活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 一键部署Llama3大模型学习机 0代码一键部署,预装最新主流大模型Llama3与StableDiffusion
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
    • 关系数据库SQL Server版
    • 企业主机安全
    • 云防火墙
    • CDN加速
    • 物理机
    • GPU云主机
    • 天翼云电脑(政企版)
    • 天翼云电脑(公众版)
    • 云主机备份
    • 弹性云主机
      搜索发现
      关系数据库SQL Server版企业主机安全云防火墙CDN加速物理机GPU云主机天翼云电脑(政企版)天翼云电脑(公众版)云主机备份弹性云主机
    • 文档
    • 控制中心
    • 备案
    • 管理中心
    • 登录
    • 免费注册

    查看所有产品

    服务器安全卫士

    服务器安全卫士

    目录
      • 产品介绍
      • 产品定义
      • 产品优势
      • 应用场景
      • 功能特性
      • 产品规格
      • 术语解释
      • 计费说明
      • 价格
      • 开通
      • 续订
      • 扩容
      • 升级
      • 退订
      • 快速入门
      • 登录
      • 设置通知方式
      • 安装Agent
      • 功能使用
      • 管理Agent
      • 卸载Agent
      • 资产清点
      • 概览视图
      • 分级视图
      • 风险发现
      • 风险总览
      • 风险总览Tab页
      • 风险分析Tab页
      • 全部扫描
      • 查找主机
      • 查看执行记录
      • 通用功能
      • 入侵检测
      • 入侵总览
      • 通用功能
      • 合规基线
      • 基线检查与执行
      • 新建检查
      • 凭证管理
      • 查看白名单
      • 病毒查杀
      • 告警列表
      • 设置管理
      • 处理中心
      • 通用功能
      • Agent 安装
      • Linux
      • Windows
      • 主机管理
      • IP 显示管理
      • IP 组管理
      • 主机发现
      • 报表系统
      • Agent 管理
      • 系统审计
      • 通知管理
      • 最佳实践
      • 漏洞检测与修复最佳实践
      • Apache HTTP Server 环境问题漏洞(CVE-2022-22720)
      • Linux polkit本地权限提升漏洞(CVE-2021-4034)
      • Sudo缓冲区溢出漏洞(CVE-2021-3156)
      • FastJSON<=1.2.80 反序列化漏洞(CVE-2022-25845)
      • Tomcat 拒绝服务漏洞(CVE-2023-24998)
      • Linux内核本地拒绝服务漏洞(CVE-2018-10675)
      • Apache HTTP Server缓冲区溢出漏洞(CVE-2021-44790)
      • 挖矿软件防护最佳实践
      • 等保合规检查最佳实践
      • HW和重保期间最佳实践
      • 软件资产合规管控最佳实践
      • 常见问题
      • 使用说明类
      • 操作类
      • 管理类
      • 相关协议
      • 服务协议
      • 文档下载
        无相关产品

        本页目录

        什么是服务器安全卫士?

        服务器安全产品能解决什么问题?

        服务器安全卫士与漏洞扫描、Web应用防火墙有什么区别?

        安装Agent会不会对自身的业务稳定性产生影响?

        服务器安全卫士支持版本升级吗?

        什么是服务器安全卫士的Agent?

        服务器安全卫士Agent资源占用情况?

        如何安装Agent?

        如何查看未安装Agent的主机?

        资产清点有什么优势?

        资产清点是否调用系统命令?

        业务不在天翼云上,是否可以使用服务器安全卫士?

        购买什么版本的服务器安全卫士能够满足等保二级的整改要求?

        Agent是否和其他安全软件有冲突?

        服务器安全卫士到期后不续费,对主机和业务有影响吗?

        退订重购服务器安全卫士后,是否需要重新安装Agent与配置主机防护信息?

        服务器安全卫士如何拦截暴力破解?

        账号被暴力破解,怎么办?

        如何使用服务器安全卫士?

        购买服务器安全卫士后会自动安装Agent吗?

        出现弱口令告警,怎么办?

        如何处理漏洞?

        如何设置安全的口令?

        服务器安全卫士是否支持病毒查杀 ?

        服务器安全卫士病毒查杀原理?

        风险发现中风险评分是怎么定义的?处理完告警的风险后,怎样量化系统的健康程度?

        风险发现功能怎么保证检测漏洞的准确性?

        入侵检测-暴力破解会进行IP封禁么?

        漏洞等级危急、高危、中危、低危划分标准?

        Agent程序采用什么语言编写?需要对操作系统的内核、驱动进行什么操作?在运行中需要加载动态模块吗?

        Agent任务执行机制?

        Agent任务定时机制?

        Agent兼容性怎么样?

        安全补丁功能与漏洞检测功能的区别是什么?

        我已经购买了服务器安全卫士产品,是否意味着已开启安全防护?

        帮助中心 服务器安全卫士 常见问题 使用说明类
        使用说明类
        更新时间 2024-06-05 16:04:25
        • 新浪微博
        • 微信
          扫码分享
        • 复制链接
        最近更新时间: 2024-06-05 16:04:25
        下载本页

        使用说明类

        2024-06-05 08:04:25

        什么是服务器安全卫士?

        服务器安全卫士专注于服务端主机的安全防护,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。

        服务器安全卫士采用模块化的组织形式,通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动,实现安全的统一策略管理和快速的入侵响应能力。

        服务器安全产品能解决什么问题?

        服务器安全卫士产品是一个完整的服务器安全防护系统,帮助客户建立防御-检测-响应-预测全面安全体系。

        服务器安全卫士产品能够解决防御的问题,缩小系统攻击面,提升安全等级。也能够解决如何发现黑客的问题,包括:实时黑客行为特征锚点监控,检测黑客常见入侵手段;与业务正常行为结合分析,发现系统内部异常潜伏攻击。

        服务器安全卫士与漏洞扫描、Web应用防火墙有什么区别?

        防御层面不同,服务器安全卫士能从主机层面防御风险和威胁,提升系统安全指数。

        安装Agent会不会对自身的业务稳定性产生影响?

        不会。

        • Agent是纯应用层的,不会给系统装任何的驱动,不会影响系统的稳定性。
        • Agent对系统是只读的,不会改写任何数据。
        • Agent的带宽和资源占用很小。
        • Agent已经通过各种业务场景长时间运行测试。

        服务器安全卫士支持版本升级吗?

        支持,登录云平台,进入控制中心-“服务器安全卫士”界面,点击需要升级订单对应的“升级”按钮。

        • 当该订单规格为基础版时,点击“升级”,弹出开通服务界面,规格默认“企业版”,可切换规格为“旗舰版”。
        • 当该订单规格为企业版时,点击“升级”,弹出开通服务界面,规格只能选择“旗舰版”。
        • 当该订单规格为旗舰版时,旗舰版为最高版本,不可再升级。
        • 选择升级规格,提交订单。

        什么是服务器安全卫士的Agent?

        Agent用于执行检测任务,全量扫描主机/容器;实时监测主机的安全状态,并将收集的主机信息上报给云端防护中心。

        Agent分为Linux版本和Windows版本,您需要根据主机的版本,选择对应版本进行安装。主机上安装Agent后,即可获得服务器安全卫士提供的主机防护功能。

        服务器安全卫士Agent资源占用情况?

        Agent对所在主机资源消耗严格控制:

        • 满业务加载时

          • CPU平均使用率不超过5%
          • 内存占用不超过500M
          • 硬盘存储空间占用,最高不超过200M
        • 日常闲时

          • CPU使用率在1%以下
          • 内存40M以下

        如何安装Agent?

        购买成功后,进入控制中心-“服务器安全卫士”界面,点击“控制台”,进入控制台后,在通用功能-系统设置-Agent安装界面,根据页面提示安装Agent即可。

        如何查看未安装Agent的主机?

        在用户的IT运维环境中会在一部分主机上部署Agent,用户就需要能够知道还有哪些主机没有部署 Agent(一方面是用户很多时候都不知道在自己的网络环境中有多少主机,另一方面用户也会有一些主机新上线)。

        主要有以下三种发现方法:

        • ARP缓存发现:Address Resolution Protecol(ARP)缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了Agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。
        • Ping发现:Ping发现是通过发送ping包的方式来发现新主机,支持系统:Linux,Windows(TBD),方法特殊设置:设置扫描的IP段。
        • Nmap发现:具体操作请参考:通用功能-主机发现。

        资产清点有什么优势?

        产品支持Windows,Linux所有主流的操作系统与版本。包括:Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系统等。

        产品资产清点的技术优势主要体现在两个方面。

        • 数据的获取速度快,定期清点资产数据放入快速缓存,查询数据或使用数据从快速缓存中获取。
        • 对于变化较为频繁的数据(例如进程,端口),在定时更新的基础上,用户可以按需主动更新,避免因为本地数据库过于陈旧,检测不准确,也避免传统方案不断监控变化(频繁变化的数据在使用时,实际只需要获取最新的状态),导致的无意义性能消耗。

        资产清点是否调用系统命令?

        Agent不会去调用系统命令,而是执行Server端下发的lua脚本。

        业务不在天翼云上,是否可以使用服务器安全卫士?

        因为服务器安全卫士只是部署在天翼云,不分资源池,所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。

        购买什么版本的服务器安全卫士能够满足等保二级的整改要求?

        您需要购买企业版或旗舰版才能满足等保二级及以上的认证,基础版的功能无法满足整改要求。

        Agent是否和其他安全软件有冲突?

        因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高,在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件,确保它们互不干扰,例如在一个软件完成扫描后再使用另一个软件进行监测。

        服务器安全卫士到期后不续费,对主机和业务有影响吗?

        因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端,不续费只是会让Agent失效,不会对主机和业务有影响,只是服务器安全卫士的防护会失效。

        退订重购服务器安全卫士后,是否需要重新安装Agent与配置主机防护信息?

        退订重购服务器安全卫士后,因为控制台ID已改变,所以需要重新安装Agent,服务器安全卫士的配置都是默认配置好的,所以不需要再对主机防护信息进行配置。

        服务器安全卫士如何拦截暴力破解?

        服务器安全卫士暴力破解基本原理如下:

        image.png

        1、获取登录数据

        • Linux:通过查看系统日志,获取登录成功、失败、登出等行为。 登录日志(/var/log/secure)
        • Windows:查看安全日志中的登录事件,4624(成功)、4625(失败),没有登出

        2、判断是暴力破解的条件

        说明时间周期N
        相同IP下同一用户名登录N次1分钟30
        相同IP下不同的用户名登录N次5分钟10
        较长时间内重试达到指定N次10分钟50

        3、封停原理

        暴力破解自动封停存在开关,默认关闭,且仅对外网IP进行自动封停功能。

        4、暴力破解封停功能的实现

        • Linux通过TCP_Wrappers实现封停功能,主要通过/etc/hosts.allow和/etc/hosts.deny完成的。
        • Windows通过Windows Filtering Platform(和windows防火墙一套的底层API),这套API用于支持对网络相关的处理能力。

        5、封停状态变化

        image.png

        6、封停失败排查

        封禁需要满足三个条件:

        • openssh版本是否在7.8版本以下,7.8及以上不支持,6.6版本开始不再支持tcpwrappers,因此若直接回退版本需退到6.6版本。
        • ldd $(which sshd) | grep wrap 命令是否有输出,没有则不支持wrap。
        • 是否存在/etc/hosts.deny文件。

        步骤:

        1.执行 ps -ef | grep /usr/sbin/sshd ,找到sshd的主进程pid。

        2.执行 cat /proc/962/maps | grep libwrap ,若没有回显表示不支持。

        临时解决方法是把openssh降到允许使用tcp_wapper的版本。

        账号被暴力破解,怎么办?

        账号被暴力破解,服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警,如果客户确认是攻击IP,可以选择进行永久封禁,如果不是攻击IP,进行加白即可。

        如何使用服务器安全卫士?

        使用服务器安全卫士请按照如下步骤进行操作:

        1. 购买防护配额。
        2. 安装Agent。
          安装Agent后,您才能开启服务器安全卫士服务。
        3. 设置告警通知。

        第一次登录会让填写默认手机号邮箱号,告警默认开启,开启告警通知功能后,您能接收到主机安全服务发送的告警通知,及时了解主机内的安全风险。

        购买服务器安全卫士后会自动安装Agent吗?

        购买服务器安全卫士后系统不会自动执行安装Agent,用户需要按照安装手册,登录控制台生成命令并将命令复制到主机上执行来安装Agent。

        出现弱口令告警,怎么办?

        若您收到弱口令告警,则说明您的主机存在被入侵的风险。数据、程序都存储在系统中,若密码被破解,系统中的数据和程序将毫无安全可言,请及时修改弱口令。

        如何处理漏洞?

        1. 查看漏洞检测结果。
        2. 按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。

        如何设置安全的口令?

        请按如下建议设置口令:

        • 使用复杂度高的密码。
          建议密码复杂度至少满足如下要求:
          • 密码长度至少8个字符。
          • 包含如下至少三种组合:大写字母(AZ)、小写字母(az)、数字(0~9)、特殊字符。
          • 密码不为用户名或用户名的倒序。
        • 不使用有一定特征和规律容易被破解的常用弱口令。
        • 不使用空密码或系统的缺省密码。
        • 不要重复使用最近5次(含5次)内已使用的密码。
        • 不同网站/账号使用不同的密码。
        • 根据不同应用设置不同的账号密码,不建议多个应用使用同一套账户/密码。
        • 定期修改密码,建议至少每90天更改一次密码。
        • 账号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,若不能强制用户修改密码,则为密码设置过期的期限(用户必须及时修改密码,否则密码应被强制失效)。
        • 建议为所有账户配置设置连续认证失败次数超过5次(不含5次),锁定账号策略和30分钟自动解除锁定策略。
        • 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。
        • 新建系统中的账号缺省密码在首次使用前,建议强制用户更改。
        • 建议开启账户登录记录日志功能,登录日志最少保存180天,登录日志中不能保存用户的密码。

        服务器安全卫士是否支持病毒查杀 ?

        服务器安全卫士支持检测恶意程序、勒索病毒等入侵威胁。对于恶意进程和进程异常行为,服务器安全卫士支持手动隔离查杀。

        服务器安全卫士病毒查杀原理?

        病毒查杀过程:

        1. Agent监控进程启动,进程信息中包含进程文件路径、大小、文件MD5值;上报服务端
        2. 服务端根据MD5值查找文件检测记录,如未被检测过且未被其它主机上传过,向Agent下发文件上传任务;上传大小限制30M,上传限速500kb/s,可配置。
        3. 病毒处理方式:阻断进程、隔离文件、删除文件

        风险发现中风险评分是怎么定义的?处理完告警的风险后,怎样量化系统的健康程度?

        在风险发现模块中,定义安全评分来量化系统的健康程度,安全评分总分为100分,分数越高,表示系统越健康。

        • 评分范围
          安全补丁、漏洞检测、弱密码、应用风险、系统风险、账号风险。

        • 评分定义
          根据安全评分的值,我们将系统的健康程度量化为A-E 5个级别。评级越低,则认为系统中存在的问题越严重。

          • 安全评级为A,安全评分为90-100
          • 安全评级为B, 安全评分为80-89
          • 安全评级为C, 安全评分为70-79
          • 安全评级为D, 安全评分为60-69
          • 安全评级为E,安全评分为60分以下

        风险发现功能怎么保证检测漏洞的准确性?

        漏洞的检测方式为版本比对和POC验证两种方式。

        • 版本比对:通过获取应用的包安装版本和进程版本,将其与应用的漏洞版本进行比对。
        • POC验证:即对漏洞逐个进行分析,根据漏洞原理编写对应的漏洞验证脚本,逐个漏洞进行检测。

        入侵检测-暴力破解会进行IP封禁么?

        对于内网的IP地址如果出现暴力破解的行为之后,系统不会封停,但是会在产品界面提示,需要手动封停。客户可以根据实际情况,在产品界面手动配置是否封停。

        如果是外网IP地址,达到规则阈值后会自动进行封停,封停时间为1小时,达到时间后自动解封。另外如果是手动封停的话需要手动解封,不会自动解封。

        漏洞等级危急、高危、中危、低危划分标准?

        漏洞等级划分标准
        严重

        直接获取重要服务器(客户端)权限的漏洞。

        • 包括但不限于远程任意命令执行、上传webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞;直接导致严重的信息泄漏漏洞。

        • 包括但不限于重要系统中能获取大量信息的SQL注入漏洞;能直接获取目标单位核心机密的漏洞。

        高危

        直接获取普通系统权限的漏洞。

        • 包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等;严重的逻辑设计缺陷和流程缺陷。

        • 包括但不限于任意账号密码修改、重要业务配置修改、泄露;可直接批量盗取用户身份权限的漏洞。

        • 包括但不限于普通系统的SQL注入、用户订单遍历;严重的权限绕过类漏洞。

        • 包括但不限于绕过认证直接访问管理后台、cookie欺骗。运维相关的未授权访问漏洞。

        • 包括但不限于后台管理员弱口令、服务未授权访问。

        中危

        需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。

        • 包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等;任意文件操作漏洞。

        • 包括但不限于任意文件写、删除、下载,敏感文件读取等操作;水平权限绕过。

        • 包括但不限于绕过限制修改用户资料、执行用户操作。

        低危

        能够获取一些数据,但不属于核心数据的操作;在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;需要用户交互才可以触发的漏洞。

        包括但不限于XSS漏洞、CSRF漏洞、点击劫持。

        Agent程序采用什么语言编写?需要对操作系统的内核、驱动进行什么操作?在运行中需要加载动态模块吗?

        • Agent采用纯C语言编写,保证了资源消耗控制的基础。
        • Agent完全绿色化,不需要对操作系统的内核、驱动等关键模块进行操作。
        • 在运行过程中,Agent采用脚本化的方式完成相关的数据采集、数据上报互动等任务,无需加载DLL或SO等动态库。

        Agent任务执行机制?

        Agent启动之后,主动连接服务器,然后监听来自服务端的命令请求。在收到服务端下发的命令之后,通过Agent内部的lua脚本进行不同服务的启动,最多启动4个线程并发执行lua脚本,以开启不同的功能。

        Agent任务定时机制?

        服务端给Agent下发的一系列任务都可以通过crontab的形式在产品后台进行配置,目前默认轮询任务触发时间为凌晨6点左右,每间隔24小时执行一次。

        有些任务可以作为例行化,有些可以作为触发式,都是通过服务器端将任务推送给Agent。

        Agent兼容性怎么样?

        服务器安全卫士Agent是轻量级的插件,无驱,且工作在操作系统应用层,安装时包括安装后无需改变系统及应用原生态的环境,无需重启应用进程和操作系统。

        安全补丁功能与漏洞检测功能的区别是什么?

        安全补丁是处理问题,而漏洞检测是发现问题。

        安全补丁是服务器上操作系统未打补丁的客观体现,而漏洞检测是一些存在可以很容易被利用的风险缺陷;通过补丁管理,一个补丁可以修复对应一个到多个漏洞,或者修复某个漏洞需要打多个补丁。

        我已经购买了服务器安全卫士产品,是否意味着已开启安全防护?

        不是。购买成功后还需要一系列的配置才能开启安全防护,例如登录控制台、安装Agent、Agent管理等配置。

        分享文章
        • 新浪微博
        • 微信
          扫码分享
        • 复制链接
        本小节介绍服务器安全卫士知识类常见问题。

        什么是服务器安全卫士?

        服务器安全卫士专注于服务端主机的安全防护,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。

        服务器安全卫士采用模块化的组织形式,通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动,实现安全的统一策略管理和快速的入侵响应能力。

        服务器安全产品能解决什么问题?

        服务器安全卫士产品是一个完整的服务器安全防护系统,帮助客户建立防御-检测-响应-预测全面安全体系。

        服务器安全卫士产品能够解决防御的问题,缩小系统攻击面,提升安全等级。也能够解决如何发现黑客的问题,包括:实时黑客行为特征锚点监控,检测黑客常见入侵手段;与业务正常行为结合分析,发现系统内部异常潜伏攻击。

        服务器安全卫士与漏洞扫描、Web应用防火墙有什么区别?

        防御层面不同,服务器安全卫士能从主机层面防御风险和威胁,提升系统安全指数。

        安装Agent会不会对自身的业务稳定性产生影响?

        不会。

        • Agent是纯应用层的,不会给系统装任何的驱动,不会影响系统的稳定性。
        • Agent对系统是只读的,不会改写任何数据。
        • Agent的带宽和资源占用很小。
        • Agent已经通过各种业务场景长时间运行测试。

        服务器安全卫士支持版本升级吗?

        支持,登录云平台,进入控制中心-“服务器安全卫士”界面,点击需要升级订单对应的“升级”按钮。

        • 当该订单规格为基础版时,点击“升级”,弹出开通服务界面,规格默认“企业版”,可切换规格为“旗舰版”。
        • 当该订单规格为企业版时,点击“升级”,弹出开通服务界面,规格只能选择“旗舰版”。
        • 当该订单规格为旗舰版时,旗舰版为最高版本,不可再升级。
        • 选择升级规格,提交订单。

        什么是服务器安全卫士的Agent?

        Agent用于执行检测任务,全量扫描主机/容器;实时监测主机的安全状态,并将收集的主机信息上报给云端防护中心。

        Agent分为Linux版本和Windows版本,您需要根据主机的版本,选择对应版本进行安装。主机上安装Agent后,即可获得服务器安全卫士提供的主机防护功能。

        服务器安全卫士Agent资源占用情况?

        Agent对所在主机资源消耗严格控制:

        • 满业务加载时

          • CPU平均使用率不超过5%
          • 内存占用不超过500M
          • 硬盘存储空间占用,最高不超过200M
        • 日常闲时

          • CPU使用率在1%以下
          • 内存40M以下

        如何安装Agent?

        购买成功后,进入控制中心-“服务器安全卫士”界面,点击“控制台”,进入控制台后,在通用功能-系统设置-Agent安装界面,根据页面提示安装Agent即可。

        如何查看未安装Agent的主机?

        在用户的IT运维环境中会在一部分主机上部署Agent,用户就需要能够知道还有哪些主机没有部署 Agent(一方面是用户很多时候都不知道在自己的网络环境中有多少主机,另一方面用户也会有一些主机新上线)。

        主要有以下三种发现方法:

        • ARP缓存发现:Address Resolution Protecol(ARP)缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了Agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。
        • Ping发现:Ping发现是通过发送ping包的方式来发现新主机,支持系统:Linux,Windows(TBD),方法特殊设置:设置扫描的IP段。
        • Nmap发现:具体操作请参考:通用功能-主机发现。

        资产清点有什么优势?

        产品支持Windows,Linux所有主流的操作系统与版本。包括:Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系统等。

        产品资产清点的技术优势主要体现在两个方面。

        • 数据的获取速度快,定期清点资产数据放入快速缓存,查询数据或使用数据从快速缓存中获取。
        • 对于变化较为频繁的数据(例如进程,端口),在定时更新的基础上,用户可以按需主动更新,避免因为本地数据库过于陈旧,检测不准确,也避免传统方案不断监控变化(频繁变化的数据在使用时,实际只需要获取最新的状态),导致的无意义性能消耗。

        资产清点是否调用系统命令?

        Agent不会去调用系统命令,而是执行Server端下发的lua脚本。

        业务不在天翼云上,是否可以使用服务器安全卫士?

        因为服务器安全卫士只是部署在天翼云,不分资源池,所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。

        购买什么版本的服务器安全卫士能够满足等保二级的整改要求?

        您需要购买企业版或旗舰版才能满足等保二级及以上的认证,基础版的功能无法满足整改要求。

        Agent是否和其他安全软件有冲突?

        因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高,在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件,确保它们互不干扰,例如在一个软件完成扫描后再使用另一个软件进行监测。

        服务器安全卫士到期后不续费,对主机和业务有影响吗?

        因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端,不续费只是会让Agent失效,不会对主机和业务有影响,只是服务器安全卫士的防护会失效。

        退订重购服务器安全卫士后,是否需要重新安装Agent与配置主机防护信息?

        退订重购服务器安全卫士后,因为控制台ID已改变,所以需要重新安装Agent,服务器安全卫士的配置都是默认配置好的,所以不需要再对主机防护信息进行配置。

        服务器安全卫士如何拦截暴力破解?

        服务器安全卫士暴力破解基本原理如下:

        image.png

        1、获取登录数据

        • Linux:通过查看系统日志,获取登录成功、失败、登出等行为。 登录日志(/var/log/secure)
        • Windows:查看安全日志中的登录事件,4624(成功)、4625(失败),没有登出

        2、判断是暴力破解的条件

        说明时间周期N
        相同IP下同一用户名登录N次1分钟30
        相同IP下不同的用户名登录N次5分钟10
        较长时间内重试达到指定N次10分钟50
        说明时间周期N

        3、封停原理

        暴力破解自动封停存在开关,默认关闭,且仅对外网IP进行自动封停功能。

        4、暴力破解封停功能的实现

        • Linux通过TCP_Wrappers实现封停功能,主要通过/etc/hosts.allow和/etc/hosts.deny完成的。
        • Windows通过Windows Filtering Platform(和windows防火墙一套的底层API),这套API用于支持对网络相关的处理能力。

        5、封停状态变化

        image.png

        6、封停失败排查

        封禁需要满足三个条件:

        • openssh版本是否在7.8版本以下,7.8及以上不支持,6.6版本开始不再支持tcpwrappers,因此若直接回退版本需退到6.6版本。
        • ldd $(which sshd) | grep wrap 命令是否有输出,没有则不支持wrap。
        • 是否存在/etc/hosts.deny文件。

        步骤:

        1.执行 ps -ef | grep /usr/sbin/sshd ,找到sshd的主进程pid。

        2.执行 cat /proc/962/maps | grep libwrap ,若没有回显表示不支持。

        临时解决方法是把openssh降到允许使用tcp_wapper的版本。

        账号被暴力破解,怎么办?

        账号被暴力破解,服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警,如果客户确认是攻击IP,可以选择进行永久封禁,如果不是攻击IP,进行加白即可。

        如何使用服务器安全卫士?

        使用服务器安全卫士请按照如下步骤进行操作:

        1. 购买防护配额。
        2. 安装Agent。
          安装Agent后,您才能开启服务器安全卫士服务。
        3. 设置告警通知。

        第一次登录会让填写默认手机号邮箱号,告警默认开启,开启告警通知功能后,您能接收到主机安全服务发送的告警通知,及时了解主机内的安全风险。

        购买服务器安全卫士后会自动安装Agent吗?

        购买服务器安全卫士后系统不会自动执行安装Agent,用户需要按照安装手册,登录控制台生成命令并将命令复制到主机上执行来安装Agent。

        出现弱口令告警,怎么办?

        若您收到弱口令告警,则说明您的主机存在被入侵的风险。数据、程序都存储在系统中,若密码被破解,系统中的数据和程序将毫无安全可言,请及时修改弱口令。

        如何处理漏洞?

        1. 查看漏洞检测结果。
        2. 按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。

        如何设置安全的口令?

        请按如下建议设置口令:

        • 使用复杂度高的密码。
          建议密码复杂度至少满足如下要求:
          • 密码长度至少8个字符。
          • 包含如下至少三种组合:大写字母(AZ)、小写字母(az)、数字(0~9)、特殊字符。
          • 密码不为用户名或用户名的倒序。
        • 不使用有一定特征和规律容易被破解的常用弱口令。
        • 不使用空密码或系统的缺省密码。
        • 不要重复使用最近5次(含5次)内已使用的密码。
        • 不同网站/账号使用不同的密码。
        • 根据不同应用设置不同的账号密码,不建议多个应用使用同一套账户/密码。
        • 定期修改密码,建议至少每90天更改一次密码。
        • 账号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,若不能强制用户修改密码,则为密码设置过期的期限(用户必须及时修改密码,否则密码应被强制失效)。
        • 建议为所有账户配置设置连续认证失败次数超过5次(不含5次),锁定账号策略和30分钟自动解除锁定策略。
        • 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。
        • 新建系统中的账号缺省密码在首次使用前,建议强制用户更改。
        • 建议开启账户登录记录日志功能,登录日志最少保存180天,登录日志中不能保存用户的密码。

        服务器安全卫士是否支持病毒查杀 ?

        服务器安全卫士支持检测恶意程序、勒索病毒等入侵威胁。对于恶意进程和进程异常行为,服务器安全卫士支持手动隔离查杀。

        服务器安全卫士病毒查杀原理?

        病毒查杀过程:

        1. Agent监控进程启动,进程信息中包含进程文件路径、大小、文件MD5值;上报服务端
        2. 服务端根据MD5值查找文件检测记录,如未被检测过且未被其它主机上传过,向Agent下发文件上传任务;上传大小限制30M,上传限速500kb/s,可配置。
        3. 病毒处理方式:阻断进程、隔离文件、删除文件

        风险发现中风险评分是怎么定义的?处理完告警的风险后,怎样量化系统的健康程度?

        在风险发现模块中,定义安全评分来量化系统的健康程度,安全评分总分为100分,分数越高,表示系统越健康。

        • 评分范围
          安全补丁、漏洞检测、弱密码、应用风险、系统风险、账号风险。

        • 评分定义
          根据安全评分的值,我们将系统的健康程度量化为A-E 5个级别。评级越低,则认为系统中存在的问题越严重。

          • 安全评级为A,安全评分为90-100
          • 安全评级为B, 安全评分为80-89
          • 安全评级为C, 安全评分为70-79
          • 安全评级为D, 安全评分为60-69
          • 安全评级为E,安全评分为60分以下

        风险发现功能怎么保证检测漏洞的准确性?

        漏洞的检测方式为版本比对和POC验证两种方式。

        • 版本比对:通过获取应用的包安装版本和进程版本,将其与应用的漏洞版本进行比对。
        • POC验证:即对漏洞逐个进行分析,根据漏洞原理编写对应的漏洞验证脚本,逐个漏洞进行检测。

        入侵检测-暴力破解会进行IP封禁么?

        对于内网的IP地址如果出现暴力破解的行为之后,系统不会封停,但是会在产品界面提示,需要手动封停。客户可以根据实际情况,在产品界面手动配置是否封停。

        如果是外网IP地址,达到规则阈值后会自动进行封停,封停时间为1小时,达到时间后自动解封。另外如果是手动封停的话需要手动解封,不会自动解封。

        漏洞等级危急、高危、中危、低危划分标准?

        漏洞等级划分标准
        严重

        直接获取重要服务器(客户端)权限的漏洞。

        • 包括但不限于远程任意命令执行、上传webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞;直接导致严重的信息泄漏漏洞。

        • 包括但不限于重要系统中能获取大量信息的SQL注入漏洞;能直接获取目标单位核心机密的漏洞。

        高危

        直接获取普通系统权限的漏洞。

        • 包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等;严重的逻辑设计缺陷和流程缺陷。

        • 包括但不限于任意账号密码修改、重要业务配置修改、泄露;可直接批量盗取用户身份权限的漏洞。

        • 包括但不限于普通系统的SQL注入、用户订单遍历;严重的权限绕过类漏洞。

        • 包括但不限于绕过认证直接访问管理后台、cookie欺骗。运维相关的未授权访问漏洞。

        • 包括但不限于后台管理员弱口令、服务未授权访问。

        中危

        需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。

        • 包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等;任意文件操作漏洞。

        • 包括但不限于任意文件写、删除、下载,敏感文件读取等操作;水平权限绕过。

        • 包括但不限于绕过限制修改用户资料、执行用户操作。

        低危

        能够获取一些数据,但不属于核心数据的操作;在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;需要用户交互才可以触发的漏洞。

        包括但不限于XSS漏洞、CSRF漏洞、点击劫持。

        漏洞等级划分标准

        Agent程序采用什么语言编写?需要对操作系统的内核、驱动进行什么操作?在运行中需要加载动态模块吗?

        • Agent采用纯C语言编写,保证了资源消耗控制的基础。
        • Agent完全绿色化,不需要对操作系统的内核、驱动等关键模块进行操作。
        • 在运行过程中,Agent采用脚本化的方式完成相关的数据采集、数据上报互动等任务,无需加载DLL或SO等动态库。

        Agent任务执行机制?

        Agent启动之后,主动连接服务器,然后监听来自服务端的命令请求。在收到服务端下发的命令之后,通过Agent内部的lua脚本进行不同服务的启动,最多启动4个线程并发执行lua脚本,以开启不同的功能。

        Agent任务定时机制?

        服务端给Agent下发的一系列任务都可以通过crontab的形式在产品后台进行配置,目前默认轮询任务触发时间为凌晨6点左右,每间隔24小时执行一次。

        有些任务可以作为例行化,有些可以作为触发式,都是通过服务器端将任务推送给Agent。

        Agent兼容性怎么样?

        服务器安全卫士Agent是轻量级的插件,无驱,且工作在操作系统应用层,安装时包括安装后无需改变系统及应用原生态的环境,无需重启应用进程和操作系统。

        安全补丁功能与漏洞检测功能的区别是什么?

        安全补丁是处理问题,而漏洞检测是发现问题。

        安全补丁是服务器上操作系统未打补丁的客观体现,而漏洞检测是一些存在可以很容易被利用的风险缺陷;通过补丁管理,一个补丁可以修复对应一个到多个漏洞,或者修复某个漏洞需要打多个补丁。

        我已经购买了服务器安全卫士产品,是否意味着已开启安全防护?

        不是。购买成功后还需要一系列的配置才能开启安全防护,例如登录控制台、安装Agent、Agent管理等配置。

        上一篇 :  常见问题
        下一篇 :  操作类
        相关文档
        入侵总览
        报表系统
        Windows
        产品规格
        分级视图
        通用功能
        建议与反馈
        以上内容是否对您有帮助?
        有 没有
        感谢您的反馈,您的支持是我们前进的动力!
        您的操作过于频繁,清稍后再试
        文档反馈

        建议您登录后反馈,可在建议与反馈里查看问题处理进度

        鼠标选中文档,精准反馈问题

        选中存在疑惑的内容,即可快速反馈问题,我们会跟进处理

        知道了

         文本反馈

        本页目录

        什么是服务器安全卫士?
        服务器安全产品能解决什么问题?
        服务器安全卫士与漏洞扫描、Web应用防火墙有什么区别?
        安装Agent会不会对自身的业务稳定性产生影响?
        服务器安全卫士支持版本升级吗?
        什么是服务器安全卫士的Agent?
        服务器安全卫士Agent资源占用情况?
        如何安装Agent?
        如何查看未安装Agent的主机?
        资产清点有什么优势?
        资产清点是否调用系统命令?
        业务不在天翼云上,是否可以使用服务器安全卫士?
        购买什么版本的服务器安全卫士能够满足等保二级的整改要求?
        Agent是否和其他安全软件有冲突?
        服务器安全卫士到期后不续费,对主机和业务有影响吗?
        退订重购服务器安全卫士后,是否需要重新安装Agent与配置主机防护信息?
        服务器安全卫士如何拦截暴力破解?
        账号被暴力破解,怎么办?
        如何使用服务器安全卫士?
        购买服务器安全卫士后会自动安装Agent吗?
        出现弱口令告警,怎么办?
        如何处理漏洞?
        如何设置安全的口令?
        服务器安全卫士是否支持病毒查杀 ?
        服务器安全卫士病毒查杀原理?
        风险发现中风险评分是怎么定义的?处理完告警的风险后,怎样量化系统的健康程度?
        风险发现功能怎么保证检测漏洞的准确性?
        入侵检测-暴力破解会进行IP封禁么?
        漏洞等级危急、高危、中危、低危划分标准?
        Agent程序采用什么语言编写?需要对操作系统的内核、驱动进行什么操作?在运行中需要加载动态模块吗?
        Agent任务执行机制?
        Agent任务定时机制?
        Agent兼容性怎么样?
        安全补丁功能与漏洞检测功能的区别是什么?
        我已经购买了服务器安全卫士产品,是否意味着已开启安全防护?
        搜索
          无相关产品
          ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
          公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
          备案 京公网安备11010802043424号 京ICP备 2021034386号
          ©2025天翼云科技有限公司版权所有
          京ICP备 2021034386号
          备案 京公网安备11010802043424号
          增值电信业务经营许可证A2.B1.B2-20090001
          用户协议 隐私政策 法律声明
          • 智能客服
            7*24小时不间断售后保障
          • 服务咨询
            400-810-9889
          • 建议与反馈
            天翼云与您共创优质云平台

          您对此文档页面满意吗?

          非常不满意 非常满意
          0 1 2 3 4 5 6 7 8 9 10
          操作失败,请您稍后再试