随着网络攻击日益猖獗,黑客篡改服务器核心文件会直接威胁业务连续性和数据安全,造成不可估量的经济损失和信誉危机。文件防篡改功能采用实时监控技术,对文件系统活动进行全方位监测,自动拦截非授权进程的写入、删除等危险操作,并记录所有访问行为形成完整审计链,从而有效保障关键文件的完整性。
适用范围
操作系统与内核:服务器的操作系统和内核版本需在AliWebGuard支持的范围内。具体支持范围,请参见AliWebGuard支持的操作系统及内核版本。
云安全中心客户端:已在需要文件防篡改防护的服务器上安装云安全中心客户端。具体操作,请参见安装客户端。
功能概述
文件防篡改功能通过实时捕获文件系统的操作事件(如读取、写入、删除),并根据配置的规则执行相应的处置。
规则优先级:当一个文件操作同时匹配多条规则时,系统将按照
放行>拦截>告警的固定顺序进行决策。一旦命中高优先级规则(如放行),处理流程将立即终止,不再评估后续的低优先级规则。内核兼容性:
支持的内核:功能完整,能够精确识别进程、路径和操作类型,支持
告警、拦截、放行等所有模式。不支持的内核:在部分老旧或定制化的内核中,功能会受限且行为可能发生变化,详情请参见下文的配额与限制。
规则生效逻辑:云安全中心监控到服务器文件操作同时命中已开启规则所有条件,才会根据规则的处置方式进行处理。
操作步骤
步骤一:开通服务与防护授权
包年包月
开通服务
访问云安全中心控制台-防护设置-主机防护-网页防篡改,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
单击立即购买,跳转至云安全中心购买页。在文件防篡改区域,将是否选购置为是。
配置防护授权数
若需要使用自动拦截或告警功能,请设置购买数量。购买后,请参照下文为服务器绑定授权。
说明当月未使用完的授权数将被清理,不会顺延至下个月。建议将授权数设置为需要防护的服务器实际数量,避免资源浪费。
单击立即购买并完成支付。
服务器防护授权
使用场景
包年包月模式下,以下场景需要绑定为服务器授权数,否则规则将无法生效。
拦截:必须为服务器绑定授权数。
告警:若服务器防护版本为企业版以下,或防护等级为主机全面防护以下,必须为其绑定授权数。
说明若服务器防护版本为企业版、旗舰版或防护等级为主机全面防护、主机及容器全面防护,使用告警规则,无需绑定授权数。
操作步骤
访问云安全中心控制台-防护设置-主机防护-网页防篡改,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在文件防篡改页面的已使用拦截授权数/授权总数区域,单击授权管理。
在文件防篡改授权弹窗,在选择资产区域勾选需要防护服务器后,单击确定。
按量付费
开通服务
访问云安全中心控制台-防护设置-主机防护-网页防篡改,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
单击开通按量付费,仔细阅读按量付费)用户协议后,单击立即开通。
服务器授权
按量付费模式下,符合以下条件的主机自动计入防护授权数,无需手动绑定。
绑定拦截防护规则的服务器。
绑定了告警防护规则,同时主机防护版本为企业版以下,或防护等级为主机全面防护以下的服务器。
步骤二:配置防护规则
文件防篡改通过规则来定义防护范围和处置方式。您可以创建告警、拦截或放行规则,灵活组合以实现对文件的全面防护。
操作步骤
在文件防篡改页面,单击新建规则。
在新建规则面板,完成规则配置,单击确定。
规则名称:输入规则名称,用于标识和区分不同的防护规则。
处置方式:选择命中规则条件时,云安全中心对相关事件的处置方式。
告警:监控到对应文件操作时,产生告警并记录事件详情,不会阻断操作。
拦截:监控到对应文件操作时,主动拦截异常进程的文件变动操作,确保文件安全。
放行:监控到对应文件操作时,直接放行,不记录事件详情,也不产生告警。用于排除合法进程的正常操作。
告警等级:选择命中规则产生的告警等级。
说明仅处置方式为告警、拦截时需要配置该参数。
紧急:需要立即关注和处理的高危事件。
可疑:存在安全风险,建议排查处理。
提醒:低风险事件,供安全运维参考。
系统类型:选择规则监控的服务器操作系统类型。可选项:Linux、Windows。
状态:设置规则创建后是否立即开启,开启后规则通常在5分钟之内生效。
重要最多支持同时启用100条规则。
防护路径:输入需要监控的文件或目录路径。配置说明如下:
单个文件:配置具体的文件路径。例如:
/etc/passwd。目录下所有文件:使用通配符
*。例如:/var/www/html/*表示防护该目录下的所有文件(包含子文件)。多个路径使用换行输入,最多支持配置100个路径。
单个路径长度限制为1~128个英文字符。
文件类型:选择需要防护的文件类型(可选),支持从下拉列表中选择常见的Web文件类型或手动填写。配置说明如下:
如果不选择文件类型,则监控防护路径下的所有类型文件。
每条规则最多设置 64 个文件类型,每个文件类型最多 15 个字符。
文件类型只匹配文件名的最后一段扩展名。
例如要匹配
backup.tar.gz文件,只能用gz的文件类型,使用tar.gz的文件类型无法匹配上。如果想要匹配tar.gz的文件名后缀,可以在防护路径中增加/protected/path/*.tar.gz,而不使用文件类型来做规则。
文件操作:选择需要监控的文件操作类型(可多选)。
读取:监控文件被读取的操作。
写入:监控文件内容被修改的操作。
删除:监控文件被删除的操作。
重命名:监控文件被重命名的操作。
权限变更:监控文件权限被修改的操作。
说明Windows系统不支持选择权限变更。
进程路径:输入需要监控的进程路径。配置说明如下:
监控单个进程:配置具体的进程路径。例如:
/usr/bin/bash。监控所有进程:使用
*表示匹配所有进程。监控某个目录下所有进程:使用通配符。例如:
/etc/*表示监控etc目录下的所有进程。多个路径使用换行输入,最多支持配置100个进程路径。
单个进程路径长度限制为1~128个英文字符。
排除用户:输入不需要监控的操作系统用户名(可选)。
说明Windows系统不支持配置排除用户。
当指定用户执行的文件操作匹配规则时,将不会触发告警或拦截。
多个用户使用换行输入,最多支持排除5个用户。
规则应用范围:选择规则应用的服务器范围。可选项:
全部资产:系统会扫描全部符合版本要求的服务器。
按资产:在服务器列表中勾选需要应用规则的服务器。
配置建议及示例
建议您根据不同的防护场景,合理配置规则组合:
网站文件防篡改
保护网站目录下的文件不被异常修改。适用于Web服务器、CMS系统等。
示例:防护/var/www/html/目录下的所有网页文件,使用拦截模式。
规则1(拦截规则):处置方式选择拦截,防护路径填写
/var/www/html/*,文件类型选择html、php、jsp等,文件操作选择写入和删除,进程路径填写*(匹配所有进程)。规则2(放行规则):处置方式选择放行,防护路径填写
/var/www/html/*,进程路径填写合法发布进程路径(如/usr/bin/rsync),文件操作选择写入和删除。
核心配置文件监控
监控系统核心配置文件的访问和修改操作,防止敏感信息被窃取或被非法篡改。
示例:监控/etc/passwd文件的所有访问操作。
规则1(告警规则):处置方式选择告警,告警等级选择紧急,防护路径填写
/etc/passwd,文件操作选择所有操作,进程路径填写*。规则2(放行规则):处置方式选择放行,防护路径填写
/etc/passwd,进程路径填写/usr/lib/systemd/systemd(合法进程),文件操作选择所有操作。
告警规则的进程路径建议配置为
*(匹配所有进程),否则无法监控配置范围外其他进程的访问操作。配置放行规则时,不建议进程路径使用通配符路径。使用通配符路径容易被攻击者利用放行规则直接放行访问操作,达到绕过告警规则的目的。
步骤三:查看并处理告警
文件防篡改功能产生的告警可通过云安全中心的告警功能统一查看和处理。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已开通Agentic SOC服务,左侧导航栏入口将变更为。
在云工作负载保护平台(CWPP)页签,单击文件防篡改告警下的数字,进入防篡改告警列表页。
可在告警列表,单击操作列详情,查看告警详情。以下情况时,云安全中心可能无法准确获取命令行信息:
Python脚本访问文件时,云安全中心无法获取命令行信息。
Shell内置命令访问文件时,云安全中心无法获取准确的命令行信息。例如访问命令为
echo "new content" >> /etc/nginx/nginx.conf时,采集到的命令行为["-bash"]。云安全中心采集经过Shell解析后的命令行,并以JSON数组的形式展示,可能和用户输入的原始命令不同。
根据告警详情判断事件性质,并执行相应操作:
确认为异常事件:
处理文件:建议在确认对业务无影响的情况下,手动阻断相关进程并隔离对应文件。
说明若已配置相关拦截规则,系统将自动处理,无需手动操作,事件状态将显示已拦截。
创建规则(可选):创建一条处置方式为拦截的规则,主动拦截异常进程的文件变动操作。
处理告警:文件手动处理后,返回告警列表。单击目标告警操作列处置,并选择已手工处理。
确认为正常操作/无需处理:
创建规则(可选):创建一条处置方式为放行的规则,将该合法进程加入放行名单,避免持续产生告警。
处理告警:单击目标告警操作列处置,并选择忽略。
管理规则和授权
查看及管理防护规则
在文件防篡改页面顶部,可以查看以下防护概览信息:
防护目录数:当前所有规则中已配置的防护目录总数。
防护服务器数:当前已配置防护规则并开启防护的服务器总数。
已使用拦截授权数/授权总数:已使用的拦截授权数和购买的授权总数。单击授权管理,可查看授权详情。
编辑:单击规则操作列的编辑,修改规则配置。
说明修改的规则最长1分钟后生效,不影响已产生的告警和记录的事件。
删除:单击规则操作列的删除,删除规则。
警告删除后,防护规则将失效,请评估后谨慎操作。
开启/关闭:通过规则状态列的开关,控制规则是否生效。
批量操作:勾选多条规则后,可批量开启、关闭或删除规则,支持跨页全选。
升级授权数配额
包年包月模式下,如果授权数为0或不足时,请参考如下步骤进行升级购买:
在文件防篡改页面,单击右上角的购买配额,跳转至订单升级页面。
在文件防篡改区域,根据需要防篡改防护的服务器数量,增加购买数量。
单击立即购买并完成支付。
取消授权
在文件防篡改页面的已使用拦截授权数/授权总数区域,单击授权管理。
在文件防篡改授权弹窗,在选择资产区域,取消勾选防护服务器后,单击确定。
退订说明
配额与限制
授权限制:1个防篡改授权数可防护1台服务器。
规则配置限制
规则数量:最多支持同时启用100条规则。
路径配置:
单条规则中防护路径和进程路径各最多配置100个。
单个防护路径长度限制为1~128个英文字符。
被防护文件或目录的完整路径不超过1,000个英文字符或500个中文字符。
如果防护目录被设置为 NFS server 的进程路径,则无法防御通过 NFS client 访问修改该路径下文件的攻击行为。
其他限制
排除用户:每条规则最多5个。
文件类型:每条规则最多64个,每个文件类型最多15个字符。
系统限制:
Windows系统不支持监控文件的权限变更操作。
Windows系统不支持配置排除用户规则。
计费及授权消耗说明
文件防篡改功能提供两种计费模式,并根据使用的规则类型决定是否消耗授权。
计费模式:
包年包月:预先购买指定数量的拦截授权,有效期内使用。当月未使用完的授权数将在月底被自动清理,不会顺延至下个月。
按量付费:按实际防护时长(秒)× 防护服务器数计费。符合以下条件的主机自动计入防护服务器数:
绑定拦截防护规则的服务器。
绑定了告警防护规则,同时主机防护版本为企业版以下,或防护等级为主机全面防护以下的服务器。
授权消耗:
拦截规则:需要消耗授权数。
告警规则:若服务器防护版本为企业版以下或防护等级为主机全面防护以下,需要消耗授权数。
放行规则:不消耗授权数,可以免费使用。
更多说明,请参见计费说明。
常见问题
新版文件防篡改和旧版的网页防篡改、核心文件监控是什么关系?
新版文件防篡改功能整合了原网页防篡改和核心文件监控两个功能模块。使用统一的规则管理界面,同时支持文件拦截防护和文件访问监控,简化了配置和管理流程。
说明可以在文件防篡改页面右上角单击回到旧版切换到旧版控制台界面,旧版功能将在后续逐步下线。更多说明,请参见【升级】云安全中心【网页防篡改】与【核心文件监控】合并升级。
对比项
旧版-网页防篡改
旧版-核心文件监控
新版-文件防篡改
处置方式
白名单/黑名单模式,按目录和文件类型设置防护范围。
基于规则的告警/放行模式。
统一的规则管理,支持告警、拦截、放行三种处置方式。
产品能力
支持识别文件的异常变动,并对导致异常变动的进程进行拦截或告警。
支持监控文件的异常访问(包括读取、修改、删除等操作),并提供告警。
支持对文件的读取、写入、删除、重命名、权限变更等进行监控、拦截或告警。
支持设置排除用户(用户白名单),当白名单用户执行的文件操作匹配规则时,将不会触发告警或拦截。
授权数消耗
需购买防篡改授权数。
企业版或旗舰版用户免费使用,不涉及防篡改授权数消耗。
拦截规则:需要消耗授权数。
告警规则:若服务器防护版本为企业版以下或防护等级为主机全面防护以下,需要消耗授权数。
放行规则:不消耗授权数,可以免费使用。
同时配置了告警和拦截规则,优先匹配哪个?
当同一文件操作同时命中多条规则时,云安全中心按照以下优先级匹配:放行 > 拦截 > 告警。即优先匹配放行规则,放行规则未命中时匹配拦截规则,最后匹配告警规则。
告警规则和拦截规则的区别是什么?
对比项
告警规则
拦截规则
功能说明
记录事件并产生告警通知,不阻断文件操作。
主动阻断异常进程对防护文件的操作。
授权数消耗
若服务器防护版本为企业版以下或防护等级为主机全面防护以下,需要消耗授权数。
消耗防篡改授权数。
适用场景
监控场景。
主动防御场景。
规则创建后多久生效?
首次为服务器开启规则时,最长5分钟生效。
修改的规则最长1分钟生效,修改的规则生效后不会影响已产生的告警和记录的事件。