什么是服务器安全卫士？

服务器安全卫士专注于服务端主机的安全防护，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。

服务器安全卫士采用模块化的组织形式，通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动，实现安全的统一策略管理和快速的入侵响应能力。

服务器安全产品能解决什么问题？

服务器安全卫士产品是一个完整的服务器安全防护系统，帮助客户建立防御-检测-响应-预测全面安全体系。

服务器安全卫士产品能够解决防御的问题，缩小系统攻击面，提升安全等级。也能够解决如何发现黑客的问题，包括：实时黑客行为特征锚点监控，检测黑客常见入侵手段；与业务正常行为结合分析，发现系统内部异常潜伏攻击。

服务器安全卫士与漏洞扫描、Web应用防火墙有什么区别？

防御层面不同，服务器安全卫士能从主机层面防御风险和威胁，提升系统安全指数。

安装Agent会不会对自身的业务稳定性产生影响？

不会。

Agent是纯应用层的，不会给系统装任何的驱动，不会影响系统的稳定性。
Agent对系统是只读的，不会改写任何数据。
Agent的带宽和资源占用很小。
Agent已经通过各种业务场景长时间运行测试。

服务器安全卫士支持版本升级吗？

支持，登录云平台，进入控制中心-“服务器安全卫士”界面，点击需要升级订单对应的“升级”按钮。

当该订单规格为基础版时，点击“升级”，弹出开通服务界面，规格默认“企业版”，可切换规格为“旗舰版”。
当该订单规格为企业版时，点击“升级”，弹出开通服务界面，规格只能选择“旗舰版”。
当该订单规格为旗舰版时，旗舰版为最高版本，不可再升级。
选择升级规格，提交订单。

什么是服务器安全卫士的Agent？

Agent用于执行检测任务，全量扫描主机/容器；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。

Agent分为Linux版本和Windows版本，您需要根据主机的版本，选择对应版本进行安装。主机上安装Agent后，即可获得服务器安全卫士提供的主机防护功能。

服务器安全卫士Agent资源占用情况？

Agent对所在主机资源消耗严格控制：

满业务加载时
- CPU平均使用率不超过5%
- 内存占用不超过500M
- 硬盘存储空间占用，最高不超过200M
日常闲时
- CPU使用率在1%以下
- 内存40M以下

如何安装Agent？

购买成功后，进入控制中心-“服务器安全卫士”界面，点击“控制台”，进入控制台后，在通用功能-系统设置-Agent安装界面，根据页面提示安装Agent即可。

如何查看未安装Agent的主机？

在用户的IT运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。

主要有以下三种发现方法：

ARP缓存发现：Address Resolution Protecol（ARP）缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了Agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。
Ping发现：Ping发现是通过发送ping包的方式来发现新主机，支持系统：Linux，Windows（TBD），方法特殊设置：设置扫描的IP段。
Nmap发现：具体操作请参考：通用功能-主机发现。

资产清点有什么优势？

产品支持Windows，Linux所有主流的操作系统与版本。包括：Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系统等。

产品资产清点的技术优势主要体现在两个方面。

数据的获取速度快，定期清点资产数据放入快速缓存，查询数据或使用数据从快速缓存中获取。
对于变化较为频繁的数据（例如进程，端口），在定时更新的基础上，用户可以按需主动更新，避免因为本地数据库过于陈旧，检测不准确，也避免传统方案不断监控变化（频繁变化的数据在使用时，实际只需要获取最新的状态），导致的无意义性能消耗。

资产清点是否调用系统命令？

Agent不会去调用系统命令，而是执行Server端下发的lua脚本。

业务不在天翼云上，是否可以使用服务器安全卫士？

因为服务器安全卫士只是部署在天翼云，不分资源池，所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。

购买什么版本的服务器安全卫士能够满足等保二级的整改要求？

您需要购买企业版或旗舰版才能满足等保二级及以上的认证，基础版的功能无法满足整改要求。

Agent是否和其他安全软件有冲突？

因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高，在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件，确保它们互不干扰，例如在一个软件完成扫描后再使用另一个软件进行监测。

服务器安全卫士到期后不续费，对主机和业务有影响吗？

因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端，不续费只是会让Agent失效，不会对主机和业务有影响，只是服务器安全卫士的防护会失效。

退订重购服务器安全卫士后，是否需要重新安装Agent与配置主机防护信息？

退订重购服务器安全卫士后，因为控制台ID已改变，所以需要重新安装Agent，服务器安全卫士的配置都是默认配置好的，所以不需要再对主机防护信息进行配置。

服务器安全卫士如何拦截暴力破解？

服务器安全卫士暴力破解基本原理如下：

1、获取登录数据

Linux：通过查看系统日志，获取登录成功、失败、登出等行为。登录日志（/var/log/secure）
Windows：查看安全日志中的登录事件，4624（成功）、4625（失败），没有登出

2、判断是暴力破解的条件

说明 时间周期 N
相同IP下同一用户名登录N次 1分钟 30
相同IP下不同的用户名登录N次 5分钟 10
较长时间内重试达到指定N次 10分钟 50

说明	时间周期	N
相同IP下同一用户名登录N次	1分钟	30
相同IP下不同的用户名登录N次	5分钟	10
较长时间内重试达到指定N次	10分钟	50

3、封停原理

暴力破解自动封停存在开关，默认关闭，且仅对外网IP进行自动封停功能。

4、暴力破解封停功能的实现

Linux通过TCP_Wrappers实现封停功能，主要通过/etc/hosts.allow和/etc/hosts.deny完成的。
Windows通过Windows Filtering Platform（和windows防火墙一套的底层API），这套API用于支持对网络相关的处理能力。

5、封停状态变化

6、封停失败排查

封禁需要满足三个条件：

openssh版本是否在7.8版本以下，7.8及以上不支持，6.6版本开始不再支持tcpwrappers，因此若直接回退版本需退到6.6版本。
ldd $(which sshd) | grep wrap 命令是否有输出，没有则不支持wrap。
是否存在/etc/hosts.deny文件。

步骤：

1.执行 ps -ef | grep /usr/sbin/sshd ，找到sshd的主进程pid。

2.执行 cat /proc/962/maps | grep libwrap ，若没有回显表示不支持。

临时解决方法是把openssh降到允许使用tcp_wapper的版本。

账号被暴力破解，怎么办？

账号被暴力破解，服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警，如果客户确认是攻击IP，可以选择进行永久封禁，如果不是攻击IP，进行加白即可。

如何使用服务器安全卫士？

使用服务器安全卫士请按照如下步骤进行操作：

购买防护配额。
安装Agent。
安装Agent后，您才能开启服务器安全卫士服务。
设置告警通知。

第一次登录会让填写默认手机号邮箱号，告警默认开启，开启告警通知功能后，您能接收到主机安全服务发送的告警通知，及时了解主机内的安全风险。

购买服务器安全卫士后会自动安装Agent吗？

购买服务器安全卫士后系统不会自动执行安装Agent，用户需要按照安装手册，登录控制台生成命令并将命令复制到主机上执行来安装Agent。

出现弱口令告警，怎么办？

若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。

如何处理漏洞？

查看漏洞检测结果。
按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。

如何设置安全的口令？

请按如下建议设置口令：

使用复杂度高的密码。
建议密码复杂度至少满足如下要求：
- 密码长度至少8个字符。
- 包含如下至少三种组合：大写字母（AZ）、小写字母（az）、数字（0~9）、特殊字符。
- 密码不为用户名或用户名的倒序。
不使用有一定特征和规律容易被破解的常用弱口令。
不使用空密码或系统的缺省密码。
不要重复使用最近5次（含5次）内已使用的密码。
不同网站/账号使用不同的密码。
根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。
定期修改密码，建议至少每90天更改一次密码。
账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。
建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。
建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。
新建系统中的账号缺省密码在首次使用前，建议强制用户更改。
建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

服务器安全卫士是否支持病毒查杀？

服务器安全卫士支持检测恶意程序、勒索病毒等入侵威胁。对于恶意进程和进程异常行为，服务器安全卫士支持手动隔离查杀。

服务器安全卫士病毒查杀原理？

病毒查杀过程：

Agent监控进程启动，进程信息中包含进程文件路径、大小、文件MD5值；上报服务端
服务端根据MD5值查找文件检测记录，如未被检测过且未被其它主机上传过，向Agent下发文件上传任务；上传大小限制30M，上传限速500kb/s，可配置。
病毒处理方式：阻断进程、隔离文件、删除文件

风险发现中风险评分是怎么定义的？处理完告警的风险后，怎样量化系统的健康程度？

在风险发现模块中，定义安全评分来量化系统的健康程度，安全评分总分为100分，分数越高，表示系统越健康。

评分范围
安全补丁、漏洞检测、弱密码、应用风险、系统风险、账号风险。
评分定义
根据安全评分的值，我们将系统的健康程度量化为A-E 5个级别。评级越低，则认为系统中存在的问题越严重。
- 安全评级为A，安全评分为90-100
- 安全评级为B，安全评分为80-89
- 安全评级为C，安全评分为70-79
- 安全评级为D，安全评分为60-69
- 安全评级为E，安全评分为60分以下

风险发现功能怎么保证检测漏洞的准确性？

漏洞的检测方式为版本比对和POC验证两种方式。

版本比对：通过获取应用的包安装版本和进程版本，将其与应用的漏洞版本进行比对。
POC验证：即对漏洞逐个进行分析，根据漏洞原理编写对应的漏洞验证脚本，逐个漏洞进行检测。

入侵检测-暴力破解会进行IP封禁么？

对于内网的IP地址如果出现暴力破解的行为之后，系统不会封停，但是会在产品界面提示，需要手动封停。客户可以根据实际情况，在产品界面手动配置是否封停。

如果是外网IP地址，达到规则阈值后会自动进行封停，封停时间为1小时，达到时间后自动解封。另外如果是手动封停的话需要手动解封，不会自动解封。

漏洞等级危急、高危、中危、低危划分标准？

漏洞等级 划分标准
严重 直接获取重要服务器（客户端）权限的漏洞。
包括但不限于远程任意命令执行、上传webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞；直接导致严重的信息泄漏漏洞。
包括但不限于重要系统中能获取大量信息的SQL注入漏洞；能直接获取目标单位核心机密的漏洞。
高危 直接获取普通系统权限的漏洞。
包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等；严重的逻辑设计缺陷和流程缺陷。
包括但不限于任意账号密码修改、重要业务配置修改、泄露；可直接批量盗取用户身份权限的漏洞。
包括但不限于普通系统的SQL注入、用户订单遍历；严重的权限绕过类漏洞。
包括但不限于绕过认证直接访问管理后台、cookie欺骗。运维相关的未授权访问漏洞。
包括但不限于后台管理员弱口令、服务未授权访问。
中危 需要在一定条件限制下，能获取服务器权限、网站权限与核心数据库数据的操作。
包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等；任意文件操作漏洞。
包括但不限于任意文件写、删除、下载，敏感文件读取等操作；水平权限绕过。
包括但不限于绕过限制修改用户资料、执行用户操作。
低危 能够获取一些数据，但不属于核心数据的操作；在条件严苛的环境下能够获取核心数据或者控制核心业务的操作；需要用户交互才可以触发的漏洞。
包括但不限于XSS漏洞、CSRF漏洞、点击劫持。

漏洞等级	划分标准
严重	直接获取重要服务器（客户端）权限的漏洞。包括但不限于远程任意命令执行、上传webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞；直接导致严重的信息泄漏漏洞。包括但不限于重要系统中能获取大量信息的SQL注入漏洞；能直接获取目标单位核心机密的漏洞。
高危	直接获取普通系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等；严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改、重要业务配置修改、泄露；可直接批量盗取用户身份权限的漏洞。包括但不限于普通系统的SQL注入、用户订单遍历；严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie欺骗。运维相关的未授权访问漏洞。包括但不限于后台管理员弱口令、服务未授权访问。
中危	需要在一定条件限制下，能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等；任意文件操作漏洞。包括但不限于任意文件写、删除、下载，敏感文件读取等操作；水平权限绕过。包括但不限于绕过限制修改用户资料、执行用户操作。
低危	能够获取一些数据，但不属于核心数据的操作；在条件严苛的环境下能够获取核心数据或者控制核心业务的操作；需要用户交互才可以触发的漏洞。包括但不限于XSS漏洞、CSRF漏洞、点击劫持。

Agent程序采用什么语言编写？需要对操作系统的内核、驱动进行什么操作？在运行中需要加载动态模块吗？

Agent采用纯C语言编写，保证了资源消耗控制的基础。
Agent完全绿色化，不需要对操作系统的内核、驱动等关键模块进行操作。
在运行过程中，Agent采用脚本化的方式完成相关的数据采集、数据上报互动等任务，无需加载DLL或SO等动态库。

Agent任务执行机制？

Agent启动之后，主动连接服务器，然后监听来自服务端的命令请求。在收到服务端下发的命令之后，通过Agent内部的lua脚本进行不同服务的启动，最多启动4个线程并发执行lua脚本，以开启不同的功能。

Agent任务定时机制？

服务端给Agent下发的一系列任务都可以通过crontab的形式在产品后台进行配置，目前默认轮询任务触发时间为凌晨6点左右，每间隔24小时执行一次。

有些任务可以作为例行化，有些可以作为触发式，都是通过服务器端将任务推送给Agent。

Agent兼容性怎么样？

服务器安全卫士Agent是轻量级的插件，无驱，且工作在操作系统应用层，安装时包括安装后无需改变系统及应用原生态的环境，无需重启应用进程和操作系统。

安全补丁功能与漏洞检测功能的区别是什么？

安全补丁是处理问题，而漏洞检测是发现问题。

安全补丁是服务器上操作系统未打补丁的客观体现，而漏洞检测是一些存在可以很容易被利用的风险缺陷；通过补丁管理，一个补丁可以修复对应一个到多个漏洞，或者修复某个漏洞需要打多个补丁。

我已经购买了服务器安全卫士产品，是否意味着已开启安全防护？

不是。购买成功后还需要一系列的配置才能开启安全防护，例如登录控制台、安装Agent、Agent管理等配置。