文档首页/ 企业主机安全 HSS/ 用户指南/ 主动防御/ 容器网页防篡改/ 修改容器网页防篡改配置
更新时间:2025-12-10 GMT+08:00
查看PDF
分享

修改容器网页防篡改配置

操作场景

本章节为您介绍开启容器网页防篡改防护后,如何修改防护配置。可修改的防护配置内容如下:

  • 修改标签:HSS会根据集群资源标签获取网站应用的Deployment,在Deployment升级策略为滚动升级时,将Deployment中匹配防护镜像的容器设置为只读模式。您可以修改需要设置只读模式的容器范围。
  • 调整防护目录:新增、修改、删除防护目录,适用于防护目录变更的场景。
  • 修改防护模式:容器网页防篡改支持“告警模式”和“拦截模式”,您可以根据实际业务情况按需设置。
  • 开启进程监控或设置特权进程:如需HSS记录潜在篡改行为的进程信息,可开启进程监控。如需添加特权进程修改防护目录下的文件,可在开启进程监控后,设置特权进程。仅Linux内核版本5.10及以上的节点支持此项功能。

修改容器网页防篡改防护配置

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航树中,选择主动防御 > 网页防篡改,进入“网页防篡改”界面。
  4. 选择“容器网页防篡改”页签,在目标镜像所在行的“操作”列单击“编辑”
  5. “编辑”页面中,修改容器网页防篡改配置。

    图1 编辑防护资产
    • 修改标签:当容器网页防篡改防护模式为“拦截模式”时,HSS会根据集群资源标签获取网站应用的Deployment,在Deployment升级策略为滚动升级时,将Deployment中匹配防护镜像的容器设置为只读模式。您可以修改需要设置只读模式的容器范围。最多支持添加10个标签。在添加了多个标签的情况下,仅具备所有标签的Deployment才会被匹配上。
    • 调整防护目录

      您可以添加、修改、删除防护目录。

      • 修改防护目录

        防护目录防护成功后,如需修改防护目录、排除子目录、排除文件路径、本地备份路径,可在目标防护目录所在行的“操作”列,单击“编辑”,进行修改;排除文件类型可在编辑页面直接修改。相关参数说明请参见表1

        表1 防护目录设置参数说明

        参数

        说明

        取值样例

        防护目录

        容器网页防篡改对指定的目录进行防护,自动备份防护目录中的文件,实时监控防护目录和文件的变化;在拦截模式下HSS会尝试对文件修改进行拦截,若检测到文件被篡改会立即备份恢复原始文件。

        防护目录请添加需要防护的容器网站应用路径,添加规则如下:
        • 目录名不能包含英文分号字符,不能以空格开头,不能以/结尾,防护目录长度不得超过256个字符。
        • 每个镜像最多可添加50个防护目录。
        • 每个防护目录下的文件夹层级不超过100。
        • 所有防护目录下的文件夹个数不超过900000。

        请勿将网络目录添加为防护目录,主要原因如下:

        • 检测效率低

          网络目录通常包含大量文件,总容量可能达到上百TB,这将显著降低检测效率。

        • 占用网络带宽

          访问网络目录时需要占用网络带宽,大规模检测可能导致带宽被完全占满,进而影响到您正常业务的运行,包括但不限于网络速度变慢、网络延迟增加等。

        /etc/lesuo

        排除子目录(可选)

        如果防护目录内存在无需防护的子目录,可排除该子目录。

        子目录添加规则如下:

        • 可以直接输入子目录名称,或输入相对于防护目录的目录路径。当输入子目录名称时,所有与之匹配的子目录都会被排除,无论位于防护目录下的哪一层。
        • 子目录的名称或路径不能以/开头或结尾,最大长度不能超过256个字符。
        • 最多可添加10个子目录,多个子目录用英文分号(;)隔开。

        data/cache或cache

        排除文件路径列表(可选)

        如果防护目录内存在无需防护的文件,可排除该文件。

        排除文件路径添加规则如下:

        • 可以直接输入文件名称,或输入相对于防护目录的文件路径。当输入文件名称时,所有与之匹配的文件都会被排除,无论位于防护目录下的哪一层。
        • 文件名称或路径不能以/开头或结尾,最大长度不能超过256个字符;
        • 最多可添加50个文件,多个文件用英文分号(;)隔开。

        data/ma.txt或ma.txt

        排除文件类型(可选)

        如果防护目录内存在无需防护的文件类型,可排除该文件类型(无文件类型限制),例如log类型的文件。

        log
      • 删除防护目录

        如果随着业务调整,部分防护目录无需再进行防护,可在目标防护目录所在行的“操作”列,单击“删除”,删除该目录。

      • 添加防护目录

        单击“添加防护目录”,在弹出的对话框中填写防护目录信息,并单击“确定”,可添加一条新的防护目录。相关参数说明请参见表1

    • 修改防护模式

      防护模式是指监控到文件被篡改时采取的应对方式,您可以在下拉框中选择目标模式:

      • 告警模式:当HSS检测到防护目录内的文件被篡改时,不会对篡改行为进行阻止,仅向用户发送告警通知,由用户自行判断并处理篡改事件。此模式适用于网页内容有临时修改需求的场景。
      • 拦截模式:当HSS检测到防护目录内的文件被篡改时,会阻止所有篡改操作,防止未经授权的更改,以保护网页文件的完整性。此模式适用于网页内容无需频繁修改的场景。
    • 开启进程监控或设置特权进程

      对于Linux内核版本5.10及以上的镜像,建议开启进程监控。

      单击开启,开启后,HSS将提供以下功能:

      • 记录触发篡改事件的进程信息

        检测到篡改事件时同步获取进程路径、进程命令行,上报告警事件到防护事件列表,供用户定位可疑进程。

      • 支持设置特权进程

        特权进程是指被授权可以修改防护目录的进程。

        开启容器网页防篡改后,防护目录内的所有文件将被禁止修改。

        如果您需要修改防护目录内的文件或更新网站,可添加特权进程进行修改。特权进程被授权访问防护目录,需确保特权进程安全可靠。

        开启特权进程,同时需要设置以下参数:

        • 特权进程文件路径

          特权进程文件路径即进程完整路径。多个特权进程文件路径以换行符分隔,最多可添加10个特权进程。

        • 子进程可信

          开启“子进程可信”,企业主机安全将对添加的所有特权进程文件路径下5个层级内的子进程可信。允许子进程修改防护目录。

  1. 确认修改的配置无误,在“编辑”页面中,单击“确定”,完成修改。
  2. 验证修改结果。

    由于配置生效需要一些时间,建议您配置完,等待3-5分钟后进行验证。

    • 标签修改

      您所选中的标签对应的容器全部设置为了只读文件系统,表示修改成功。

    • 防护目录

      在目标镜像所在行的“防护容器”列,单击数值,查看防护目录详情。

      查看添加或修改的防护目录信息正确,且“防护状态”为防护成功,表示添加或修改成功。

      查看删除的防护目录不在防护目录列表,表示删除防护目录成功。

    • 防护模式

      当您尝试修改文件时,HSS按照您选择的防护模式,执行防护动作,表示防护模式设置成功。

    • 进程监控

      上报的防护事件中具有进程路径、进程命令行信息,表示进程监控成功。

    • 特权进程

      通过特权进程修改网页成功,表示特权进程设置成功。

父主题: 容器网页防篡改

相关文档