开启容器网页防篡改防护
操作场景
如果您有网站应用防护需求,可开启容器网页防篡改防护。容器网页防篡改支持静态网页防护,以镜像为防护对象,可防护已开启企业主机安全容器版防护的容器节点上目标镜像所关联的所有容器网站应用。
前提条件
- 目标容器节点已开启企业主机安全容器版防护,具体操作请参见开启防护。
- 已购买容器网页防篡改增值服务,详细操作请参见购买容器网页防篡改增值服务。
开启容器网页防篡改防护
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在左侧导航栏,选择,进入“网页防篡改”界面。
- 选择页面,单击“添加防护资产”,进入“添加防护资产”页面。
- 选择防护镜像。相关参数说明请参见表1。
图1 选择防护镜像
表1 选择防护镜像参数说明 参数
说明
取值样例
网站应用名称
输入需要防护的网站应用名称。注意不要重复添加同一网站应用。
www.test.com
防护范围
选择网站应用的防护范围,可选择包括:
- k8s集群:网站应用在集群中部署。
- 非集群节点:网站应用在非集群节点中部署。
k8s集群
标签(可选)
仅“防护范围”选择“k8s集群”时需要设置。
此处指的是集群资源标签,HSS将自动获取您集群上的集群资源标签。
当容器网页防篡改防护模式为“拦截模式”时,HSS会根据集群资源标签获取网站应用的Deployment,在Deployment升级策略为滚动升级时,将Deployment中匹配防护镜像的容器设置为只读模式。
最多支持添加10个标签。在添加了多个标签的情况下,仅具备所有标签的Deployment才会被匹配上。
Website
已选镜像
容器网页防篡改是以镜像为防护对象,防护镜像所关联的容器网站应用。
- “防护范围”为“k8s集群”时:每个集群内的1个镜像对应需要1个容器网页防篡改增值服务配额,可防护集群下所有已开启容器版防护的节点内该镜像关联的容器。如果1个镜像应用于多个集群,对应需要与集群数量相等的配额。
- “防护范围”为“非集群节点”时:每个节点内的1个镜像对应需要1个容器网页防篡改增值服务配额,可防护该节点内的镜像关联的容器。如果1个镜像应用于多个节点,对应需要与节点数量相等的配额。
请在此处选择您需要防护的镜像。
- 单击“选择已有镜像”:可选择HSS获取到仓库镜像、本地镜像。若是三方仓库镜像请确保已将该镜像仓接入到HSS,详细操作请参见接入三方镜像仓。
- 单击“添加镜像”:在添加镜像对话框中,输入需要防护的网站应用所对应的镜像名称及版本。HSS将根据您提供的镜像名称和版本匹配并防护容器,请务必填写准确的信息。若未填写镜像版本,默认防护该镜像所有版本启动的容器。
当“防护范围”为“k8s集群”且“防护模式”为“拦截模式”时,开启防护将自动重启标签指定的以Deployment形式部署且升级策略为“滚动升级”的容器,并将其设置为只读文件系统。建议您全选网站应用对应的所有镜像,避免多次重启。
-
- 防护镜像选择完成后,单击“下一步”。
- 配置防护策略。相关参数说明请参见表2。
图2 配置防护策略
表2 配置防护策略参数说明 参数名称
参数说明
取值样例
防护目录
容器网页防篡改对指定的目录进行防护,自动备份防护目录中的文件,实时监控防护目录和文件的变化;在拦截模式下HSS会尝试对文件修改进行拦截,若检测到文件被篡改会立即备份恢复原始文件。
防护目录请添加需要防护的容器网站应用路径,添加规则如下:- 目录名不能包含英文分号字符,不能以空格开头,不能以/结尾,防护目录长度不得超过256个字符。
- 每个镜像最多可添加50个防护目录。
- 每个防护目录下的文件夹层级不超过100。
- 所有防护目录下的文件夹个数不超过900000。
请勿将网络目录添加为防护目录,主要原因如下:
/etc/lesuo
排除子目录(可选)
如果防护目录内存在无需防护的子目录,可排除该子目录。
子目录添加规则如下:
- 可以直接输入子目录名称,或输入相对于防护目录的目录路径。当输入子目录名称时,所有与之匹配的子目录都会被排除,无论位于防护目录下的哪一层。
- 子目录的名称或路径不能以/开头或结尾,最大长度不能超过256个字符。
- 最多可添加10个子目录,多个子目录用英文分号(;)隔开。
data/cache或cache
排除文件路径列表(可选)
如果防护目录内存在无需防护的文件,可排除该文件。
排除文件路径添加规则如下:
- 可以直接输入文件名称,或输入相对于防护目录的文件路径。当输入文件名称时,所有与之匹配的文件都会被排除,无论位于防护目录下的哪一层。
- 文件名称或路径不能以/开头或结尾,最大长度不能超过256个字符;
- 最多可添加50个文件,多个文件用英文分号(;)隔开。
data/ma.txt或ma.txt
本地备份路径
本地备份路径用于备份防护目录下的文件,开启容器网页防篡改防护后,防护目录内的文件会自动备份到本地备份路径下,在拦截模式下,系统一旦检测到防护目录内的文件被篡改,会立即使用本地备份自动恢复被非法篡改的文件。
本地备份路径添加规则如下:
- 本地备份路径必须设置为完整的容器宿主机可写路径。
- 本地备份路径不能包含英文分号字符,不能以空格开头,不能以/结尾,本地备份路径长度不得超过256个字符。
- 由于系统关键目录更容易成为恶意攻击的目标,因此不允许将系统关键目录作为备份路径,包括但不限于“/etc/”、“/bin/”、 “/usr/bin/”、“/var/spool/”、“/usr/sbin/”、“/sbin/”、“/usr/lib/”、“/lib/”、“/lib64/”、“/usr/lib64/”及其子目录。
本地备份规则说明:
- 被排除的子目录和文件类型不会进行备份。
- 防护目录内的文件大小不同,则备份时间不同,一般约10分钟完成备份。
/backup
排除文件类型(可选)
如果防护目录内存在无需防护的文件类型,可排除该文件类型(无文件类型限制),例如log类型的文件。
log
防护模式
防护模式是指监控到文件被篡改时采取的应对方式:
- 告警模式:当HSS检测到防护目录内的文件被篡改时,不会对篡改行为进行阻止,仅向用户发送告警通知,由用户自行判断并处理篡改事件。此模式适用于网页内容有临时修改需求的场景。
- 拦截模式:当HSS检测到防护目录内的文件被篡改时,会阻止所有篡改操作,防止未经授权的更改,以保护网页文件的完整性。此模式适用于网页内容无需频繁修改的场景。
拦截模式
进程监控(可选)
对于Linux内核版本5.10及以上的镜像,建议开启进程监控。
单击
开启,开启后,HSS将提供以下功能:- 记录触发篡改事件的进程信息
检测到篡改事件时同步获取进程路径、进程命令行,上报告警事件到防护事件列表,供用户定位可疑进程。
- 支持设置特权进程
特权进程是指被授权可以修改防护目录的进程。开启容器网页防篡改后,防护目录内的所有文件将被禁止修改。如果您需要修改防护目录内的文件或更新网站,可添加特权进程进行修改。特权进程被授权访问防护目录,需确保特权进程安全可靠。
开启特权进程,同时需要设置以下参数:
- 特权进程文件路径
特权进程文件路径即进程完整路径。多个特权进程文件路径以换行符分隔,最多可添加10个特权进程。
- 子进程可信
开启“子进程可信”,企业主机安全将信任添加的所有特权进程及其5个层级内的子进程。允许特权进程进程修改防护目录。
- 特权进程文件路径
- /Path/Software.type
- 防护策略配置完成后,单击“下一步”。
- 选择是否立即开启容器网页防篡改。
- 立即开启
当选择立即开启时,请同时选择配额,阅读《主机安全免责声明》,并勾选“我已阅读并同意《主机安全免责声明》”。选择配额提供以下两种方式:
- 选择“随机选择配额”:系统自动为所有资产分配到期时间最晚的可用配额。此方式为系统默认选项。
- 选择“目标配额ID”:请您根据已选资产数量,在下拉框中选中对应数量的配额ID。例如已选2个资产,则同步选中2个目标配额ID。
当“防护范围”为“k8s集群”且“防护模式”为“拦截模式”时,开启防护将自动重启标签指定的以Deployment形式部署且升级策略为“滚动升级”的容器,并将其设置为只读文件系统,因此建议您在业务低峰期或集群升级期间开启防护。其他场景开启防护不受影响,可立即开启防护。
- 稍后开启
仅保存网站应用的防护配置,不开启防护。您可以在业务低峰期或集群升级期间,在容器网页防篡改列表中单击“开启防护”。
- 立即开启
- 单击“确定”,完成容器网页防篡改防护配置。
开启防护后,在防护资产页面,查看目标镜像的防护状态为“防护中”,表示开启防护成功。防护状态说明请参见表3。
表3 容器网页防篡改防护状态说明 状态
说明
未防护
您在添加防护资产时,选择的“稍后开启”防护,已完成网页防篡改相关配置。您可在目标镜像所在行的“操作”列单击“开启防护”。
防护中
目标镜像已成功开启防护,处于防护中。
部分防护
部分目录防护成功,部分目录防护失败。您可以单击目标镜像所在行的“防护容器”列,进入防护容器页面,在防护失败的容器所在行单击“查看详情”。
防护失败
所有防护目录防护失败。您可以单击目标镜像所在行的“防护容器”列,进入防护容器页面,在防护失败的容器所在行单击“查看详情”。
防护冗余
当前镜像暂无关联的容器实例,请排查以下两种情况。
- 该镜像关联的节点未开启容器版防护,导致防护策略无法生效。
- 该镜像在集群或非集群节点内不存在关联的容器实例,导致防护冗余。
