隨著網路攻擊日益猖獗,駭客篡改伺服器核心檔案會直接威脅商務持續性和資料安全,造成不可估量的經濟損失和信譽危機。檔案防篡改功能採用即時監控技術,對檔案系統活動進行全方位監測,自動攔截非授權進程的寫入、刪除等危險操作,並記錄所有訪問行為形成完整審計鏈,從而有效保障關鍵檔案的完整性。
適用範圍
作業系統與核心:伺服器的作業系統和核心版本需在AliWebGuard支援的範圍內。具體支援範圍,請參見AliWebGuard支援的作業系統及核心版本。
Security Center用戶端:已在需要檔案防篡改防護的伺服器上安裝Security Center用戶端。具體操作,請參見安裝用戶端。
功能概述
檔案防篡改功能通過即時捕獲檔案系統的操作事件(如讀取、寫入、刪除),並根據配置的規則執行相應的處置。
規則優先順序:當一個檔案操作同時匹配多條規則時,系統將按照
允許存取>攔截>警示的固定順序進行決策。一旦命中高優先順序規則(如允許存取),處理流程將立即終止,不再評估後續的低優先順序規則。核心相容性:
支援的核心:功能完整,能夠精確識別進程、路徑和操作類型,支援
警示、攔截、允許存取等所有模式。不支援的核心:在部分老舊或定製化的核心中,功能會受限且行為可能發生變化,詳情請參見下文的配額與限制。
規則生效邏輯:Security Center監控到伺服器檔案操作同時命中已開啟規則所有條件,才會根據規則的處置方式進行處理。
操作步驟
步驟一:開通服務與防護授權
訂用帳戶
開通服務
訪問Security Center控制台-防護設定-主機防護-檔案防篡改,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
說明也可使用阿里雲帳號直接登入並訪問Security Center購買,其中購買方式選擇訂用帳戶。更多資訊,請參見購買Security Center。
單擊立即購買,跳轉至Security Center購買頁。在檔案防篡改地區,將是否選購置為是。
配置防護授權數
若需要使用自動攔截或警示功能,請設定購買數量。購買後,請參照下文為伺服器綁定授權。
說明當月未使用完的授權數將被清理,不會順延至下個月。建議將授權數設定為需要防護的伺服器實際數量,避免資源浪費。
單擊立即購買並完成支付。
伺服器防護授權
使用情境
訂用帳戶模式下,以下情境需要綁定為伺服器授權數,否則規則將無法生效。
攔截:必須為伺服器綁定授權數。
警示:若伺服器防護版本為企业版以下,或防護等級為主機全面防護以下,必須為其綁定授權數。
說明若伺服器防護版本為企业版、旗艦版或防護等級為主機全面防護、主機及容器全面防護,使用警示規則,無需綁定授權數。
操作步驟
訪問Security Center控制台-防護設定-主機防護-檔案防篡改,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在檔案防篡改頁面的已使用授權數/授权总数地區,單擊授權管理。
在檔案防篡改授權彈窗,在選擇資產地區勾選需要防護伺服器後,單擊確定。
隨用隨付
開通服務
訪問Security Center控制台-防護設定-主機防護-檔案防篡改,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
單擊開通隨用隨付,仔細閱讀隨用隨付)使用者協議後,單擊立即開通。
伺服器授權
隨用隨付模式下,符合以下條件的主機自動計入防護授權數,無需手動綁定。
綁定攔截防護規則的伺服器。
綁定了警示防護規則,同時主機防護版本為企业版以下,或防護等級為主機全面防護以下的伺服器。
步驟二:配置防護規則
檔案防篡改通過規則來定義防護範圍和處置方式。您可以建立警示、攔截或允許存取規則,靈活組合以實現對檔案的全面防護。
操作步驟
在檔案防篡改頁面,單擊建立規則。
在建立規則面板,完成規則配置,單擊確定。
规则名称:輸入規則名稱,用於標識和區分不同的防護規則。
處置方式:選擇命中規則條件時,Security Center對相關事件的處置方式。
警示:監控到對應檔案操作時,產生警示並記錄事件詳情,不會阻斷操作。
攔截:監控到對應檔案操作時,主動攔截異常進程的檔案變動操作,確保檔案安全。
允許存取:監控到對應檔案操作時,直接允許存取,不記錄事件詳情,也不產生警示。用於排除合法進程的正常操作。
警示等級:選擇命中規則產生的警示等級。
說明僅處置方式為警示、攔截時需要配置該參數。
緊急:需要立即關注和處理的高危事件。
可疑:存在安全風險,建議排查處理。
提醒:低風險事件,供安全營運參考。
系统类型:選擇規則監控的伺服器作業系統類型。可選項:Linux、Windows。
狀態:設定規則建立後是否立即開啟,開啟後規則通常在5分鐘之內生效。
重要最多支援同時啟用100條規則。
防護路徑:輸入需要監控的檔案或目錄路徑。配置說明如下:
單個檔案:配置具體的檔案路徑。例如:
/etc/passwd。目錄下所有檔案:使用萬用字元
*。例如:/var/www/html/*表示防護該目錄下的所有檔案(包含子檔案)。多個路徑使用換行輸入,最多支援配置100個路徑。
單個路徑長度限制為1~128個英文字元。
檔案類型:選擇需要防護的檔案類型(可選),支援從下拉式清單中選擇常見的Web檔案類型或手動填寫。配置說明如下:
如果不選擇檔案類型,則監控防護路徑下的所有類型檔案。
每條規則最多設定 64 個檔案類型,每個檔案類型最多 15 個字元。
檔案類型只匹配檔案名稱的最後一段副檔名。
例如要匹配
backup.tar.gz檔案,只能用gz的檔案類型,使用tar.gz的檔案類型無法匹配上。如果想要匹配tar.gz的檔案名稱尾碼,可以在防護路徑中增加/protected/path/*.tar.gz,而不使用檔案類型來做規則。
文件操作:選擇需要監控的檔案操作類型(可多選)。
讀取:監控檔案被讀取的操作。
寫入:監控檔案內容被修改的操作。
刪除:監控檔案被刪除的操作。
重新命名:監控檔案被重新命名的操作。
許可權變更:監控檔案許可權被修改的操作。
說明Windows系統不支援選擇許可權變更。
進程路徑:輸入需要監控的進程路徑。配置說明如下:
監控單個進程:配置具體的進程路徑。例如:
/usr/bin/bash。監控所有進程:使用
*表示匹配所有進程。監控某個目錄下所有進程:使用萬用字元。例如:
/etc/*表示監控etc目錄下的所有進程。多個路徑使用換行輸入,最多支援配置100個進程路徑。
單個進程路徑長度限制為1~128個英文字元。
排除用户:輸入不需要監控的作業系統使用者名稱(可選)。
說明Windows系統不支援配置排除用户。
當指定使用者執行的檔案操作匹配規則時,將不會觸發警示或攔截。
多個使用者使用換行輸入,最多支援排除5個使用者。
規則應用範圍:選擇規則應用的伺服器範圍。可選項:
全部資產:系統會掃描全部符合版本要求的伺服器。
按資產:在伺服器列表中勾選需要應用規則的伺服器。
配置建議及樣本
建議您根據不同的防護情境,合理配置規則群組合:
網站檔案防篡改
保護網站目錄下的檔案不被異常修改。適用於Web伺服器、CMS系統等。
樣本:防護/var/www/html/目錄下的所有網頁檔案,使用攔截模式。
規則1(攔截規則):處置方式選擇攔截,防護路徑填寫
/var/www/html/*,檔案類型選擇html、php、jsp等,檔案操作選擇寫入和刪除,進程路徑填寫*(匹配所有進程)。規則2(允許存取規則):處置方式選擇允許存取,防護路徑填寫
/var/www/html/*,進程路徑填寫合法發布進程路徑(如/usr/bin/rsync),檔案操作選擇寫入和刪除。
核心設定檔監控
監控系統核心設定檔的訪問和修改操作,防止敏感資訊被竊取或被非法篡改。
樣本:監控/etc/passwd檔案的所有訪問操作。
規則1(警示規則):處置方式選擇警示,警示等級選擇緊急,防護路徑填寫
/etc/passwd,檔案操作選擇所有操作,進程路徑填寫*。規則2(允許存取規則):處置方式選擇允許存取,防護路徑填寫
/etc/passwd,進程路徑填寫/usr/lib/systemd/systemd(合法進程),檔案操作選擇所有操作。
警示規則的進程路徑建議配置為
*(匹配所有進程),否則無法監控配置範圍外其他進程的訪問操作。配置允許存取規則時,不建議進程路徑使用萬用字元路徑。使用萬用字元路徑容易被攻擊者利用允許存取規則直接允許存取訪問操作,達到繞過警示規則的目的。
步驟三:查看並處理警示
檔案防篡改功能產生的警示可通過Security Center的警示功能統一查看和處理。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
說明如果已開通Agentic SOC服務,左側導覽列入口將變更為。
在雲工作負載保護平台(CWPP)頁簽,單擊檔案防篡改警示下的數字,進入防篡改警示列表頁。
可在警示列表,單擊操作列詳情,查看警示詳情。以下情況時,Security Center可能無法準確擷取命令列資訊:
Python指令碼訪問檔案時,Security Center無法擷取命令列資訊。
Shell內建命令訪問檔案時,Security Center無法擷取準確的命令列資訊。例如訪問命令為
echo "new content" >> /etc/nginx/nginx.conf時,採集到的命令列為["-bash"]。Security Center採集經過Shell解析後的命令列,並以JSON數組的形式展示,可能和使用者輸入的原始命令不同。
根據警示詳情判斷事件性質,並執行相應操作:
確認為例外狀況事件:
處理檔案:建議在確認對業務無影響的情況下,手動阻斷相關進程並隔離對應檔案。
說明若已配置相關攔截規則,系統將自動處理,無需手動操作,事件狀態將顯示已攔截。
建立規則(可選):建立一條處置方式為攔截的規則,主動攔截異常進程的檔案變動操作。
處理警示:檔案手動處理後,返回警示列表。單擊目標警示操作列处置,並選擇已手工處理。
確認為正常操作/無需處理:
建立規則(可選):建立一條處置方式為允許存取的規則,將該合法進程加入允許存取名單,避免持續產生警示。
處理警示:單擊目標警示操作列处置,並選擇忽略。
管理規則和授權
查看及管理防護規則
在檔案防篡改頁面頂部,可以查看以下防護概覽資訊:
防护目录数:當前所有規則中已配置的防護目錄總數。
防护服务器数:當前已配置防護規則並開啟防護的伺服器總數。
已使用授權數/授权总数:已使用的攔截授權數和購買的授權總數。單擊授權管理,可查看授權詳情。
編輯:單擊規則操作列的編輯,修改規則配置。
說明修改的規則最長1分鐘後生效,不影響已產生的警示和記錄的事件。
刪除:單擊規則操作列的刪除,刪除規則。
警告刪除後,防護規則將失效,請評估後謹慎操作。
開啟/關閉:通過規則狀態列的開關,控制規則是否生效。
大量操作:勾選多條規則後,可批量開啟、關閉或刪除規則,支援跨頁全選。
升級授權數配額
訂用帳戶模式下,如果授權數為0或不足時,請參考如下步驟進行升級購買:
在檔案防篡改頁面,單擊右上方的購買許可證,跳轉至訂單升級頁面。
在檔案防篡改地區,根據需要防篡改防護的伺服器數量,增加購買數量。
單擊立即購買並完成支付。
取消授權
在檔案防篡改頁面的已使用授權數/授权总数地區,單擊授權管理。
在檔案防篡改授權彈窗,在選擇資產地區,取消勾選防護伺服器後,單擊確定。
退訂說明
配額與限制
授許可權制:1個防篡改授權數可防護1台伺服器。
規則配置限制
規則數量:最多支援同時啟用100條規則。
路徑配置:
單條規則中防護路徑和進程路徑各最多配置100個。
單個防護路徑長度限制為1~128個英文字元。
被防護檔案或目錄的完整路徑不超過1,000個英文字元或500個中文字元。
如果防護目錄被設定為 NFS server 的進程路徑,則無法防禦通過 NFS client 訪問修改該路徑下檔案的攻擊行為。
其他限制
排除使用者:每條規則最多5個。
檔案類型:每條規則最多64個,每個檔案類型最多15個字元。
系統限制:
Windows系統不支援監控檔案的許可權變更操作。
Windows系統不支援配置排除用户規則。
計費及授權消耗說明
檔案防篡改功能提供兩種計費模式,並根據使用的規則類型決定是否消耗授權。
計費模式:
訂用帳戶:預先購買指定數量的攔截授權,有效期間內使用。當月未使用完的授權數將在月底被自動清理,不會順延至下個月。
隨用隨付:按實際防護時間長度(秒)× 防護伺服器數計費。符合以下條件的主機自動計入防護伺服器數:
綁定攔截防護規則的伺服器。
綁定了警示防護規則,同時主機防護版本為企业版以下,或防護等級為主機全面防護以下的伺服器。
授權消耗:
攔截規則:需要消耗授權數。
警示規則:若伺服器防護版本為企业版以下或防護等級為主機全面防護以下,需要消耗授權數。
允許存取規則:不消耗授權數,可以免費使用。
更多說明,請參見計費說明。
常見問題
新版檔案防篡改和舊版的網頁防篡改、核心檔案監控是什麼關係?
新版檔案防篡改功能整合了原網頁防篡改和核心檔案監控兩個功能模組。使用統一的規則管理介面,同時支援檔案攔截防護和檔案訪問監控,簡化了配置和管理流程。
說明可以在檔案防篡改頁面右上方單擊回到旧版切換到舊版控制台介面,舊版功能將在後續逐步下線。更多說明,請參見【升級】Security Center【網頁防篡改】與【核心檔案監控】合并升級。
對比項
舊版-網頁防篡改
舊版-核心檔案監控
新版-檔案防篡改
處置方式
白名單/黑名單模式,按目錄和檔案類型設定防護範圍。
基於規則的警示/允許存取模式。
統一的規則管理,支援警示、攔截、允許存取三種處置方式。
產品能力
支援識別檔案的異常變動,並對導致異常變動的進程進行攔截或警示。
支援監控檔案的異常訪問(包括讀取、修改、刪除等操作),並提供警示。
支援對檔案的讀取、寫入、刪除、重新命名、許可權變更等進行監控、攔截或警示。
支援設定排除使用者(使用者白名單),當白名單使用者執行的檔案操作匹配規則時,將不會觸發警示或攔截。
授權數消耗
需購買防篡改授權數。
企業版或旗艦版使用者免費使用,不涉及防篡改授權數消耗。
攔截規則:需要消耗授權數。
警示規則:若伺服器防護版本為企业版以下或防護等級為主機全面防護以下,需要消耗授權數。
允許存取規則:不消耗授權數,可以免費使用。
同時配置了警示和攔截規則,優先匹配哪個?
當同一檔案操作同時命中多條規則時,Security Center按照以下優先順序匹配:允許存取 > 攔截 > 告警。即優先匹配允許存取規則,允許存取規則未命中時匹配攔截規則,最後匹配警示規則。
警示規則和攔截規則的區別是什嗎?
對比項
警示規則
攔截規則
功能說明
記錄事件併產生警示通知,不阻斷檔案操作。
主動阻斷異常進程對防護檔案的操作。
授權數消耗
若伺服器防護版本為企业版以下或防護等級為主機全面防護以下,需要消耗授權數。
消耗防篡改授權數。
適用情境
監控情境。
主動防禦情境。
規則建立後多久生效?
首次為伺服器開啟規則時,最長5分鐘生效。
修改的規則最長1分鐘生效,修改的規則生效後不會影響已產生的警示和記錄的事件。