修改网页防篡改配置
操作场景
本章节为您介绍网页防篡改防护开启后,如何修改防护配置。
可修改的防护配置内容如下:
- 调整防护目录:新增、修改、删除防护目录,适用于防护目录变更的场景。
- 设置定时开关:定时开关是指定时启停静态网页防篡改防护,适用于用户定时修改、更新、发布网页内容的场景。用户可根据实际需求选择开启或关闭。
- 启停动态网页防篡改:Linux服务器如有Tomcat动态网页防护的需求,可开启动态网页防篡改,它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。动态网页防篡改当前支持JDK 8、JDK 11和JDK 17的Tomcat应用。
- 设置特权进程:静态网页防篡改防护开启后,防护目录内的文件和文件夹将被设置为只读模式,禁止任何修改操作。如需修改,可添加特权进程进行修改。此功能兼容Linux和Windows操作系统,但Linux仅支持内核版本大于或等于5.10的系统。
修改网页防篡改防护设置
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航树中,选择“网页防篡改”界面。
,进入图1 网页防篡改
- 在目标服务器所在行的“操作”列,单击“编辑”。
- 在“编辑”页面中,修改网页防篡改配置。
- 调整防护目录
您可以添加、修改、删除防护目录。
- 修改防护目录
防护目录防护成功后,如需修改防护目录、排除子目录、排除文件路径、本地备份路径,可在目标防护目录所在行的“操作”列,单击“编辑”,进行修改;排除文件类型、防护模式可在编辑页面直接修改。相关参数说明请参见表1。
- 删除防护目录
- 添加防护目录
单击“添加防护目录”,在弹出的对话框中填写防护目录信息,并单击“确定”,可添加一条新的防护目录。相关参数说明请参见表1。
表1 防护目录设置参数说明 参数
说明
取值样例
防护目录
网页防篡改支持静态、动态网页防护,其中静态网页防护是对指定的目录进行防护,通过驱动级锁定Web文件目录下的文件,禁止攻击者修改。因此,在开启网页防篡改时,需要设置防护的指定目录。
将目录添加为防护目录后,目录内的文件和文件夹将被设置为只读模式,禁止任何修改操作。
防护目录添加规则如下:
- Linux系统:
- 目录名不能包含英文分号字符,不能以空格开头,不能以/结尾,防护目录长度不得超过256个字符。
- 每台服务器最多可添加50个防护目录。
- 每个防护目录下的文件夹层级不超过100。
- 所有防护目录下的文件夹个数不超过900000。
- Windows系统:
- 目录名不能包含;/*?"<>|,不能以空格开头,不能以\结尾,防护目录长度不得超过256个字符。
- 每台服务器最多可添加50个防护目录。
请勿将网络目录添加为防护目录,主要原因如下:
- Linux:/etc/lesuo
- Windows:d:\web
排除子目录(可选)
如果防护目录内存在无需防护的子目录,可排除该子目录。
子目录添加规则如下:
- 可以直接输入子目录名称,或输入相对于防护目录的目录路径。当输入子目录名称时,所有与之匹配的子目录都会被排除,无论位于防护目录下的哪一层。
- 子目录的名称或路径不能以/开头或结尾,最大长度不能超过256个字符。
- 最多可添加10个子目录,多个子目录用英文分号(;)隔开。
- Linux:data/cache或cache
- Windows:web\test或test
排除文件路径列表(可选)
仅Linux服务器可设置此项。
如果防护目录内存在无需防护的文件,可排除该文件。
排除文件路径添加规则如下:
- 可以直接输入文件名称,或输入相对于防护目录的文件路径。当输入文件名称时,所有与之匹配的文件都会被排除,无论位于防护目录下的哪一层。
- 文件名称或路径不能以/开头或结尾,最大长度不能超过256个字符;
- 最多可添加50个文件,多个文件用英文分号(;)隔开。
data/ma.txt或ma.txt
本地备份路径
仅Linux服务器可设置此项。
设置防护目录的本地备份路径,开启网页防篡改防护后,防护目录内的文件会自动备份到本地备份路径下,一旦检测到防护目录内的文件被篡改,系统会立即使用本地备份自动恢复被非法篡改的文件。
本地备份路径添加规则如下:
- 本地备份路径不能包含英文分号字符,不能以空格开头,不能以/结尾,本地备份路径长度不得超过256个字符。
- 由于系统关键目录更容易成为恶意攻击的目标,因此不允许将系统关键目录作为备份路径,包括但不限于“/etc/”、“/bin/”、“/var/spool/”、“/usr/bin/”、“/usr/sbin/”、“/sbin/”、“/usr/lib/”、“/lib/”、“/lib64/”、“/usr/lib64/”及其子目录。
本地备份规则说明:
- 本地备份路径须为合法路径,且本地备份路径不能与防护目录路径重叠。
- 被排除的子目录和文件类型不会进行备份。
- 防护目录内的文件大小不同,则备份时间不同,一般约10分钟完成备份。
/backup
排除文件类型
如果防护目录内存在无需防护的文件类型,可排除该文件类型(无文件类型限制),例如log类型的文件。
为了实时记录主机中的运行情况,必须排除防护目录内的log类型文件,您可以为日志文件添加等级较高的读写权限,防止攻击者恶意查看或篡改日志文件。
log
防护模式
监控到文件被篡改时的防护方式。
- 告警模式:仅发送告警通知。
- 拦截模式:发送告警通知,同时将文件还原至被篡改前的状态。
拦截
- 修改防护目录
- 设置定时开关
如需定时修改、更新或发布网页,可设置定时开关,定时启停静态网页防篡改。定时关闭防护期间,文件存在被篡改的风险,请合理制定定时关闭的时间。
:表示关闭定时开关。
:表示开启定时开关,开启定时开关时,需要同步设置“关闭时段”和“自动关闭防护周期”,参数说明请参见表2
- 启停动态网页防篡改
如有Linux服务器Tomcat动态网页防篡改需求,可开启动态网页防篡改。它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。
:表示关闭动态网页防篡改。
:表示开启动态网页防篡改。开启动态网页防篡改,需要填写Tomcat bin目录,例如“/usr/workspace/apache-tomcat-8.5.15/bin”,系统会将setenv.sh脚本预置在bin目录中,用于设置防篡改程序的启动参数。
- 设置特权进程
特权进程是指被授权可以修改防护目录的进程。
:表示关闭特权进程。
:表示开启特权进程。开启特权进程,需要设置“特权进程文件路径”和“子进程可信”。相关参数说明请参见表3。
- 调整防护目录