有检测到漏洞和风险。

4. 由于安骑士检测到非白名单登录后，会以短信的方式发送给用户，为防止用户正确登录而被安骑士检测为异地登录，并短信告警带来的不便，可以通过添加白名单的方式来避免该问题。

（1）查询 本地IP 。通过浏览器打开网址 www.ip138.com 来查询 本地IP ，并复制下来以备用。

（2）找到安骑士加入白名单界面，界面路径 安骑士→安全配置→登录IP拦截加白。

（3）将本地IP加入白名单，点击添加。

（4）对象类型选择 弹性公网EIP，源IP输入第1）步查找到的 本地IP，服务器选择非黑客ECS的IP。点击➡️，将此服务器移到 白名单配置生效的服务器 栏下。然后点击：确认

image021

下一小节将介绍 安骑士的异地登录报警功能。

4 安骑士异地登录报警

本章用户将通过 设置常用登录地，检测异地登录情况。从而，可以有效的获取异地登录的信息，避免黑客攻击。

1.在云安全中心管理控制台的 资产中心 页面中，点击 站点服务器 右侧的 查看 ，配置常用登录地址，当前没有异常登录记录。

2.在弹出的 登录安全设置 界面，在 常用登录地 右侧点击 添加 。

3.在弹出的对话框中，配置如下信息：

设置 常用登录地 为实验资源提供的 地域，如提供的地域为 华东2，则添加常用登录地为 上海，则做如下操作

· 添加的常用登录地：中国 、上海市 、上海市；这样，只有使用上海的IP地址，远程登陆到设置常用登陆地的ECS实例，才会记录为 正常访问。而其余地域远程登陆均被记录为 异地登录。

4.使用攻击者服务器 hacker-server异地登录 站点服务器。

远程登录ECS服务器 hacker-server ，（ IP地址 和 用户名/密码 可以在实验资源列表中找到），登录成功后，在该终端SSH登录 站点服务器，使用 实验资源 提供的站点服务器的 弹性IP地址，用户 和 密码 远程登录ECS。

说明：远程登录Linux系统ECS实例的详细步骤，请参考云中沙箱 帮助文档

5. 返回云安全中心的管理控制台，总览 页面，看到 待处理告警 下有 1个 异常登录 记录，点击红框中的数字 1 ，进入异常登录页面。

说明：由于安骑士的拦截记录是从ECS服务器中获取，因此，等待时间可能较长，建议学员可以直接浏览下面的安骑士功能介绍章节，稍后返回查看实验结果。

6. 用户可以查看到如下信息：状态为 异地登录 的 实验资源 提供的ECS实例。这是由于 hacker－server 没有设置 常用登录地。因此，本地使用SSH登录的记录 状态 为 正常登录。

至此，我们完成了安骑士所有的实验内容，对于后续使用安骑士防护云主机的安全将会有很大的帮助。

云监控初体验

实验概述

本实验会自动创建一台已部署Nginx的ECS实例和一台负载均衡SLB实例。首先，使用阿里云云监控的 云服务监控 服务，配置并查看ECS实例和SLB实例的监控数据。然后，设置ECS实例的报警规则，并验证报警规则生效。之后，使用 站点监控 服务，监控已部署Nginx的站点的状态，并设置站点报警规则，验证报警规则。最后，清理云监控中的监控资源。

实验目标

完成此实验后，可以掌握的能力有：

1. 使用云监控的管理控制台，监控ECS等阿里云产品

2. 创建报警规则，及时获取阿里云服务或站点的异常状态；

3. 使用站点监控，对网站进行监控。

4. 清理云监控中的监控资源

实验手册

1 监控阿里云云服务

1.    本章节将介绍如何使用云监控对阿里云上的资源进行基础监控，本实验主要实现对ECS和负载均衡实例的基本监控。首先，在负载均衡实例中创建监听，然后，在ECS实例中安装云监控插件。最后，在云监控中查看ECS，负载均衡的监控数据。
   

说明：使用云监控对负载均衡实例进行监控时，不需要安装监控插件。但是，负载均衡实例中必须有监听。否则，云监控将无法对负载均衡实例进行监控。

2.    在云中沙箱平台手册左侧的 实验资源 栏中，查看本次实验使用的阿里云账号信息。点击 复制控制台url，在浏览器无痕页面打开访问阿里云登录界面。
   

在阿里云登录界面，输入 实验资源 分配的 子用户账号 和 子用户密码。点击 登录。

3.    进入阿里云管理控制台后，点击阿里云管理控制台的左上角 产品与服务，在弹出的下拉列表中，选择 云计算基础服务 ---> 网络 ---> 负载均衡，进入负载均衡管理控制台。
   

4.    在负载均衡服务管理控制台的 实例管理 中，选择 实验资源 提供的 地域。之后在顶部的搜索栏中，左侧关键字下拉框选择 负载均衡ID，搜索框中填入负载均衡ID 后 点击 搜索。在查询结果中点击右侧的操作栏下的 管理，进入SLB实例的管理界面。
   

5.    在负载均衡实例的管理页面，点击 监听配置向导，进入 监听配置 页面。当前负载均衡实例中，无任何监听。点击右侧的 添加监听，创建负载均衡的监听。
   
   
   
   
   
   
   
        在 基本配置 页面中，输入如下参数：前端协议 选择 HTTP，端口 设为 80；后端协议 HTTP的端口也设为 80；带宽峰值 为 1M。其余为默认设置。完成后，点击 下一步。
   
   
   
   
   
        在后端服务器页面中，选择默认服务器组，点击继续添加，勾选ECS实例，点击下一步。
   
   
   
   
   
        端口为80，权重为100，点击下一步。
   
   
   
   
   
   
   
        在 健康检查配置 页面中，关闭 健康检查。完成后，点击 确认。
   
   
   
        在配置审核页面中，检查监听配置无误后，点击提交。
   
   
   
   
   
        页面提示监听配置成功，点击 确认。在 监听配置 页面，可以查看到一个状态为 运行中 的监听项。
   

6.    点击阿里云管理控制台的左上角 产品与服务，在弹出的下拉列表中，依次选择 云计算基础服务---监控与管理---云监控，进入云监控的管理控制台。
   

7.    在 云监控 管理控制台的左侧栏中，查看到目前云监控主要提供的三种服务：站点管理，对网站进行监控；云服务监控，对阿里云中的多种产品和服务进行监控，目前云监控可以对 ECS，RDS 等云产品进行监控；自定义监控，为用户提供定制化的监控项，用户可以根据自身的需求，自定义监控内容，并实时的上传数据，查看监控信息。
   

8.    点击左侧栏 云服务监控 中的 云服务器ECS。出现更新提醒，选择 暂不更新。页面显示在 实验资源 提供的 地域 中有一台ECS实例。点击此台ECS实例中的 插件状态 的 点击安装，安装云监控插件。
   

说明：若ECS实例没有安装云监控插件，则无法使用云监控对ECS实例进行监控。

    请等待1-2分钟，点击右上角的 刷新，当ECS实例的 ECS插件状态 变为 运行中，则完成ECS实例的插件安装。用户可以通过云监控管理控制台，查看此台ECS实例的监控数据。点击ECS实例右侧的 监控图表，实时查看更新的监控数据。

11.    在监控图表页面中，云监控提供两类ECS的监控数据：ECS实例基础监控 和 操作系统级别监控指标。用户可以根据自己的需求，查看相关的数据，并根据数据分析目前ECS实例的性能，适当调整实例的配置。可以点击具体目标查看监控详情。
    

说明：若无数据，请稍等1-2分钟后，刷新页面。因为云监控服务需要一定时间获取监控数据。

    在详情中，用户可以自定义图表中显示的时间、查看云监控的其它信息。

12.    点击左侧栏 云服务监控 的 负载均衡，页面显示当前帐户下仅有一台负载均衡实例。点击负载均衡实例右侧的 监控图表，查看负载均衡实例的监控数据。
    

13.    在负载均衡的监控图表页面中，用户可以查看到 流入流量，流出流量 等信息。点击 监控图表 中的 流入流量 等监控项目，进入详细的图表页面。
    

说明：流入流量，从外部访问负载均衡所需要消耗的流量；流出流量，负载均衡访问外部所需要消耗的流量；新建连接数，在统计周期内新建立的连接数的均值。它统计的是客户端连接请求，其中活跃连接数、非活跃连接数统计的也是客户端到负载均衡的连接请求。流入数据包数，负载均衡实例每秒接到的请求数据包数量；流出数据包数，负载均衡每秒发出的数据包数量；活跃连接数，当时所有ESTABLISHED状态的连接，可以理解为并发量，但是不能等同。因为如果用户采用的是长连接的情况，一个连接会同时传输多个文件请求；非活跃连接数，指除established状态的其他所有状态tcp连接数。

2 创建ECS监控报警规则

1.    在创建报警任务之前，首先，创建报警联系人。然后，将报警规则中选择报警联系人所在的联系人组，最后，验证在触发警报时，发送报警信息给报警联系人。
   

2.    点击云监控管理控制台左侧的 报警服务-->报警联系人，在报警联系人的页面中，默认当前阿里云账号的注册信息为报警联系人。点击页面右上角的 新建联系人，创建一个新的报警联系人。
   

3.    在弹出的对话框中，输入 姓名，如：Connie，并输入 手机号 和 验证码。完成后，点击 保存。
   

注意：此处请填写真实的手机信息，否则，将无法获取验证信息，在本实验的最后一个章节，会介绍如何清理已创建报警联系人。并请进行清理，避免个人信息泄漏。

        在报警联系人的页面中，查看到新建用户，如：Connie（用户自定义姓名）和相应的手机号信息。

4.    点击左侧栏中 云服务监控 类别下的 云服务器ECS ，进入ECS监控列表，选择 实验资源 提供的 地域 。点击ECS实例右侧的 报警规则。查看ECS实例的报警配置。
   
   
   
       
   
          在ECS实例的报警规则列表下，查看到当前实例没有报警规则。点击页面右上方的 新建报警规则，创建新的报警规则。
   

5.    在 设置报警规则 页面中，设置如下信息：规则名称 自定义，如：warning。监控项 选择 CPU使用率；统计周期 设为 1分钟；统计方法 设为 只要有一次 、>=，阈值 输入 80％，连续几次超过阀值后报警 输入1。也就是，每分钟都会统计CPU的使用率，当有1次检测到的CPU使用率大于80%时，会触发报警规则。
   

6.    然后，执行以下几步，完成 新建报警规则。
   

1). 设置 通知方式，点击 快速创建联系人组。

2). 在弹出的 新建联系人组 的对话框中，配置如下信息：组名 为 EcsOps（自定义）,已选联系人 是将 已有联系人 中自建的报警联系人，如：Connie（用户自定义姓名），添加到 已选联系人。完成后，点击 确定。

注意：在新建联系人组之前，必须在 报警联系人 中创建相应的报警联系人。若报警联系人加入到同一个联系人组中，则这个组中的所有报警联系人均会收到相同的报警的提示信息。

3). 完成以上设置后，点击底部的 确认。

4). 弹出弹框，再次点击 确认。

5). 此时，可以在 报警规则 的页面中，查看到 状态 为 正常 的 CPU实用率 的监控项。说明，当前ECS实例的CPU使用率<80%。

8.    创建报警规则后，使用stress压测工具，增加CPU使用率，触发报警规则。首先，远程登录到沙箱 实验资源 提供的 网站服务器 ECS实例中。请使用本资源提供的ECS服务器的 弹性IP，用户 和 密码。
   

说明：远程登录Linux系统ECS实例的详细步骤，请参考云中沙箱 帮助文档

9.    登录到ECS实例后，输入如下命令，增加ECS实例的CPU使用率。
   

stress --cpu 8 --io 4 --vm 2 --vm-bytes 128M --timeout 10m

10.    返回云监控管理控制台，查看ECS实例监控数据：首先，点击云监控管理控制台左侧栏中的 云服务器ECS，选择 实验资源 提供的 地域 。然后，在右侧主界面中，选择 ECS实例 右侧的 监控图表；点击 CPU利用率，查看ECS实例的CPU利用率的详细数据信息。等待1-2分钟后，CPU使用率将达到100%。
    

11.    同时，在手机中会收到短信提示信息：ECS实例CPU百分比最大值超过80%。等待1-2分钟，压测结束，ECS实例回复正常，收到一条新的短信通知 CPU百分比回复正常。因此，在真实的工作环境中，通过设置报警规则，用户可以及时发现ECS的异常状态。
    

3 使用云监控对站点进行监控

1.    云监控不仅可以对阿里云中的云资源进行监控，也可以使用云监控对自建Nginx服务器的站点进行监控，并设置报警规则，通过设置报警规则，及时发现站点异常现象，并对其处理。
   

说明：用户不仅可以对自己的站点进行监控，也可以对百度等网站进行监控。

2.    首先，在云监控管理控制台中，点击左侧栏的 站点管理，进入 站点监控 页面，点击右上角的 新建监控任务，弹出创建对话框，开始创建站点监控。
   

3.    在 创建监控点 的对话框中，站点类型 选择 HTTP；监控点的名称 输入 Nginx服务器；监控地址 输入  实例资源 提供的 负载均衡器的 IP地址；监控频率 设为 1分钟。其余为默认设置，完成后，点击 确定。如上配置，可以实现每分钟监控负载均衡的访问IP地址的状态。
   
   
   
   
   
        页面提示 站点监控创建成功，点击 设置报警规则，开始创建站点的报警规则。
   

4.    在 设置报警规则 中，使用默认配置：状态码>=400，也就是当网站访问异常的时候，触发报警规则。完成后，点击 下一步。
   

5.    在 设置通知对象 中，配置如下参数：连续几次超过阈值后报警，选择 1；报警方式选择 多检测点独立报警，也就是若在 创建站点监控 时，填写多个站点信息，只要一个站点异常，就会触发报警，而 多检测点组合报警，只有所有监测点均异常，才会报警；联系人通知组 勾选 EcsOps。完成后，点击 确定”。
   
   
   
        对话框提示 已完成了1个站点的报警规则设置，点击 关闭。完成报警规则的创建。
   

6.    在 站点监控 页面，可以查看到一个新建监控站点 Nginx服务器，等待1-2分钟后，可以查看到不同地域监控点的监控信息。
   

7.    此时，停止负载均衡后端的ECS实例，模拟网站服务器异常，导致站点不可访问。点击顶部导航栏的 产品与服务 ，下拉列表依次选择 云计算基础服务 ---> 弹性计算 ---> 云服务器ECS，返回ECS管理控制台。点击左侧栏中 实例，在顶层栏中，选择云中沙箱 实验资源 提供的 地域，比如 华南1 。点击实例右侧的 更多，在弹出的下拉菜单中，点击 实例状态-->停止。
   
   
   
        在弹出的对话框中，选择 强制停止，并勾选 确定要强制停止。完成后，点击 确定。
   

8.    等待1分钟，ECS状态变为 已停止。此时，在浏览器中访问 实验资源 提供的 负载均衡器 的 IP地址，页面显示 504 错误。
   
   
   
        同时，手机会收到报警短信，Nginx服务器发生错误，其状态码值为 504。在真实环境中，建议用户，尽快处理监控异常的网站，避免影响业务的正常使用。
   

4 清理云监控

1.    当某个站点不再使用，或者用户不希望再获取来自云监控的报警信息时，用户需要对云监控进行清理。本实验主要进行如下内容的清理：监控站点 和 报警联系人信息 清理。
   

2.    首先，进入云监控管理控制台的 站点管理 页面，勾选不需要监控的网站。然后，点击列表下端的 批量删除。
   
   
   
    在弹出的对话框中，点击 确定。批量清理监控站点。
   

3.    点击左侧栏 报警联系人，在 报警联系人 页面中，选择要清除的联系人，如：Connie（用户自定义姓名）右侧的 删除。
   

注意：为了确保用户的个人信息安全，请务必删除自建的报警联系人的信息，避免个人信息泄漏，导致安全问题。

        在弹出的提示对话框中，点击 确定。删除报警联系人 Connie。

至此，完成云监控的全部实验步骤。