使用密鑰對登錄實例

密鑰對（由公有密鑰和私有密鑰組成）是一組安全憑證，可在連接ECS實例時用來證明您的身份，避免弱密碼可能造成的安全風險。阿里云的密鑰對默認采用的是RSA 2048位的加密算法生成了包括公鑰和私鑰，使用公鑰和私鑰認證的方式登錄實例，是一種安全便捷的登錄方式。相對于傳統的賬號密碼登錄方式有如下優勢：

• 常規的用戶口令容易被爆破，密鑰對杜絕了暴力破解的風險。

• 密鑰對登錄方式更加簡便， 一次配置，后續再也不需要輸入密碼。

更多信息，請參見通過密碼或密鑰認證登錄Linux實例、通過密鑰認證登錄Linux實例。

使用會話管理免密登錄實例

除了使用密鑰對登錄ECS實例外，還可以使用會話管理免密登錄實例。會話管理是由云助手提供的功能，相比于密鑰對、VNC 等方式，可以更便捷地遠程連接ECS實例，且兼具安全性。使用會話管理端連接實例的優勢如下：

• 會話管理客戶端與云助手服務端、云助手服務端與ECS云助手客戶端之間通信時，會通過WSS協議建立WebSocket長連接，WSS使用SSL加密WebSocket長連接，能夠保障數據的安全。

• 會話管理采用RAM進行鑒權，無需管理密碼，避免密碼因保存不善而導致泄露的安全風險。

• 會話管理使用云助手客戶端與云助手服務端之間通過WebSocket連接，因此不需要打開ECS實例的入方向端口，進一步提高了ECS實例的安全性。

更多信息，請參見通過會話管理連接實例。

避免敏感端口0.0.0.0/0授權

Linux操作系統使用了SSH終端連接，默認使用22端口，Windows操作系統使用RDP遠程桌面，默認使用的是3389端口。通常情況下，未限制端口訪問（0.0.0.0/0授權）允許任意來源的訪問可能導致黑客或攻擊者在未經過您的授權的情況下，通過這些端口登錄到操作系統中。阿里云免費為您提供了實例級別的虛擬化防火墻（安全組），它可以設置單臺或多臺ECS實例網絡訪問控制，是重要的安全隔離手段。更多信息，請參見安全組概述、安全組關聯資源管理。

使用OOS補丁基線自動更新安全補丁

阿里云系統運維管理OOS能夠自動化管理和執行任務。OOS的補丁基線支持用戶根據默認或自定義的補丁基線對ECS實例的補丁進行掃描和安裝。在這個過程中，用戶可以選擇安全相關或其他類型的更新，自動修復相應的ECS實例。更多信息，請參見補丁管理概述。

Alibaba Cloud Linux操作系統內核熱補丁

Alibaba Cloud Linux操作系統為內核熱補丁的高危安全漏洞（CVE）以及重要的錯誤修復（Bugfix）提供了熱補丁支持，內核熱補丁可以在保證服務的安全性以及穩定性的情況下，平滑且快速地為內核更新高危安全漏洞以及重要的錯誤修復的補丁。它具備不需要重啟服務器以及任何業務相關的任務進程、不需要等待長時間運行的任務完成、不需要用戶注銷登錄、不需要進行業務遷移等優勢。更多信息，請參見內核熱補丁使用說明。

使用免費的基礎安全服務

在使用公共鏡像新購ECS實例時，阿里云默認會為您提供較為豐富的基礎安全服務（云安全中心免費版）。您也可以選擇取消該能力，但是強烈建議您開啟該能力，它能夠為您提供基礎的安全加固能力，包括主流的服務器漏洞掃描、云產品安全配置基線核查、登錄異常告警、AK異常調用、合規檢查等。云安全中心免費版是完全免費的服務，不收取任何費用。如果有更多需求，可以購買高級版、企業版以及旗艦版。更多信息，請參見基礎安全服務。

日志審計

等保合規