添加防护目录

前提条件

已开启主机安全服务版本为网页防篡改版。

约束与限制

• 仅开启网页防篡改版防护后才支持防篡改相关操作。

• 防护目录，存在以下约束：
  • Linux系统：
    • 每台服务器最多可添加50个防护目录。
    • 每个被防护的目录的完整路径长度不得超过256个字符。
    • 每个被防护的目录文件夹层级不超过100。
    • 所有被防护的目录下的文件夹个数不超过900000。
  • Windows系统：
    • 每台服务器最多可添加50个防护目录。
    • 每个被防护的目录的完整路径长度不得超过256个字符。
• 本地备份路径，存在以下约束：
  • 本地备份功能仅支持Linux系统。
  • 本地备份路径须为合法路径，如果该路径不存在，会导致防篡改不生效。
  • 本地备份路径与添加的防篡改目录不能重叠。
  • 本地备份路径所属磁盘剩余可用容量大于所有被防护目录的大小。

添加防护目录

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全服务”，进入主机安全平台界面。
3. 在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。
   

   如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

   图1 进入防护配置
   

4. 单击“防护目录设置”下的“设置”，进入防护目录设置页面。
   图2 防护目录设置页面
   

5. 添加防护目录，您最多可在主机中添加50个防护目录。
   1. 单击“添加防护目录”，在弹出的“添加防护目录”对话框中添加防护目录，有关防护规则的详细内容请参见表1。
      图3 添加防护目录
      

      表1 防护规则

      参数	说明	限制
      防护目录	防护目录下的文件和文件夹为只读。	请勿对操作系统目录进行防护。
      排除子目录	排除防护目录下不需要防护的子目录，例如临时文件目录。 多个子目录请用英文分号隔开，最多可添加10个子目录。	排除子目录为防护目录中的相对目录。
      排除文件类型	排除防护目录下不需要防护的文件类型，例如Log类型的文件。 多个文件类型请用英文分号隔开。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。	-
      本地备份路径	仅支持Linux系统。 开启网页防篡改防护后，防护目录下的文件会自动备份到设置的本地备份路径中。 防护目录下文件大小不同，备份时间也不同，一般约10分钟备份完成。备份完成后，立即生效。 被排除的子目录和文件类型不会备份。 如果检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。	本地备份路径与添加的防护目录不能重叠。
      排除文件路径列表	排除防护目录下不需要防护的路径。 多个路径请用英文分号隔开，最多可添加50个路径， 路径最长字符限制为256。 单个路径不能以空格开始，不能以/结束。	排除文件路径为防护目录的相对文件路径。

   2. 添加完成后，单击“确认”，完成添加防护目录的操作。

      如果您需要修改防护目录中的文件，请先暂停对防护目录的防护后再修改文件，以避免误报。文件修改完成后请及时恢复防护功能。

6. 启用远端备份。

   HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下（被排除的子目录和文件类型不会备份），为防止备份在本地的文件被攻击者破坏，请您启用远端备份功能。

   有关添加远端备份服务器的详细操作，请参见配置远端备份。

   1. 在“防护目录设置”页单击“启动远端备份”。
      图4 开启远端备份
      
   2. 通过下拉框选择备份服务器。
   3. 单击“确认”，启动远端备份。

相关操作

• 导出防护目录：如果您配置的防护目录较多不方便查看，您可以在防护目录配置页面单击，导出所有防护目录的配置信息保存到本地进行查看。
• 暂停防护：暂停“网页防篡改”服务对某一目录的防护，在暂停防护后，请您及时恢复防护，避免该目录下的文档被篡改。
• 编辑防护目录：根据需要修改已添加的防护目录。
• 删除防护目录：为方便管理，您可以删除已无需防护的目录。

• 执行暂停防护、编辑或删除防护目录后，防护目录下的文件将不再受“网页防篡改”功能的防护，建议您提前处理防护目录下的文档，再对文档执行暂停防护、编辑或删除的相关操作。
• 执行暂停防护、编辑或删除防护目录后，如果您的文档不慎被删除，请在主机本地备份或远端主机的备份路径中查找。