开启网页防篡改防护
操作场景
企业主机安全网页防篡改版不仅提供动静态网页防篡改能力,确保网站内容的安全性和完整性,还提供资产管理、漏洞检测、基线检查、入侵检测、勒索防护等与旗舰版相同的主机防护能力,能够有效检测各类针对主机的攻击行为。
本章节介绍如何开启网页防篡改防护。
前提条件
- 企业主机安全提供包年/包月和按需计费两种计费模式。如果您选择包年/包月的防护方案,请确保已购买充足的防护配额,购买配额操作请参见购买防护配额。按需计费模式采用先使用后付款的方式,无需提前购买配额。
- 请确保已为主机安装Agent,且Agent状态为“在线”。安装Agent操作请参见为华为云主机安装Agent、为第三方主机安装Agent。
约束限制
- 开启Windows防火墙,HSS将自动添加允许流量全入(hostguard_AllowAnyIn)和全出(hostguard_AllowAnyOut)的防火墙规则,确保防火墙启用不会干扰您的正常业务运行。同时,当HSS检测到暴力破解攻击时,将在防火墙中添加一条入站规则用于拦截暴力破解的攻击源IP,不会对您的主机造成任何不利的影响。
- 使用HSS期间请勿关闭Windows防火墙,如果关闭Windows防火墙,HSS无法拦截暴力破解的攻击源IP;即使手动关闭后开启Windows防火墙,也可能导致HSS不能拦截暴力破解的攻击源IP。
开启网页防篡改版防护
网页防篡改支持单台或批量开启防护,在批量开启防护时,防护目录等配置无法对应到服务器进行设置,因此如果这些服务器的防护目录等内容一致,则您可以顺利开启防护;如果这些服务器的防护目录等内容存在差异,可在开启防护操作完成后,单独对防护目录等防护配置进行修改,操作详情请参考修改网页防篡改配置。
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在左侧导航树中,选择,进入“网页防篡改”界面。
图1 网页防篡改
- 在“防护配置”页签,单击“添加防护服务器”,系统弹出“添加防护服务器”页面。
- 在“添加防护服务器”页面,选择防护服务器,并单击“下一步”。相关参数说明请参见表1。
图2 选择防护服务器
表1 选择防护服务器参数说明 参数名称
参数说明
取值样例
操作系统
选择要开启网页防篡改防护的服务器操作系统类型。
- Linux
- Windows
Linux
选择服务器
勾选目标服务器。
可通过软件类型和其他属性筛选出目标服务器。
-
选择配额
企业主机安全网页防篡改版支持“包年/包月”和“按需计费”两种计费模式,以满足不同场景下的用户需求。
- 包年/包月:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。
- 按需计费:一种后付费模式,即先使用再付费,按照企业主机安全实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。
选择包年/包月计费模式时,可以选择需要使用的目标配额,也可以保持默认“随机选择配额”。
包年/包月
协议许可
在开启网页防篡改防护前,请确保您已充分阅读《主机安全免责声明》。
在阅读完成后,请勾选我已阅读并同意《主机安全免责声明》。
勾选
- 在“添加防护服务器”页面,配置策略。相关参数说明请参见表2。
图3 配置策略
表2 配置策略参数说明 参数名称
参数说明
取值样例
防护目录
网页防篡改支持静态、动态网页防护,其中静态网页防护是对指定的目录进行防护,通过驱动级锁定Web文件目录下的文件,禁止攻击者修改。因此,在开启网页防篡改时,需要设置防护的指定目录。
将目录添加为防护目录后,目录内的文件和文件夹将被设置为只读模式,禁止任何修改操作。
防护目录添加规则如下:
- Linux系统:
- 目录名不能包含英文分号字符,不能以空格开头,不能以/结尾,防护目录长度不得超过256个字符。
- 每台服务器最多可添加50个防护目录。
- 每个防护目录下的文件夹层级不超过100。
- 所有防护目录下的文件夹个数不超过900000。
- Windows系统:
- 目录名不能包含;/*?"<>|,不能以空格开头,不能以\结尾,防护目录长度不得超过256个字符。
- 每台服务器最多可添加50个防护目录。
请勿将网络目录添加为防护目录,主要原因如下:
- Linux:/etc/lesuo
- Windows:d:\web
排除子目录(可选)
如果防护目录内存在无需防护的子目录,可排除该子目录。
子目录添加规则如下:
- 可以直接输入子目录名称,或输入相对于防护目录的目录路径。当输入子目录名称时,所有与之匹配的子目录都会被排除,无论位于防护目录下的哪一层。
- 子目录的名称或路径不能以/开头或结尾,最大长度不能超过256个字符。
- 最多可添加10个子目录,多个子目录用英文分号(;)隔开。
- Linux:data/cache或cache
- Windows:web\test或test
排除文件路径列表(可选)
仅Linux服务器可设置此项。
如果防护目录内存在无需防护的文件,可排除该文件。
排除文件路径添加规则如下:
- 可以直接输入文件名称,或输入相对于防护目录的文件路径。当输入文件名称时,所有与之匹配的文件都会被排除,无论位于防护目录下的哪一层。
- 文件名称或路径不能以/开头或结尾,最大长度不能超过256个字符;
- 最多可添加50个文件,多个文件用英文分号(;)隔开。
data/ma.txt或ma.txt
本地备份路径
仅Linux服务器可设置此项。
设置防护目录的本地备份路径,开启网页防篡改防护后,防护目录内的文件会自动备份到本地备份路径下,一旦检测到防护目录内的文件被篡改,系统会立即使用本地备份自动恢复被非法篡改的文件。
本地备份路径添加规则如下:
- 本地备份路径不能包含英文分号字符,不能以空格开头,不能以/结尾,本地备份路径长度不得超过256个字符。
- 由于系统关键目录更容易成为恶意攻击的目标,因此不允许将系统关键目录作为备份路径,包括但不限于“/etc/”、“/bin/”、 “/usr/bin/”、“/var/spool/”、“/usr/sbin/”、“/sbin/”、“/usr/lib/”、“/lib/”、“/lib64/”、“/usr/lib64/”及其子目录。
本地备份规则说明:
- 本地备份路径须为合法路径,且本地备份路径不能与防护目录路径重叠。
- 被排除的子目录和文件类型不会进行备份。
- 防护目录内的文件大小不同,则备份时间不同,一般约10分钟完成备份。
/backup
排除文件类型
如果防护目录内存在无需防护的文件类型,可排除该文件类型(无文件类型限制),例如log类型的文件。
为了实时记录主机中的运行情况,必须排除防护目录内的log类型文件,您可以为日志文件添加等级较高的读写权限,防止攻击者恶意查看或篡改日志文件。
log
防护模式
监控到文件被篡改时的防护方式。
- 告警模式:仅发送告警通知。
- 拦截模式:发送告警通知,同时将文件还原至被篡改前的状态。
拦截
定时开关设置(可选)
定时开关用于定时关闭静态网页防篡改,适用于用户定时修改/更新/发布网页内容的场景。
单击
开启定时开关,同时需要设置以下参数:- 关闭时间段
一天内,关闭静态网页防篡改的时间段,例如10:05-15:35。
时间段设置要求如下:
- 每个时间段最短不能少于5分钟。
- 多个时间段之间不允许重叠,且两段时间间隔必须大于5分钟(时间00:00和23:59特例除外)。
- 所有时段以主机系统时间为准。
- 自动关闭防护周期
一周内,固定周几自动关闭静态网页防篡改,例如周三、周四。
,10:05-15:35,周三动态网页防篡改(可选)
动态网页防篡改主要用于保护Linux系统上的Tomcat应用,它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。
动态网页防篡改当前支持JDK 8、JDK 11和JDK 17的Tomcat应用。
单击
开启动态网页防篡改,开启动态网页防篡改时,需要填写完整的Tomcat bin目录路径,例如“/usr/workspace/apache-tomcat-8.5.15/bin”,系统会将setenv.sh脚本预置在bin目录中,用于设置防篡改程序的启动参数。
,/usr/workspace/apache-tomcat-8.5.15/bin特权进程设置(可选)
特权进程是指被授权可以修改防护目录的进程。
开启网页防篡改后,防护目录内的所有文件将被设置为只读模式,禁止任何修改操作;即使尝试更改内容,系统也会自动将相应的文件或网站恢复到修改前的状态,修改不会生效。
如果您需要修改防护目录内的文件或更新网站,可添加特权进程进行修改。特权进程被授权访问防护目录,需确保特权进程安全可靠。
此功能兼容Linux和Windows操作系统,但Linux仅支持内核版本不低于5.10的系统。
单击
开启特权进程,同时需要设置以下参数:- 特权进程文件路径
特权进程文件路径即进程完整路径。多个特权进程文件路径以换行符分隔,最多可添加10个特权进程。
- 子进程可信
开启“子进程可信”,企业主机安全将对添加的所有特权进程文件路径下5个层级内的子进程可信。允许子进程修改防护目录。
- Linux:/Path/Software.type
- Windows:C:\Path\Software.type
- Linux系统:
- 配置策略完成后,单击“确定”,开启网页防篡改版防护。
- 在防护设置页签中,查看目标服务器的静态防篡改状态、动态防篡改状态。
静态防篡改状态、动态防篡改状态为“防护中”,表示静态、动态网页防篡改开启成功。动态网页防篡改开启后,需要重启Tomcat才能生效。
