使用HSS监控Linux主机文件完整性
应用场景
文件完整性是指文件内容在存储、传输和处理过程中,保持不被未经授权的修改、删除或损坏的状态,从而确保文件内容的真实性和可靠性。在主机安全防护中,保障文件完整性的意义包括但不限于如下几个方面:
- 防止数据篡改:通过监控文件完整性,可以防止攻击者恶意篡改和破坏数据,以及防止由于软件故障或内部人员操作失误导致的数据损坏,从而保障数据的完整性和真实性。
- 提升主机安全:通过监控文件完整性,可以辅助您快速识别文件被非法修改的行为,从而迅速采取相应的安全措施,从而减少潜在的安全危险,提升主机防御能力。
- 满足合规要求:许多行业标准和法规,要求企业和组织保护敏感数据的完整性和安全性,通过监控文件完整性,可以避免因数据安全问题而面临的法律风险和罚款。
HSS提供主机安全告警和文件完整性管理功能,可以监控服务器中的文件或目录,针对可疑的更改文件或目录的行为进行告警。本文为您介绍如何使用HSS的相关功能监控Linux主机文件完整性。
主机安全告警和文件完整性管理的文件保护差异
HSS的主机安全告警功能和文件完整性管理功能均具备文件完整性监控能力,两者互补共同为文件提供全面的安全防护。两者的差异如表1所示。
|
差异类别 |
主机安全告警 |
文件完整性管理 |
|---|---|---|
|
监控类型 |
文件、目录 |
文件 |
|
告警类型 |
|
关键文件变更:实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警。 |
|
文件保护原理 |
基于行为特征进行分析,关注可疑的行为或活动。 |
侧重关注文件的完整性,使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态。 |
|
支持的操作系统 |
|
Linux |
|
优势 |
不仅能监控文件,还能监控目录,并且监控更改文件的行为类型更多。 |
永久保有文件被更改的记录,有助于运维人员调查取证攻击者的行为活动。 |
前提条件
主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述。
操作步骤
- 配置文件保护策略。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 - 在左侧导航栏,选择“安全运营 > 策略管理”,进入“策略管理”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 单击目标策略组名称,进入策略详情列表。
HSS提供了多个系统预置策略组,主机开启防护后,默认绑定系统预置策略组。您也可以通过单击已有策略组“操作”列的“复制”,新建策略组进行文件保护策略配置。具体操作,请参见创建自定义策略组。
- 筛选出“文件保护”策略,在“操作”列单击“开启”,开启文件保护检测。
文件保护策略默认是开启状态,如果您关闭过该策略,则需要开启。
- 单击“文件保护”策略名称,进入到文件保护策略详情页面。
- 自定义监控文件目录、监控的操作类型等策略内容,参数说明如表2所示。
表2中展示了文件保护策略的默认取值,您可以根据实际业务情况自定义配置文件保护策略。为避免文件完整性变更引起大量的误报类告警,从而增加运维的工作量,建议您按如下配置思路配置文件保护策略:
- 少量试验:初次配置文件保护策略时,建议仅在少量主机上进行试点。
- 策略调优:密切关注策略生效期间的准确性和适用性,根据其结果进一步改进配置的策略,减少误报。
- 正式应用:经过多轮的策略调优后,当命中结果已趋于稳定,误报基本不存在时,可以在更多主机上应用。
图1 文件保护策略
表2 文件保护策略内容参数说明 策略模块
参数
默认参数取值
说明
文件提权检测
启用
开启
是否开启文件提权检测。
:开启。
:关闭。
忽略的文件路径
- /usr/lib64/hal/hald-runner
- /usr/sbin/hald
- /opt/nfast/sbin/privconn
- /usr/sbin/dhclient
- /usr/sbin/tcpdump
填写需要忽略的文件路径。
文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。
关键文件完整性检测
启用
开启
是否开启关键文件完整性检测。
:开启。
:关闭。
监控文件
- /bin/ls
- /usr/bin/ls
- /bin/ps
- /usr/bin/ps
- /bin/bash
- /usr/bin/bash
- /bin/login
- /usr/bin/login
- /usr/bin/passwd
- /usr/bin/top
- /usr/bin/killall
- /usr/bin/ssh
- /usr/bin/wget
- /usr/bin/curl
填写需要监控文件完整性的文件路径。
文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。
关键文件目录变更检测
启用
开启
是否开启关键文件目录变更检测。
:开启。
:关闭。
会话IP白名单
-
如果操作文件的进程属于白名单内的会话IP,则不予审计。
忽略监控文件类型后缀
- swo
- swp
- swpx
- lck
忽略监控的文件类型的后缀。
忽略监控的文件路径
- /etc/init.d/.depend.start
- /etc/init.d/.depend.stop
- /etc/init.d/.depend.halt
- /etc/init.d/.depend.boot
- /var/spool/cron/sed*
填写忽略监控文件的路径。
监控登录密钥
启用,并勾选“监控创建”、“监控删除”、“监控移动”、“监控修改”。
是否开启监控登录密钥。
:开启。
:关闭。
文件目录监控模式
文件目录监控内容较多,以下仅展示部分监控路径。更详细的内容,请前往HSS管理控制台查看。
- /etc/rc.d/rc.local
- /etc/cron.allow
- /etc/crontab
- /var/spool/cron/root
- /var/spool/cron/root
- /etc/cron.allow
- /etc/passwd
- /etc/profile.d/zzz_euleros_history.sh
- /etc/profile
文件目录监控模式分为“日常运营”和“护网/重保”模式,“护网/重保”模式相较于“日常运营”模式默认监控的文件或目录路径更多。
这两种模式下预置了一些文件或目录监控路径,用户可以根据需求自定义添加或删除。
- 文件或目录路径:需要监控的文件或目录路径。添加前,请确认是合法路径;最多可添加50个文件或目录路径。
- 别名:文件或目录路径的别名,您可以定义一个易区分的名称。
- 监控子目录:勾选后会监控对应子目录的所有文件。不勾选,则不监控子目录文件。
- 监视创建、删除、移动、修改等:用户可根据业务实际情况选择是否勾选。
- (可选)为服务器部署策略。
如果在1中,您是基于新创建的自定义策略组进行的文件保护策略配置,则完成策略组创建和策略配置后,您需要将新建的策略组部署应用到目标服务器,详细操作请参见部署策略。
- 查看并处理文件变更相关告警。
HSS会实时监控“文件保护”策略中配置的文件或目录路径,一旦发现异常更改将会立即告警。在收到告警后,请及时处理告警。
- 在主机安全平台界面的左侧导航栏,选择“检测与响应 > 安全告警事件”,进入“主机安全告警”界面。
- 在待处理告警列表中,展开“系统异常行为”类型告警 ,关注如图2所示的几类与文件变更相关的告警。
- 单击任一类型的告警,在右侧告警列表中,单击告警事件的告警名称,可查看告警详情。
图3 查看告警详情
- 根据告警详情中的“调查取证”信息,判断并处理告警。
- 正常操作导致告警
在告警详情页面的右下方,单击“忽略”,忽略本次告警。
- 可能是恶意文件或程序导致告警
- 查看并确认主机是否同时存在有反弹shell、异常登录或恶意软件等高危告警,如果有,主机可能被攻破,请立刻对主机进行安全排查。
- 主机排查完毕后,在告警详情页面的右下方,单击“我已手动处理”,关闭该告警。
- 正常操作导致告警
- 查看文件变更记录。
文件完整性管理功能页面会一直保有服务器的文件变更记录,有助您定位发现可疑的更改。
- 在企业主机安全控制台的左侧导航栏选择,进入文件完整性管理界面。
- 查看云服务器的文件变更情况。
