腾讯云主机安全(CWP)对接使用完全指南:从Agent安装到API深度集成
1. 主机安全产品概述:云端服务器的守护者
在云计算时代,服务器安全已成为企业数字化生存的基石。腾讯云主机安全(Cloud Workload Protection,简称CWP)正是为此而生的一款专业安全防护产品。它基于腾讯安全积累的海量威胁数据,利用机器学习技术为用户提供黑客入侵检测和漏洞风险预警等全方位的安全防护服务。主机安全的核心能力涵盖密码破解拦截、异地登录提醒、木马文件检测、高危漏洞检测等多个维度,能够有效解决当前服务器面临的主要网络安全风险,帮助企业构建完善的服务器安全防护体系,防止数据泄露。
主机安全不仅支持腾讯云原生的云服务器(CVM)、轻量应用服务器(Lighthouse)、黑石物理服务器,还支持非腾讯云主机的接入。这意味着无论您的服务器部署在哪个云平台或IDC机房,只要服务器能够联网且系统满足要求,都可以通过安装主机安全Agent来获得统一的防护能力。
需要先登录腾讯云控制台,点击:腾讯云控制台,还没有账号,点击:注册后再关联,已有账号点击:登录后再关联
2. 版本选择:基础版、专业版与旗舰版的功能对比
腾讯云主机安全目前提供基础版防护、专业版防护和旗舰版防护三个版本,不同版本在功能覆盖和防护深度上存在显著差异。
基础版(免费):提供基础的云平台威胁检测能力,包括异常登录检测、密码破解检测、热门高危漏洞推送、高危暴露服务检测、扫码安全登录、入侵排查工具以及病毒查杀试用功能。基础版对所有用户均免费,只要服务器安装了主机安全客户端并保持在线,即可享有基础版防护。对于个人开发者或测试环境而言,基础版已经能够提供必要的安全基线。
专业版:在基础版之上大幅扩展了安全能力。专业版提供完整的资产指纹采集与展示,覆盖账号、端口、进程、软件应用、数据库、Web应用、Web服务、Web框架、Web站点等多维度的资产信息。在漏洞管理方面,专业版支持Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞和应用漏洞的全面检测与修复方案。入侵防御能力也更为丰富,包括文件查杀(恶意文件与异常进程)、恶意请求检测、高危命令监控、本地提权检测、反弹Shell检测以及Java内存马检测等。基线管理方面,专业版支持CIS基线、等保二级/三级、弱口令基线等多种合规标准的检测。专业版采用包年包月计费,适用于需要基础安全加固的中小企业场景。
旗舰版:在专业版基础上进一步增强了高级防御能力,包括网络攻击检测、勒索监测、应用防护(漏洞防御与内存马扫描)、核心文件监控等。旗舰版还提供了RASP(运行时应用自我保护)等深度应用层防护能力。旗舰版同样采用包年包月计费,适用于对安全合规有更高要求的大型企业和关键业务系统。
在实际选型中,建议遵循‘先基础、后专业、再旗舰’的渐进式策略。对于核心生产环境,专业版是最低推荐配置;对于金融、政务等强合规行业,旗舰版是必要选择。
3. Agent安装:为服务器开启安全防护的第一步
安装主机安全Agent是使用主机安全服务的前提条件。Agent是运行在服务器上的轻量级安全客户端,负责采集系统信息、检测安全威胁并与云端控制台进行实时通信。
3.1 腾讯云服务器的自动安装
购买腾讯云服务器(CVM)时,在购买页面勾选‘安全加固’选项,系统便会自动安装主机安全客户端。这是最便捷的安装方式,无需任何额外操作。已购买的云服务器如果尚未安装Agent,可以在主机安全控制台的‘主机列表’中查看状态,并点击‘安装’按钮获取安装指引。
3.2 Linux服务器的Agent安装
腾讯云主机安全支持主流的Linux发行版,包括TencentOS Server、CentOS 6及以上、Ubuntu 9.10及以上、Debian 6及以上、RHEL 6及以上、OpenCloudOS、AlmaLinux、Rocky Linux、Alibaba Cloud Linux、Amazon Linux等。
对于运行在腾讯云VPC网络中的x86架构Linux服务器,可以通过以下命令完成安装:
wget 'http://u.yd.tencentyun.com/ydeyes_linux64.tar.gz' -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh
对于运行在腾讯云基础网络中的x86架构Linux服务器,安装命令略有不同:
wget 'http://u.yd.qcloud.com/ydeyes_linux64.tar.gz' -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh
对于ARM架构的Linux服务器(如基于鲲鹏、飞腾等处理器的实例),需要使用对应的安装包:
wget 'http://u.yd.tencentyun.com/ydeyes_linux64_aarch64.tar.gz' -O ydeyes_linux64_aarch64.tar.gz && tar -zxvf ydeyes_linux64_aarch64.tar.gz && ./self_cloud_install_linux64.sh
安装完成后,可以通过以下命令验证Agent是否正常运行:
ps -ef | grep YD
如果看到YDService和YDLive进程在运行,则说明Agent安装成功。
3.3 Windows服务器的Agent安装
主机安全支持Windows Server 2008、2012、2016、2019、2022(32位或64位),以及Windows 10、11(64位)。
对于运行在腾讯云VPC网络中的x86架构Windows服务器,在cmd命令行窗口中执行以下命令:
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://u.yd.tencentyun.com/ydeyes_win32.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\ydeyes_win32.exe'))"; "./ydeyes_win32.exe"
对于运行在腾讯云基础网络中的Windows服务器:
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://u.yd.qcloud.com/ydeyes_win32.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\ydeyes_win32.exe'))"; "./ydeyes_win32.exe"
Windows安装成功后的验证方式:打开任务管理器,查看YDService和YDLive进程是否存在且正在运行。
3.4 非腾讯云主机的接入
主机安全同样支持非腾讯云主机的接入,包括其他云平台(如阿里云、AWS、Azure等)的云服务器、自建IDC的物理服务器以及国外的IDC服务器。对于非腾讯云主机,由于安装命令存在有效期限制,需要登录主机安全控制台,进入‘主机列表’页面,点击‘安装主机安全客户端’,根据所安装机器的架构与类型选择合适的安装链接。复制安装链接后,登录到目标机器上使用root权限(Linux)或管理员权限(Windows)执行即可。非腾讯云主机安装Agent后,控制台通常在秒级即可展示该机器。
4. 核心防护功能详解:构建多层次的安全防线
主机安全提供了丰富而全面的防护功能,涵盖从文件安全、入侵检测到漏洞管理的多个层面。
4.1 文件查杀:抵御恶意软件的 first line of defense
文件查杀功能基于云查杀引擎对主机上的文件进行检测,能够有效识别并隔离木马、病毒等恶意文件。特别值得关注的是网站后门木马(Webshell)的检测——黑客通常通过漏洞入侵网站后,植入ASP、PHP、JSP等动态脚本作为后门,从而持续控制服务器进行文件上传下载、命令执行等破坏行为。主机安全基于机器学习的检测技术,依托腾讯云安全平台的全网恶意文件样本收集能力,能够实时准确检测各类已知木马恶意文件,并提供一键隔离功能。
4.2 异常登录:智能识别非授权访问
异常登录功能基于常用登录源IP、登录用户名、登录时间、登录地四个维度对服务器登录日志进行分析。系统通过智能算法将异常登录记录标记为‘可疑’或‘高危’,并向管理员提供实时告警通知。用户还可以配置登录白名单,条件包括来源IP、登录用户名、登录时间、登录地和生效服务器范围。
4.3 密码破解防护:主动阻断暴力攻击
云服务器通过互联网暴露在公网之上,给了不法分子进行暴力破解尝试的可乘之机。主机安全的密码破解功能支持对SSH、RDP等服务的暴力破解行为进行实时检测、告警和阻断。用户可以自定义暴破阻断规则,例如设置‘1分钟内登录失败次数超过5次则阻断15分钟’。事件记录包含来源IP、来源地、登录用户名、攻击时间、尝试次数、阻断状态等详细信息,便于精准溯源与处置。
4.4 漏洞管理:提前发现并修复安全短板
漏洞管理是主机安全的核心能力之一。主机安全对云服务器上存在的各类高危漏洞风险进行实时预警并提供修复方案。检测范围覆盖应急漏洞(如0day等近期紧急漏洞)、Linux软件漏洞(如gnutls资源管理错误等)、Windows系统漏洞(实时同步微软官网补丁源)、Web-CMS漏洞(如phpMyAdmin、WordPress等Web类组件漏洞)以及应用漏洞(系统服务弱口令、系统服务和应用服务的漏洞)。
4.5 基线管理:满足合规要求的系统加固
基线管理功能支持对基线检测项进行定期检测和一键检测,支持对指定主机上的指定基线项进行精准检测。系统内置了CIS基线、等保二级、等保三级、弱口令基线、未授权访问等多种合规标准。用户可以查看不同基线策略下的检测服务器、检测项、基线通过率等统计信息。检测结果会提供风险等级和专业的修复建议,帮助企业高效满足合规要求。
4.6 高级防御:RASP与内存马检测
旗舰版提供了RASP(运行时应用自我保护)等深度应用层防护能力。开启RASP防护的步骤为:登录主机安全控制台,进入‘资产列表’或‘主机列表’确认目标服务器已安装并在线运行Agent,然后进入‘安全防护’或‘高级防护’相关页面,找到RASP防护模块并点击开启。RASP需依赖主机安全Agent,需要确保Agent正常运行且版本支持RASP功能。
Java内存马检测是另一项重要的高级防御能力。系统实时监控、捕捉JavaWeb服务进程内存中存在的未知Class,结合腾讯云攻防经验及专家知识自动识别内存木马。一旦检测到内存马,系统将实时告警。
5. 告警通知配置:让安全事件第一时间触达
告警通知是安全运营中至关重要的一环。主机安全提供了灵活的通知配置能力,支持站内信、短信、邮件和机器人通知等多种方式。
5.1 站内信/短信/邮件通知
在使用站内信、短信、邮件等通知方式前,需要先在腾讯云消息中心完成主机安全的基础订阅设置。在消息中心找到‘主机安全’,确保消息免打扰开关处于关闭状态。然后在订阅编辑弹窗中,按需勾选站内信、邮件、短信、微信、企业微信等接收渠道(语音通知暂不支持)。消息接收人需选择用户或用户组。
告警规则覆盖了多个安全类别,包括资产指纹(高危端口暴露)、入侵检测(文件查杀、异常登录、密码破解、恶意请求、高危命令、本地提权、反弹Shell)、漏洞管理(应急漏洞、Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞)、基线管理(安全基线)、高级防御(网络攻击、勒索监测、应用防护、核心文件监控)、客户端相关(客户端离线、客户端卸载)以及日志分析等。为减少对用户的打扰,系统做了告警频率限制:告警周期开始时,前3条安全告警实时通知,后续每2小时汇总通知1次。
5.2 机器人通知
如果希望将告警通知发送到IM群(如企业微信群、钉钉群等),可以使用机器人通知方式。在主机安全控制台的‘设置中心 > 通知设置’中,选择‘机器人通知 > 接收机器人管理’进行配置。用户可以按不同机器人分别设置告警策略,实现差异化的通知分发。
6. API对接:将主机安全能力融入自动化运维体系
腾讯云主机安全提供了完整的API 3.0接口,开发者可以通过API对CWP进行资产管理、文件查杀、入侵防御、漏洞检测、基线检测等操作。API接口请求域名为 cwp.tencentcloudapi.com。
6.1 API Explorer:快速上手API调试
腾讯云提供了API Explorer工具,支持在线调用、签名验证、SDK代码生成和快速检索接口等能力。用户可以通过API Explorer查看每次调用的请求内容和返回结果,并自动生成各语言的SDK调用示例。此外,API Inspector功能允许用户查看控制台每一步操作关联的API调用情况,并自动生成各语言版本的API代码。
6.2 Python SDK调用示例
以下是通过Python SDK调用主机安全API的完整示例。首先需要安装腾讯云Python SDK:
pip install tencentcloud-sdk-python
然后编写调用代码。以下示例演示了如何调用漏洞一键检测接口(StartVulScan):
import json
from tencentcloud.common import credential
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile
from tencentcloud.cwp.v20180228 import cwp_client, models
# 替换为您的SecretId和SecretKey
secret_id = '您的SecretId'
secret_key = '您的SecretKey'
cred = credential.Credential(secret_id, secret_key)
http_profile = HttpProfile()
http_profile.endpoint = 'cwp.tencentcloudapi.com'
client_profile = ClientProfile()
client_profile.httpProfile = http_profile
client = cwp_client.CwpClient(cred, 'ap-guangzhou', client_profile)
# 构造漏洞一键检测请求
req = models.StartVulScanRequest()
params = {
'VulCategories': ['linux', 'windows', 'web'], # 检测的漏洞类型
'HostIds': ['ins-xxxxxxxx'] # 指定主机ID列表
}
req.from_json_string(json.dumps(params))
# 发起请求
resp = client.StartVulScan(req)
print(resp.to_json_string())
以下示例演示了如何调用基线检测接口(StartBaselineDetect):
import json
from tencentcloud.common import credential
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile
from tencentcloud.cwp.v20180228 import cwp_client, models
cred = credential.Credential(secret_id, secret_key)
http_profile = HttpProfile()
http_profile.endpoint = 'cwp.tencentcloudapi.com'
client_profile = ClientProfile()
client_profile.httpProfile = http_profile
client = cwp_client.CwpClient(cred, 'ap-guangzhou', client_profile)
# 构造基线检测请求
req = models.StartBaselineDetectRequest()
params = {
'Param': {
'HostIds': ['df00265c-081a-4e47-8b92-3e59d902****'],
'RuleIds': [30] # 基线规则ID
}
}
req.from_json_string(json.dumps(params))
resp = client.StartBaselineDetect(req)
print(resp.to_json_string())
以下示例演示了如何查询漏洞列表:
import json
from tencentcloud.cwp.v20180228 import models
req = models.DescribeVulListRequest()
params = {
'Limit': 10,
'Offset': 0,
'Filters': [
{
'Name': 'VulCategory',
'Values': ['linux']
}
]
}
req.from_json_string(json.dumps(params))
resp = client.DescribeVulList(req)
print(resp.to_json_string())
通过API集成,企业可以将主机安全的能力无缝嵌入到现有的运维平台、工单系统或SIEM(安全信息与事件管理)系统中,实现自动化的安全运营闭环。
7. 最佳实践:让主机安全发挥最大价值
7.1 全量覆盖,不留死角
确保所有服务器(包括腾讯云和非腾讯云)都已安装主机安全Agent并保持在线状态。定期检查主机列表,及时发现未防护的服务器。
7.2 版本升级,按需配置
根据业务的重要性和合规要求,为不同服务器配置不同版本的防护。核心生产环境至少使用专业版,关键业务系统建议使用旗舰版。
7.3 告警配置,及时响应
配置合理的告警通知策略,确保安全事件能够第一时间触达相关负责人。建议同时配置站内信、邮件和机器人通知等多种渠道,避免单点故障导致告警遗漏。
7.4 定期扫描,主动防御
定期执行漏洞扫描和基线检测,及时发现并修复安全隐患。可以结合API实现定时自动扫描,将安全检测融入日常运维流程。
7.5 白名单管理,减少误报
合理配置异常登录、密码破解、本地提权、反弹Shell等功能的IP白名单和规则白名单,在保证安全的前提下减少误报干扰。
8. 常见问题解答(FAQ)
问1:主机安全与其他安全产品(如云防火墙、WAF)是否冲突?
答:主机安全与其他安全产品并不冲突,它们属于不同的防护维度。主机安全专注于工作负载层面的安全防护(入侵检测、漏洞管理、基线加固等),云防火墙关注网络边界访问控制,WAF聚焦Web应用层的攻击防护。三者协同工作,在不同层面上提供安全能力,共同保障用户的整体安全。
问2:非腾讯云主机可以接入主机安全吗?需要额外付费吗?
答:可以。主机安全支持非腾讯云主机的接入,包括其他云平台的云服务器、自建IDC的物理服务器等。非腾讯云主机安装Agent后同样可以享受主机安全的防护能力。基础版对所有用户免费,专业版和旗舰版需要购买授权。
问3:如何验证主机安全Agent是否安装成功?
答:Linux系统可以通过执行 `ps -ef | grep YD` 命令查看YDService和YDLive进程是否运行。Windows系统可以打开任务管理器,查看YDService和YDLive进程是否存在。此外,登录主机安全控制台,在‘主机列表’中查看服务器状态是否显示为‘防护中’。
问4:专业版和旗舰版的主要区别是什么?
答:旗舰版在专业版基础上增加了高级防御能力,包括网络攻击检测、勒索监测、应用防护(漏洞防御与内存马扫描)、核心文件监控以及RASP(运行时应用自我保护)等深度防护功能。旗舰版适用于对安全合规有更高要求的大型企业和关键业务系统。
问5:主机安全的告警通知支持哪些渠道?
答:主机安全支持站内信、短信、邮件、微信、企业微信以及机器人通知(如企业微信群、钉钉群等)。语音通知暂不支持。
问6:如何通过API实现自动化的漏洞扫描?
答:可以使用主机安全的API 3.0接口,通过调用StartVulScan接口发起漏洞一键扫描任务。结合定时任务(如cron job或云函数的定时触发器),可以实现周期性的自动化漏洞扫描。扫描完成后,可以通过DescribeVulList接口查询扫描结果。API Explorer工具提供了完整的接口文档和在线调试能力,方便快速上手。





