计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive
文档首页/ 企业主机安全 HSS/ 最佳实践/ 使用HSS监控Linux主机文件完整性

使用HSS监控Linux主机文件完整性

更新时间:2024-11-13 GMT+08:00

应用场景

文件完整性是指文件内容在存储、传输和处理过程中,保持不被未经授权的修改、删除或损坏的状态,从而确保文件内容的真实性和可靠性。在主机安全防护中,保障文件完整性的意义包括但不限于如下几个方面:

  • 防止数据篡改:通过监控文件完整性,可以防止攻击者恶意篡改和破坏数据,以及防止由于软件故障或内部人员操作失误导致的数据损坏,从而保障数据的完整性和真实性。
  • 提升主机安全:通过监控文件完整性,可以辅助您快速识别文件被非法修改的行为,从而迅速采取相应的安全措施,从而减少潜在的安全危险,提升主机防御能力。
  • 满足合规要求:许多行业标准和法规,要求企业和组织保护敏感数据的完整性和安全性,通过监控文件完整性,可以避免因数据安全问题而面临的法律风险和罚款。

HSS提供主机安全告警和文件完整性管理功能,可以监控服务器中的文件或目录,针对可疑的更改文件或目录的行为进行告警。本文为您介绍如何使用HSS的相关功能监控Linux主机文件完整性。

主机安全告警和文件完整性管理的文件保护差异

HSS的主机安全告警功能和文件完整性管理功能均具备文件完整性监控能力,两者互补共同为文件提供全面的安全防护。两者的差异如表1所示。

表1 主机安全告警和文件完整性管理的文件保护差异

差异类别

主机安全告警

文件完整性管理

监控类型

文件、目录

文件

告警类型

  • 文件提权:对提升文件权限的行为进行告警。
  • 文件/目录变更:实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警。

关键文件变更:实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警。

文件保护原理

基于行为特征进行分析,关注可疑的行为或活动。

侧重关注文件的完整性,使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态。

支持的操作系统

  • 文件提权:Linux
  • 文件/目录变更:Windows、Linux

Linux

优势

不仅能监控文件,还能监控目录,并且监控更改文件的行为类型更多。

永久保有文件被更改的记录,有助于运维人员调查取证攻击者的行为活动。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述

操作步骤

  1. 配置文件保护策略。

    1. 登录管理控制台
    2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
    3. 在左侧导航栏,选择“安全运营 > 策略管理”,进入“策略管理”界面。
      说明:

      如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    4. 单击目标策略组名称,进入策略详情列表。

      HSS提供了多个系统预置策略组,主机开启防护后,默认绑定系统预置策略组。您也可以通过单击已有策略组“操作”列的“复制”,新建策略组进行文件保护策略配置。具体操作,请参见创建自定义策略组

    5. 筛选出“文件保护”策略,在“操作”列单击“开启”,开启文件保护检测。

      文件保护策略默认是开启状态,如果您关闭过该策略,则需要开启。

    6. 单击“文件保护”策略名称,进入到文件保护策略详情页面。
    7. 自定义监控文件目录、监控的操作类型等策略内容,参数说明如表2所示。

      表2中展示了文件保护策略的默认取值,您可以根据实际业务情况自定义配置文件保护策略。为避免文件完整性变更引起大量的误报类告警,从而增加运维的工作量,建议您按如下配置思路配置文件保护策略:

      1. 少量试验:初次配置文件保护策略时,建议仅在少量主机上进行试点。
      2. 策略调优:密切关注策略生效期间的准确性和适用性,根据其结果进一步改进配置的策略,减少误报。
      3. 正式应用:经过多轮的策略调优后,当命中结果已趋于稳定,误报基本不存在时,可以在更多主机上应用。
      图1 文件保护策略
      表2 文件保护策略内容参数说明

      策略模块

      参数

      默认参数取值

      说明

      文件提权检测

      启用

      开启

      是否开启文件提权检测。

      • :开启。
      • :关闭。

      忽略的文件路径

      • /usr/lib64/hal/hald-runner
      • /usr/sbin/hald
      • /opt/nfast/sbin/privconn
      • /usr/sbin/dhclient
      • /usr/sbin/tcpdump

      填写需要忽略的文件路径。

      文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。

      关键文件完整性检测

      启用

      开启

      是否开启关键文件完整性检测。
      • :开启。
      • :关闭。

      监控文件

      • /bin/ls
      • /usr/bin/ls
      • /bin/ps
      • /usr/bin/ps
      • /bin/bash
      • /usr/bin/bash
      • /bin/login
      • /usr/bin/login
      • /usr/bin/passwd
      • /usr/bin/top
      • /usr/bin/killall
      • /usr/bin/ssh
      • /usr/bin/wget
      • /usr/bin/curl

      填写需要监控文件完整性的文件路径。

      文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。

      关键文件目录变更检测

      启用

      开启

      是否开启关键文件目录变更检测。
      • :开启。
      • :关闭。

      会话IP白名单

      -

      如果操作文件的进程属于白名单内的会话IP,则不予审计。

      忽略监控文件类型后缀

      • swo
      • swp
      • swpx
      • lck

      忽略监控的文件类型的后缀。

      忽略监控的文件路径

      • /etc/init.d/.depend.start
      • /etc/init.d/.depend.stop
      • /etc/init.d/.depend.halt
      • /etc/init.d/.depend.boot
      • /var/spool/cron/sed*

      填写忽略监控文件的路径。

      监控登录密钥

      启用,并勾选“监控创建”、“监控删除”、“监控移动”、“监控修改”。

      是否开启监控登录密钥。
      • :开启。
      • :关闭。

      文件目录监控模式

      文件目录监控内容较多,以下仅展示部分监控路径。更详细的内容,请前往HSS管理控制台查看。

      • /etc/rc.d/rc.local
      • /etc/cron.allow
      • /etc/crontab
      • /var/spool/cron/root
      • /var/spool/cron/root
      • /etc/cron.allow
      • /etc/passwd
      • /etc/profile.d/zzz_euleros_history.sh
      • /etc/profile

      文件目录监控模式分为“日常运营”和“护网/重保”模式,“护网/重保”模式相较于“日常运营”模式默认监控的文件或目录路径更多。

      这两种模式下预置了一些文件或目录监控路径,用户可以根据需求自定义添加或删除。

      • 文件或目录路径:需要监控的文件或目录路径。添加前,请确认是合法路径;最多可添加50个文件或目录路径。
      • 别名:文件或目录路径的别名,您可以定义一个易区分的名称。
      • 监控子目录:勾选后会监控对应子目录的所有文件。不勾选,则不监控子目录文件。
      • 监视创建、删除、移动、修改等:用户可根据业务实际情况选择是否勾选。

  2. (可选)为服务器部署策略。

    如果在1中,您是基于新创建的自定义策略组进行的文件保护策略配置,则完成策略组创建和策略配置后,您需要将新建的策略组部署应用到目标服务器,详细操作请参见部署策略

  3. 查看并处理文件变更相关告警。

    HSS会实时监控“文件保护”策略中配置的文件或目录路径,一旦发现异常更改将会立即告警。在收到告警后,请及时处理告警。

    1. 在主机安全平台界面的左侧导航栏,选择“检测与响应 > 安全告警事件”,进入“主机安全告警”界面。
    2. 在待处理告警列表中,展开“系统异常行为”类型告警 ,关注如图2所示的几类与文件变更相关的告警。
      图2 文件变更相关告警
    3. 单击任一类型的告警,在右侧告警列表中,单击告警事件的告警名称,可查看告警详情。
      图3 查看告警详情
    4. 根据告警详情中的“调查取证”信息,判断并处理告警。
      • 正常操作导致告警

        在告警详情页面的右下方,单击“忽略”,忽略本次告警。

      • 可能是恶意文件或程序导致告警
        1. 查看并确认主机是否同时存在有反弹shell、异常登录或恶意软件等高危告警,如果有,主机可能被攻破,请立刻对主机进行安全排查。
        2. 主机排查完毕后,在告警详情页面的右下方,单击“我已手动处理”,关闭该告警。

  4. 查看文件变更记录。

    文件完整性管理功能页面会一直保有服务器的文件变更记录,有助您定位发现可疑的更改。
    1. 在企业主机安全控制台的左侧导航栏选择主机防御 > 文件完整性管理,进入文件完整性管理界面。
    2. 查看云服务器的文件变更情况。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容