在网络层面搭建防火墙、网络控制准入（NAC）、抗 DDOS 设备等保障安全体系，这篇是从设备、主机层面搭建安全设备来保障的。

主机入侵检测就是在主机上检测入侵行为并告警，以便触发应急响应，对应的系统称为HIDS（Host-based Intrusion Detection System，基于主机的入侵检测系统），属于主机层可选的安全基础设施。

身份风险分析

HIDS 在身份检测支持有主机账号检测、口令Hash监测、登录行为检测等

检测结果的一般处理方式：对于异常，要么告警并通知整改，要么登记后让其合法化，登记报备的数据记录，包括责任人、报备类型、原因、有效期等，作为触发告警环节的排除项。管理员可基于告警信息综合判断，如服务器监听范围有误、是否有内部服务器被黑客攻占。

主机账号（操作系统账号）检测：如果对操作系统的用户名加以规范，例如按照指定的规则命名或者或跟员工ID绑定，那么不符合规范的用户名就属于异常，黑客创建的账号就能很快地被发现。

口令Hash检测：当我们强制使用动态口令。如果尚未推行动态口令，仍旧使用静态口令，就需要弱口令检测机制了。

登录行为检测：在每个时间窗内对每个IP和账户的登录次数进行统计，检测到破解动作达到设定的阈值时，就视为暴力破解发出告警.

如果SSHD监听了外网IP地址，或者黑客已经渗透到内网，可能会遇到暴力破解攻击。

暴力破解，即黑客通过工具，反复尝试各种口令组合,如果真实口令的强度不够高，则可能被破解。

员工登录业务服务器方案

动态口令：静态口令容易被黑客利用，不安全，所以安全的做法就是对SSH启用实名关联和动态口令。 一次一密：指的是每一次登录服务器的时候，都使用不同的服务器口令。

在业务服务上安装一个 Agent,员工通过 SSO 认证后，需要通过口令管理系统获取对应的业务服务器的口令，运维平台发送对应的命令让业务服务器 Agent 执行对应的命令，而不是让业务服务器直接执行。

修改口令的策略：口令需要设置对应的窗口期，如果超过对应的时间就修改口令。

在已实施实名登录的场景下，如果出现非授权用户的登录动作，则授权机制出了问题，需要检查授权与访问控制的有效性。这需要结合设备责任人清单、授权表和登录动作，关联起来进行判断。

访问控制风险检测首先是登录行为检测。如果登录来源不是来自跳板机或运维平台，而是来自其他服务器，则可能是黑客已经渗透到内网。

安装跳板机或者运维平台，业务服务器只能通过跳板机或者运维平台访问,如下图所示：

当Carol通过运维平台尝试登录服务器ServerA，访问控制模块会先基于ABAC原则，检查Carol是否为该服务器的责任人，结果不是；访问控制模块继续访问授权模块，检查Carol是否具备访问该服务器的权限，结果是有权限且权限在有效期内，于是放行。

通过Web化的平台来执行日常运维操作，例如文件管理、文件编辑、脚本发布、任务发布、内容发布等，甚至也可以直接提供基于Web的实时命令窗口（但需要做好审计，并屏蔽高危指令，如rm -rf /）

使用自动化运维平台的好处有很多：

服务器主机操作系统的相关资源，如系统文件、业务文件、进程、补丁检测等，也有可能受到外部恶意程序的侵害。

内部开源镜像的作用包括：