實驗列表
實驗一:雲上安全防護
1.實驗概述
本實驗將介紹並使用安騎士的基本功能“木馬查殺”,“補丁管理”,“安全管理”和“安全運維”。雲中沙箱平臺會自動創建一臺已部署Phpwind站點的ECS雲服務器實例。首先,模擬“暴力破解”ECS密碼的情況,查看“攔截信息”。然後,設置“常用登陸地”,查看異地登錄情況。最後,簡要介紹安騎士的“補丁管理”,“木馬查殺”等。
2.實驗步驟
2.1暗騎士配置白名單
1.本章將介紹安騎士的 白名單登錄 功能。通過此功能,可以設置常用的登錄地白名單,對非白名單登錄進行告警通知。
2.在阿里雲管理控制檯左上角的 產品與服務 中,選擇 安全(雲盾)模塊下的 雲安全中心(安騎士),進入安騎士管理控制檯。
然後點擊 去雲安全中心。
3. 在雲安全中心的管理控制檯中,點擊左側欄中的 資產中心。右側頁面進入資產列表,可以查看當前帳戶下有兩臺ECS實例:實驗資源 提供的ECS實例(以 實例ID 命名)和一臺以 hacker-server 命名的新建ECS實例。兩臺實例均已安裝安騎士( 保護狀態 爲 在線 ),並且沒有檢測到漏洞和風險。
4. 由於安騎士檢測到非白名單登錄後,會以短信的方式發送給用戶,爲防止用戶正確登錄而被安騎士檢測爲異地登錄,並短信告警帶來的不便,可以通過添加白名單的方式來避免該問題。
(1)查詢 本地IP 。通過瀏覽器打開網址 www.ip138.com 來查詢 本地IP ,並複製下來以備用。
(2)找到安騎士加入白名單界面,界面路徑 安騎士→安全配置→登錄IP攔截加白。
(3)將本地IP加入白名單,點擊添加。
(4)對象類型選擇 彈性公網EIP,源IP輸入第1)步查找到的 本地IP,服務器選擇非黑客ECS的IP。點擊➡️,將此服務器移到 白名單配置生效的服務器 欄下。然後點擊:確認
2.2暗騎士異地登錄報警
本章用戶將通過 設置常用登錄地,檢測異地登錄情況。從而,可以有效的獲取異地登錄的信息,避免黑客攻擊。
1.在雲安全中心管理控制檯的 資產中心 頁面中,點擊 站點服務器 右側的 查看 ,配置常用登錄地址,當前沒有異常登錄記錄。
2.在彈出的 登錄安全設置 界面,在 常用登錄地 右側點擊 添加 。
3.在彈出的對話框中,配置如下信息:
設置 常用登錄地 爲實驗資源提供的 地域,如提供的地域爲 華東2,則添加常用登錄地爲 上海,則做如下操作
· 添加的常用登錄地:中國 、上海市 、上海市;這樣,只有使用上海的IP地址,遠程登陸到設置常用登陸地的ECS實例,纔會記錄爲 正常訪問。而其餘地域遠程登陸均被記錄爲 異地登錄。
4.使用攻擊者服務器 hacker-server異地登錄 站點服務器。
遠程登錄ECS服務器 hacker-server ,( IP地址 和 用戶名/密碼 可以在實驗資源列表中找到),登錄成功後,在該終端SSH登錄 站點服務器,使用 實驗資源 提供的站點服務器的 彈性IP地址,用戶 和 密碼 遠程登錄ECS。
5. 返回雲安全中心的管理控制檯,總覽 頁面,看到 待處理告警 下有 1個 異常登錄 記錄,點擊紅框中的數字 1 ,進入異常登錄頁面。
說明:由於安騎士的攔截記錄是從ECS服務器中獲取,因此,等待時間可能較長,建議學員可以直接瀏覽下面的安騎士功能介紹章節,稍後返回查看實驗結果。
實驗二:雲監控初體驗
1.實驗概述
本實驗會自動創建一臺已部署Nginx的ECS實例和一臺負載均衡SLB實例。首先,使用阿里云云監控的 雲服務監控 服務,配置並查看ECS實例和SLB實例的監控數據。然後,設置ECS實例的報警規則,並驗證報警規則生效。之後,使用 站點監控 服務,監控已部署Nginx的站點的狀態,並設置站點報警規則,驗證報警規則。最後,清理雲監控中的監控資源。
實驗目標
完成此實驗後,可以掌握的能力有:
-
使用雲監控的管理控制檯,監控ECS等阿里雲產品
-
創建報警規則,及時獲取阿里雲服務或站點的異常狀態;
-
使用站點監控,對網站進行監控。
-
清理雲監控中的監控資源
學前建議
瞭解ECS和SLB的基本操作
2.實驗步驟
2.1監控阿里云云服務
- 本章節將介紹如何使用雲監控對阿里雲上的資源進行基礎監控,本實驗主要實現對ECS和負載均衡實例的基本監控。首先,在負載均衡實例中創建監聽,然後,在ECS實例中安裝雲監控插件。最後,在雲監控中查看ECS,負載均衡的監控數據。
說明:使用雲監控對負載均衡實例進行監控時,不需要安裝監控插件。但是,負載均衡實例中必須有監聽。否則,雲監控將無法對負載均衡實例進行監控。
2. 進入阿里雲管理控制檯後,點擊阿里雲管理控制檯的左上角 產品與服務,在彈出的下拉列表中,選擇 雲計算基礎服務 —> 網絡 —> 負載均衡,進入負載均衡管理控制檯。
3. 
4. 在負載均衡服務管理控制檯的 實例管理 中,選擇 實驗資源 提供的 地域。之後在頂部的搜索欄中,左側關鍵字下拉框選擇 負載均衡ID,搜索框中填入負載均衡ID 後 點擊 搜索。在查詢結果中點擊右側的操作欄下的 管理,進入SLB實例的管理界面。
5.在負載均衡實例的管理頁面,點擊 監聽配置嚮導,進入 監聽配置 頁面。當前負載均衡實例中,無任何監聽。點擊右側的 添加監聽,創建負載均衡的監聽。
在 基本配置 頁面中,輸入如下參數:前端協議 選擇 HTTP,端口 設爲 80;後端協議 HTTP的端口也設爲 80;帶寬峯值 爲 1M。其餘爲默認設置。完成後,點擊 下一步。
在後端服務器頁面中,選擇默認服務器組,點擊繼續添加,勾選ECS實例,點擊下一步。
端口爲80,權重爲100,點擊下一步。
在 健康檢查配置 頁面中,關閉 健康檢查。完成後,點擊 確認。
在配置審覈頁面中,檢查監聽配置無誤後,點擊提交。
頁面提示監聽配置成功,點擊 確認。在 監聽配置 頁面,可以查看到一個狀態爲 運行中 的監聽項。
6.點擊阿里雲管理控制檯的左上角 產品與服務,在彈出的下拉列表中,依次選擇 雲計算基礎服務—監控與管理—雲監控,進入雲監控的管理控制檯。
7. 在 雲監控 管理控制檯的左側欄中,查看到目前雲監控主要提供的三種服務:站點管理,對網站進行監控;雲服務監控,對阿里雲中的多種產品和服務進行監控,目前雲監控可以對 ECS,RDS 等雲產品進行監控;自定義監控,爲用戶提供定製化的監控項,用戶可以根據自身的需求,自定義監控內容,並實時的上傳數據,查看監控信息。
8. 點擊左側欄 雲服務監控 中的 雲服務器ECS。出現更新提醒,選擇 暫不更新。頁面顯示在 實驗資源 提供的 地域 中有一臺ECS實例。點擊此臺ECS實例中的 插件狀態 的 點擊安裝,安裝雲監控插件。
說明:若ECS實例沒有安裝雲監控插件,則無法使用雲監控對ECS實例進行監控。
請等待1-2分鐘,點擊右上角的 刷新,當ECS實例的 ECS插件狀態 變爲 運行中,則完成ECS實例的插件安裝。用戶可以通過雲監控管理控制檯,查看此臺ECS實例的監控數據。點擊ECS實例右側的 監控圖表,實時查看更新的監控數據。
11. 在監控圖表頁面中,雲監控提供兩類ECS的監控數據:ECS實例基礎監控 和 操作系統級別監控指標。用戶可以根據自己的需求,查看相關的數據,並根據數據分析目前ECS實例的性能,適當調整實例的配置。可以點擊具體目標查看監控詳情。
說明:若無數據,請稍等1-2分鐘後,刷新頁面。因爲雲監控服務需要一定時間獲取監控數據。
在詳情中,用戶可以自定義圖表中顯示的時間、查看雲監控的其它信息。
10.點擊左側欄 雲服務監控 的 負載均衡,頁面顯示當前帳戶下僅有一臺負載均衡實例。點擊負載均衡實例右側的 監控圖表,查看負載均衡實例的監控數據。
11. 在負載均衡的監控圖表頁面中,用戶可以查看到 流入流量,流出流量 等信息。點擊 監控圖表 中的 流入流量 等監控項目,進入詳細的圖表頁面。
說明:流入流量,從外部訪問負載均衡所需要消耗的流量;流出流量,負載均衡訪問外部所需要消耗的流量;新建連接數,在統計週期內新建立的連接數的均值。它統計的是客戶端連接請求,其中活躍連接數、非活躍連接數統計的也是客戶端到負載均衡的連接請求。流入數據包數,負載均衡實例每秒接到的請求數據包數量;流出數據包數,負載均衡每秒發出的數據包數量;活躍連接數,當時所有ESTABLISHED狀態的連接,可以理解爲併發量,但是不能等同。因爲如果用戶採用的是長連接的情況,一個連接會同時傳輸多個文件請求;非活躍連接數,指除established狀態的其他所有狀態tcp連接數。
2.2創建ECS監控報警規則
-
在創建報警任務之前,首先,創建報警聯繫人。然後,將報警規則中選擇報警聯繫人所在的聯繫人組,最後,驗證在觸發警報時,發送報警信息給報警聯繫人。
-
點擊雲監控管理控制檯左側的 報警服務–>報警聯繫人,在報警聯繫人的頁面中,默認當前阿里雲賬號的註冊信息爲報警聯繫人。點擊頁面右上角的 新建聯繫人,創建一個新的報警聯繫人。
3.在彈出的對話框中,輸入 姓名,如:Connie,並輸入 手機號 和 驗證碼。完成後,點擊 保存。
3. 點擊左側欄中 雲服務監控 類別下的 雲服務器ECS ,進入ECS監控列表,選擇 實驗資源 提供的 地域 。點擊ECS實例右側的 報警規則。查看ECS實例的報警配置。
4. 在 設置報警規則 頁面中,設置如下信息:規則名稱 自定義,如:warning。監控項 選擇 CPU使用率;統計週期 設爲 1分鐘;統計方法 設爲 只要有一次 、>=,閾值 輸入 80%,連續幾次超過閥值後報警 輸入1。也就是,每分鐘都會統計CPU的使用率,當有1次檢測到的CPU使用率大於80%時,會觸發報警規則。
6. 然後,執行以下幾步,完成 新建報警規則。
1). 設置 通知方式,點擊 快速創建聯繫人組。
2). 在彈出的 新建聯繫人組 的對話框中,配置如下信息:組名 爲 EcsOps(自定義),已選聯繫人 是將 已有聯繫人 中自建的報警聯繫人,如:Connie(用戶自定義姓名),添加到 已選聯繫人。完成後,點擊 確定。
3). 完成以上設置後,點擊底部的 確認。
登錄到ECS實例後,輸入如下命令,增加ECS實例的CPU使用率。
# stress --cpu 8 --io 4 --vm 2 --vm-bytes 128M --timeout 10m
2.3使用雲監控對站點進行監控
-
雲監控不僅可以對阿里雲中的雲資源進行監控,也可以使用雲監控對自建Nginx服務器的站點進行監控,並設置報警規則,通過設置報警規則,及時發現站點異常現象,並對其處理。
說明:用戶不僅可以對自己的站點進行監控,也可以對百度等網站進行監控。 -
首先,在雲監控管理控制檯中,點擊左側欄的 站點管理,進入 站點監控 頁面,點擊右上角的 新建監控任務,彈出創建對話框,開始創建站點監控。
3. 在 創建監控點 的對話框中,站點類型 選擇 HTTP;監控點的名稱 輸入 Nginx服務器;監控地址 輸入 實例資源 提供的 負載均衡器的 IP地址;監控頻率 設爲 1分鐘。其餘爲默認設置,完成後,點擊 確定。如上配置,可以實現每分鐘監控負載均衡的訪問IP地址的狀態。
頁面提示 站點監控創建成功,點擊 設置報警規則,開始創建站點的報警規則。
4. 在 設置報警規則 中,使用默認配置:狀態碼>=400,也就是當網站訪問異常的時候,觸發報警規則。完成後,點擊 下一步。
5. 在 設置通知對象 中,配置如下參數:連續幾次超過閾值後報警,選擇 1;報警方式選擇 多檢測點獨立報警,也就是若在 創建站點監控 時,填寫多個站點信息,只要一個站點異常,就會觸發報警,而 多檢測點組合報警,只有所有監測點均異常,纔會報警;聯繫人通知組 勾選 EcsOps。完成後,點擊 確定”。
對話框提示 已完成了1個站點的報警規則設置,點擊 關閉。完成報警規則的創建。
6. 在 站點監控 頁面,可以查看到一個新建監控站點 Nginx服務器,等待1-2分鐘後,可以查看到不同地域監控點的監控信息。
7. 此時當停止服務器後,監控就會嚮應急聯繫人的手機和郵箱發送報警短信
8. 