使用HSS监控Linux主机文件完整性

应用场景

文件完整性是指文件内容在存储、传输和处理过程中，保持不被未经授权的修改、删除或损坏的状态，从而确保文件内容的真实性和可靠性。在主机安全防护中，保障文件完整性的意义包括但不限于如下几个方面：

• 防止数据篡改：通过监控文件完整性，可以防止攻击者恶意篡改和破坏数据，以及防止由于软件故障或内部人员操作失误导致的数据损坏，从而保障数据的完整性和真实性。
• 提升主机安全：通过监控文件完整性，可以辅助您快速识别文件被非法修改的行为，从而迅速采取相应的安全措施，从而减少潜在的安全危险，提升主机防御能力。
• 满足合规要求：许多行业标准和法规，要求企业和组织保护敏感数据的完整性和安全性，通过监控文件完整性，可以避免因数据安全问题而面临的法律风险和罚款。

HSS提供文件完整性管理功能，可以监控服务器中的文件或目录，针对可疑的更改文件或目录的行为进行告警。本文为您介绍如何使用HSS的相关功能监控Linux主机文件完整性。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述。

操作步骤

1. 配置文件保护策略。
   1. 登录企业主机安全控制台。
   2. 在控制台左上角，单击图标，选择区域或项目。
   3. 在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面。
   4. （可选）如果您已开通企业项目，可在页面上方“企业项目”下拉框中选择企业项目，查看目标企业项目下的相关信息和数据。
   5. 单击目标策略组名称，进入策略详情列表。

      HSS提供了多个系统预置策略组，主机开启防护后，默认绑定系统预置策略组。您也可以通过单击已有策略组“操作”列的“复制”，新建策略组进行文件保护策略配置。具体操作，请参见创建自定义策略组。

   6. 筛选出“文件保护”策略，在“操作”列单击“开启”，开启文件保护检测。

      文件保护策略默认是开启状态，如果您关闭过该策略，则需要开启。

   7. 单击“文件保护”策略名称，进入到文件保护策略详情页面。
   8. 自定义监控文件目录、监控的操作类型等策略内容，参数说明如表1所示。

      表1中展示了文件保护策略的默认取值，您可以根据实际业务情况自定义配置文件保护策略。为避免文件完整性变更引起大量的误报类告警，从而增加运维的工作量，建议您按如下配置思路配置文件保护策略：

      1. 少量试验：初次配置文件保护策略时，建议仅在少量主机上进行试点。
      2. 策略调优：密切关注策略生效期间的准确性和适用性，根据其结果进一步改进配置的策略，减少误报。
      3. 正式应用：经过多轮的策略调优后，当命中结果已趋于稳定，误报基本不存在时，可以在更多主机上应用。
      图1 文件保护策略
      

      表1 文件保护策略内容参数说明

      策略模块	参数	默认参数取值	说明
      关键文件完整性检测	启用	关闭	是否开启关键文件完整性检测。 ：开启。 ：关闭。
      	监控文件	/bin/ls /usr/bin/ls /bin/ps /usr/bin/ps /bin/bash /usr/bin/bash /bin/login /usr/bin/login /usr/bin/passwd /usr/bin/top /usr/bin/killall /usr/bin/ssh /usr/bin/wget /usr/bin/curl	填写需要监控文件完整性的文件路径。 文件路径以“/”开头，不能以“/”结尾，多个路径通过回车换行分隔且名称中不能包含空格。
      关键文件目录变更检测	启用	开启	是否开启关键文件目录变更检测。 ：开启。 ：关闭。
      	会话IP白名单	-	如果操作文件的进程属于白名单内的会话IP，则不予审计。
      	忽略监控文件类型后缀	swo swp swpx lck	忽略监控的文件类型的后缀。
      	忽略监控的文件路径	/etc/init.d/.depend.start /etc/init.d/.depend.stop /etc/init.d/.depend.halt /etc/init.d/.depend.boot /var/spool/cron/sed*	填写忽略监控文件的路径。
      	监控登录密钥	启用，并勾选“监控创建”、“监控删除”、“监控移动”、“监控修改”。	是否开启监控登录密钥。 ：开启。 ：关闭。
      	文件目录监控模式	文件目录监控内容较多，以下仅展示部分监控路径。更详细的内容，请前往HSS管理控制台查看。 /etc/rc.d/rc.local /etc/cron.allow /etc/crontab /var/spool/cron/root /var/spool/cron/root /etc/cron.allow /etc/passwd /etc/profile.d/zzz_euleros_history.sh /etc/profile	文件目录监控模式分为“日常运营”和“护网/重保”模式，“护网/重保”模式相较于“日常运营”模式默认监控的文件或目录路径更多。 这两种模式下预置了一些文件或目录监控路径，用户可以根据需求自定义添加或删除。 文件或目录路径：需要监控的文件或目录路径。添加前，请确认是合法路径；最多可添加50个文件或目录路径。 别名：文件或目录路径的别名，您可以定义一个易区分的名称。 监控子目录：勾选后会监控对应子目录的所有文件。不勾选，则不监控子目录文件。 监视创建、删除、移动、修改等：用户可根据业务实际情况选择是否勾选。

2. （可选）为服务器部署策略。

   如果在1中，您是基于新创建的自定义策略组进行的文件保护策略配置，则完成策略组创建和策略配置后，您需要将新建的策略组部署应用到目标服务器，详细操作请参见部署策略。

3. 查看并处理文件变更事件。

   HSS会实时监控“文件保护”策略中配置的文件或目录路径，一旦发现异常更改将会立即上报变更事件。建议您及时处理以便发现可疑的更改行为。

   1. 在企业主机安全控制台左侧导航栏，选择“主动防御 > 文件完整性管理”，进入“文件完整性管理”界面。
   2. 筛选出待处理的主机或容器变更事件。
      图2 文件变更事件
      
   3. 单击事件的名称，可查看事件详情。
      图3 查看事件详情
      
   4. 根据事件详情中的“调查取证”信息，判断并处理事件。
      • 正常修改文件或目录事件

        在事件详情页面的右下方，单击“忽略”或“加入告警白名单”。

      • 恶意程序修改文件或目录事件
        1. 查看并确认主机、容器是否同时存在有反弹shell、异常登录或恶意软件等高危告警，如果有，主机、容器可能被攻破，请立刻对主机、容器进行安全排查。
        2. 排查完毕后，在事件详情页面的右下方，单击“我已手动处理”，关闭该事件。