什么是服務器安全衛士？

服務器安全衛士專注于服務端主機的安全防護，通過對主機信息和行為進行持續監控和分析，快速精準地發現安全威脅和入侵事件，并提供靈活高效的問題解決能力，將自適應安全理念真正落地，為用戶提供下一代安全檢測和響應能力。

服務器安全衛士采用模塊化的組織形式，通過資產清點、風險發現、入侵檢測、合規基線、病毒查殺五大功能的智能集成和協同聯動，實現安全的統一策略管理和快速的入侵響應能力。

服務器安全產品能解決什么問題？

服務器安全衛士產品是一個完整的服務器安全防護系統，幫助客戶建立防御-檢測-響應-預測全面安全體系。

服務器安全衛士產品能夠解決防御的問題，縮小系統攻擊面，提升安全等級。也能夠解決如何發現黑客的問題，包括：實時黑客行為特征錨點監控，檢測黑客常見入侵手段；與業務正常行為結合分析，發現系統內部異常潛伏攻擊。

服務器安全衛士與漏洞掃描、Web應用防火墻有什么區別？

防御層面不同，服務器安全衛士能從主機層面防御風險和威脅，提升系統安全指數。

安裝Agent會不會對自身的業務穩定性產生影響？

不會。

Agent是純應用層的，不會給系統裝任何的驅動，不會影響系統的穩定性。
Agent對系統是只讀的，不會改寫任何數據。
Agent的帶寬和資源占用很小。
Agent已經通過各種業務場景長時間運行測試。

服務器安全衛士支持版本升級嗎？

支持，登錄云平臺，進入控制中心-“服務器安全衛士”界面，點擊需要升級訂單對應的“升級”按鈕。

當該訂單規格為基礎版時，點擊“升級”，彈出開通服務界面，規格默認“企業版”，可切換規格為“旗艦版”。
當該訂單規格為企業版時，點擊“升級”，彈出開通服務界面，規格只能選擇“旗艦版”。
當該訂單規格為旗艦版時，旗艦版為最高版本，不可再升級。
選擇升級規格，提交訂單。

什么是服務器安全衛士的Agent？

Agent用于執行檢測任務，全量掃描主機/容器；實時監測主機的安全狀態，并將收集的主機信息上報給云端防護中心。

Agent分為Linux版本和Windows版本，您需要根據主機的版本，選擇對應版本進行安裝。主機上安裝Agent后，即可獲得服務器安全衛士提供的主機防護功能。

服務器安全衛士Agent資源占用情況？

Agent對所在主機資源消耗嚴格控制：

滿業務加載時
- CPU平均使用率不超過5%
- 內存占用不超過500M
- 硬盤存儲空間占用，最高不超過200M
日常閑時
- CPU使用率在1%以下
- 內存40M以下

如何安裝Agent？

購買成功后，進入控制中心-“服務器安全衛士”界面，點擊“控制臺”，進入控制臺后，在通用功能-系統設置-Agent安裝界面，根據頁面提示安裝Agent即可。

如何查看未安裝Agent的主機？

在用戶的IT運維環境中會在一部分主機上部署Agent，用戶就需要能夠知道還有哪些主機沒有部署 Agent（一方面是用戶很多時候都不知道在自己的網絡環境中有多少主機，另一方面用戶也會有一些主機新上線）。

主要有以下三種發現方法：

ARP緩存發現：Address Resolution Protecol（ARP）緩存是用來存放最近Internet地址到硬件地址之間的映射記錄。通過在安裝了Agent的主機上查找ARP緩存表內存儲IP信息來獲取和這臺主機連接過的主機。
Ping發現：Ping發現是通過發送ping包的方式來發現新主機，支持系統：Linux，Windows（TBD），方法特殊設置：設置掃描的IP段。
Nmap發現：具體操作請參考：通用功能-主機發現。

資產清點有什么優勢？

產品支持Windows，Linux所有主流的操作系統與版本。包括：Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系統等。

產品資產清點的技術優勢主要體現在兩個方面。

數據的獲取速度快，定期清點資產數據放入快速緩存，查詢數據或使用數據從快速緩存中獲取。
對于變化較為頻繁的數據（例如進程，端口），在定時更新的基礎上，用戶可以按需主動更新，避免因為本地數據庫過于陳舊，檢測不準確，也避免傳統方案不斷監控變化（頻繁變化的數據在使用時，實際只需要獲取最新的狀態），導致的無意義性能消耗。

資產清點是否調用系統命令？

Agent不會去調用系統命令，而是執行Server端下發的lua腳本。

業務不在天翼云上，是否可以使用服務器安全衛士？

因為服務器安全衛士只是部署在天翼云，不分資源池，所以任何只要能連通服務器安全衛士的服務端的域名和端口的主機和虛擬機都可以使用服務器安全衛士。

購買什么版本的服務器安全衛士能夠滿足等保二級的整改要求？

您需要購買企業版或旗艦版才能滿足等保二級及以上的認證，基礎版的功能無法滿足整改要求。

Agent是否和其他安全軟件有沖突？

因為不同安全軟件在保護計算機系統和數據方面采用不同的方法和技術。且安全軟件的權限都會比較高，在某些情況下可能會與其他安全軟件如火絨、360等產生沖突。如果使用多種安全軟件，確保它們互不干擾，例如在一個軟件完成掃描后再使用另一個軟件進行監測。

服務器安全衛士到期后不續費，對主機和業務有影響嗎？

因為服務器安全衛士部署只是在主機上安裝一個Agent程序用來收集數據上傳到服務端，不續費只是會讓Agent失效，不會對主機和業務有影響，只是服務器安全衛士的防護會失效。

退訂重購服務器安全衛士后，是否需要重新安裝Agent與配置主機防護信息？

退訂重購服務器安全衛士后，因為控制臺ID已改變，所以需要重新安裝Agent，服務器安全衛士的配置都是默認配置好的，所以不需要再對主機防護信息進行配置。

服務器安全衛士如何攔截暴力破解？

服務器安全衛士暴力破解基本原理如下：

1、獲取登錄數據

Linux：通過查看系統日志，獲取登錄成功、失敗、登出等行為。登錄日志（/var/log/secure）
Windows：查看安全日志中的登錄事件，4624（成功）、4625（失敗），沒有登出

2、判斷是暴力破解的條件

說明 時間周期 N
相同IP下同一用戶名登錄N次 1分鐘 30
相同IP下不同的用戶名登錄N次 5分鐘 10
較長時間內重試達到指定N次 10分鐘 50

說明	時間周期	N
相同IP下同一用戶名登錄N次	1分鐘	30
相同IP下不同的用戶名登錄N次	5分鐘	10
較長時間內重試達到指定N次	10分鐘	50

3、封停原理

暴力破解自動封停存在開關，默認關閉，且僅對外網IP進行自動封停功能。

4、暴力破解封停功能的實現

Linux通過TCP_Wrappers實現封停功能，主要通過/etc/hosts.allow和/etc/hosts.deny完成的。
Windows通過Windows Filtering Platform（和windows防火墻一套的底層API），這套API用于支持對網絡相關的處理能力。

5、封停狀態變化

6、封停失敗排查

封禁需要滿足三個條件：

openssh版本是否在7.8版本以下，7.8及以上不支持，6.6版本開始不再支持tcpwrappers，因此若直接回退版本需退到6.6版本。
ldd $(which sshd) | grep wrap 命令是否有輸出，沒有則不支持wrap。
是否存在/etc/hosts.deny文件。

步驟：

1.執行 ps -ef | grep /usr/sbin/sshd ，找到sshd的主進程pid。

2.執行 cat /proc/962/maps | grep libwrap ，若沒有回顯表示不支持。

臨時解決方法是把openssh降到允許使用tcp_wapper的版本。

賬號被暴力破解，怎么辦？

賬號被暴力破解，服務器安全衛士會自動對攻擊IP進行一小時封禁并發出短信郵件告警，如果客戶確認是攻擊IP，可以選擇進行永久封禁，如果不是攻擊IP，進行加白即可。

如何使用服務器安全衛士？

使用服務器安全衛士請按照如下步驟進行操作：

購買防護配額。
安裝Agent。
安裝Agent后，您才能開啟服務器安全衛士服務。
設置告警通知。

第一次登錄會讓填寫默認手機號郵箱號，告警默認開啟，開啟告警通知功能后，您能接收到主機安全服務發送的告警通知，及時了解主機內的安全風險。

購買服務器安全衛士后會自動安裝Agent嗎？

購買服務器安全衛士后系統不會自動執行安裝Agent，用戶需要按照安裝手冊，登錄控制臺生成命令并將命令復制到主機上執行來安裝Agent。

出現弱口令告警，怎么辦？

若您收到弱口令告警，則說明您的主機存在被入侵的風險。數據、程序都存儲在系統中，若密碼被破解，系統中的數據和程序將毫無安全可言，請及時修改弱口令。

如何處理漏洞？

查看漏洞檢測結果。
按照漏洞檢測結果給出的漏洞修復緊急度和解決方案逐個進行漏洞修復。

如何設置安全的口令？

請按如下建議設置口令：

使用復雜度高的密碼。
建議密碼復雜度至少滿足如下要求：
- 密碼長度至少8個字符。
- 包含如下至少三種組合：大寫字母（AZ）、小寫字母（az）、數字（0~9）、特殊字符。
- 密碼不為用戶名或用戶名的倒序。
不使用有一定特征和規律容易被破解的常用弱口令。
不使用空密碼或系統的缺省密碼。
不要重復使用最近5次（含5次）內已使用的密碼。
不同網站/賬號使用不同的密碼。
根據不同應用設置不同的賬號密碼，不建議多個應用使用同一套賬戶/密碼。
定期修改密碼，建議至少每90天更改一次密碼。
賬號管理人員初次發放或者初始化密碼給用戶時，如果知道密碼內容，建議強制用戶首次使用修改密碼，若不能強制用戶修改密碼，則為密碼設置過期的期限（用戶必須及時修改密碼，否則密碼應被強制失效）。
建議為所有賬戶配置設置連續認證失敗次數超過5次（不含5次），鎖定賬號策略和30分鐘自動解除鎖定策略。
建議對所有賬戶設置不活動時間超過10分鐘自動退出或鎖定策略。
新建系統中的賬號缺省密碼在首次使用前，建議強制用戶更改。
建議開啟賬戶登錄記錄日志功能，登錄日志最少保存180天，登錄日志中不能保存用戶的密碼。

服務器安全衛士是否支持病毒查殺？

服務器安全衛士支持檢測惡意程序、勒索病毒等入侵威脅。對于惡意進程和進程異常行為，服務器安全衛士支持手動隔離查殺。

服務器安全衛士病毒查殺原理？

病毒查殺過程：

Agent監控進程啟動，進程信息中包含進程文件路徑、大小、文件MD5值；上報服務端
服務端根據MD5值查找文件檢測記錄，如未被檢測過且未被其它主機上傳過，向Agent下發文件上傳任務；上傳大小限制30M，上傳限速500kb/s，可配置。
病毒處理方式：阻斷進程、隔離文件、刪除文件

風險發現中風險評分是怎么定義的？處理完告警的風險后，怎樣量化系統的健康程度？

在風險發現模塊中，定義安全評分來量化系統的健康程度，安全評分總分為100分，分數越高，表示系統越健康。

評分范圍
安全補丁、漏洞檢測、弱密碼、應用風險、系統風險、賬號風險。
評分定義
根據安全評分的值，我們將系統的健康程度量化為A-E 5個級別。評級越低，則認為系統中存在的問題越嚴重。
- 安全評級為A，安全評分為90-100
- 安全評級為B，安全評分為80-89
- 安全評級為C，安全評分為70-79
- 安全評級為D，安全評分為60-69
- 安全評級為E，安全評分為60分以下

風險發現功能怎么保證檢測漏洞的準確性？

漏洞的檢測方式為版本比對和POC驗證兩種方式。

版本比對：通過獲取應用的包安裝版本和進程版本，將其與應用的漏洞版本進行比對。
POC驗證：即對漏洞逐個進行分析，根據漏洞原理編寫對應的漏洞驗證腳本，逐個漏洞進行檢測。

入侵檢測-暴力破解會進行IP封禁么？

對于內網的IP地址如果出現暴力破解的行為之后，系統不會封停，但是會在產品界面提示，需要手動封停。客戶可以根據實際情況，在產品界面手動配置是否封停。

如果是外網IP地址，達到規則閾值后會自動進行封停，封停時間為1小時，達到時間后自動解封。另外如果是手動封停的話需要手動解封，不會自動解封。

漏洞等級危急、高危、中危、低危劃分標準？

漏洞等級 劃分標準
嚴重 直接獲取重要服務器（客戶端）權限的漏洞。
包括但不限于遠程任意命令執行、上傳webshell、可利用遠程緩沖區溢出、可利用的 ActiveX 堆棧溢出、利用遠程內核代碼執行漏洞以及其它因邏輯問題導致的可利用的遠程代碼執行漏洞；直接導致嚴重的信息泄漏漏洞。
包括但不限于重要系統中能獲取大量信息的SQL注入漏洞；能直接獲取目標單位核心機密的漏洞。
高危 直接獲取普通系統權限的漏洞。
包括但不限于遠程命令執行、代碼執行、上傳webshell、緩沖區溢出等；嚴重的邏輯設計缺陷和流程缺陷。
包括但不限于任意賬號密碼修改、重要業務配置修改、泄露；可直接批量盜取用戶身份權限的漏洞。
包括但不限于普通系統的SQL注入、用戶訂單遍歷；嚴重的權限繞過類漏洞。
包括但不限于繞過認證直接訪問管理后臺、cookie欺騙。運維相關的未授權訪問漏洞。
包括但不限于后臺管理員弱口令、服務未授權訪問。
中危 需要在一定條件限制下，能獲取服務器權限、網站權限與核心數據庫數據的操作。
包括但不限于交互性代碼執行、一定條件下的注入、特定系統版本下的getshell等；任意文件操作漏洞。
包括但不限于任意文件寫、刪除、下載，敏感文件讀取等操作；水平權限繞過。
包括但不限于繞過限制修改用戶資料、執行用戶操作。
低危 能夠獲取一些數據，但不屬于核心數據的操作；在條件嚴苛的環境下能夠獲取核心數據或者控制核心業務的操作；需要用戶交互才可以觸發的漏洞。
包括但不限于XSS漏洞、CSRF漏洞、點擊劫持。

漏洞等級	劃分標準
嚴重	直接獲取重要服務器（客戶端）權限的漏洞。包括但不限于遠程任意命令執行、上傳webshell、可利用遠程緩沖區溢出、可利用的 ActiveX 堆棧溢出、利用遠程內核代碼執行漏洞以及其它因邏輯問題導致的可利用的遠程代碼執行漏洞；直接導致嚴重的信息泄漏漏洞。包括但不限于重要系統中能獲取大量信息的SQL注入漏洞；能直接獲取目標單位核心機密的漏洞。
高危	直接獲取普通系統權限的漏洞。包括但不限于遠程命令執行、代碼執行、上傳webshell、緩沖區溢出等；嚴重的邏輯設計缺陷和流程缺陷。包括但不限于任意賬號密碼修改、重要業務配置修改、泄露；可直接批量盜取用戶身份權限的漏洞。包括但不限于普通系統的SQL注入、用戶訂單遍歷；嚴重的權限繞過類漏洞。包括但不限于繞過認證直接訪問管理后臺、cookie欺騙。運維相關的未授權訪問漏洞。包括但不限于后臺管理員弱口令、服務未授權訪問。
中危	需要在一定條件限制下，能獲取服務器權限、網站權限與核心數據庫數據的操作。包括但不限于交互性代碼執行、一定條件下的注入、特定系統版本下的getshell等；任意文件操作漏洞。包括但不限于任意文件寫、刪除、下載，敏感文件讀取等操作；水平權限繞過。包括但不限于繞過限制修改用戶資料、執行用戶操作。
低危	能夠獲取一些數據，但不屬于核心數據的操作；在條件嚴苛的環境下能夠獲取核心數據或者控制核心業務的操作；需要用戶交互才可以觸發的漏洞。包括但不限于XSS漏洞、CSRF漏洞、點擊劫持。

Agent程序采用什么語言編寫？需要對操作系統的內核、驅動進行什么操作？在運行中需要加載動態模塊嗎？

Agent采用純C語言編寫，保證了資源消耗控制的基礎。
Agent完全綠色化，不需要對操作系統的內核、驅動等關鍵模塊進行操作。
在運行過程中，Agent采用腳本化的方式完成相關的數據采集、數據上報互動等任務，無需加載DLL或SO等動態庫。

Agent任務執行機制？

Agent啟動之后，主動連接服務器，然后監聽來自服務端的命令請求。在收到服務端下發的命令之后，通過Agent內部的lua腳本進行不同服務的啟動，最多啟動4個線程并發執行lua腳本，以開啟不同的功能。

Agent任務定時機制？

服務端給Agent下發的一系列任務都可以通過crontab的形式在產品后臺進行配置，目前默認輪詢任務觸發時間為凌晨6點左右，每間隔24小時執行一次。

有些任務可以作為例行化，有些可以作為觸發式，都是通過服務器端將任務推送給Agent。

Agent兼容性怎么樣？

服務器安全衛士Agent是輕量級的插件，無驅，且工作在操作系統應用層，安裝時包括安裝后無需改變系統及應用原生態的環境，無需重啟應用進程和操作系統。

安全補丁功能與漏洞檢測功能的區別是什么？

安全補丁是處理問題，而漏洞檢測是發現問題。

安全補丁是服務器上操作系統未打補丁的客觀體現，而漏洞檢測是一些存在可以很容易被利用的風險缺陷；通過補丁管理，一個補丁可以修復對應一個到多個漏洞，或者修復某個漏洞需要打多個補丁。

我已經購買了服務器安全衛士產品，是否意味著已開啟安全防護？

不是。購買成功后還需要一系列的配置才能開啟安全防護，例如登錄控制臺、安裝Agent、Agent管理等配置。