使用说明类服务器安全卫士常见问题

服务器安全卫士采用模块化的组织形式，通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动，实现安全的统一策略管理和快速的入侵响应能力。

服务器安全卫士产品是一个完整的服务器安全防护系统，帮助客户建立防御-检测-响应-预测全面安全体系。

服务器安全卫士产品能够解决防御的问题，缩小系统攻击面，提升安全等级。也能够解决如何发现黑客的问题，包括：实时黑客行为特征锚点监控，检测黑客常见入侵手段；与业务正常行为结合分析，发现系统内部异常潜伏攻击。

防御层面不同，服务器安全卫士能从主机层面防御风险和威胁，提升系统安全指数。

不会。

Agent用于执行检测任务，全量扫描主机/容器；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。

Agent分为Linux版本和Windows版本，您需要根据主机的版本，选择对应版本进行安装。主机上安装Agent后，即可获得服务器安全卫士提供的主机防护功能。

Agent对所在主机资源消耗严格控制：

购买成功后，进入控制中心-“服务器安全卫士”界面，点击“控制台”，进入控制台后，在通用功能-系统设置-Agent安装界面，根据页面提示安装Agent即可。

在用户的IT运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。

主要有以下三种发现方法：

产品支持Windows，Linux所有主流的操作系统与版本。包括：Redhat、CentOS、Ubuntu、OracleLinux、SUSE、Debian、OpenSUSE、WindowsServer、Windows桌面系统等。

产品资产清点的技术优势主要体现在两个方面。

Agent不会去调用系统命令，而是执行Server端下发的lua脚本。

因为服务器安全卫士只是部署在天翼云，不分资源池，所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。

您需要购买企业版或旗舰版才能满足等保二级及以上的认证，基础版的功能无法满足整改要求。

因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高，在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件，确保它们互不干扰，例如在一个软件完成扫描后再使用另一个软件进行监测。

因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端，不续费只是会让Agent失效，不会对主机和业务有影响，只是服务器安全卫士的防护会失效。

退订重购服务器安全卫士后，因为控制台ID已改变，所以需要重新安装Agent，服务器安全卫士的配置都是默认配置好的，所以不需要再对主机防护信息进行配置。

服务器安全卫士暴力破解基本原理如下：

2、判断是暴力破解的条件

暴力破解自动封停存在开关，默认关闭，且仅对外网IP进行自动封停功能。

4、暴力破解封停功能的实现

5、封停状态变化

6、封停失败排查

封禁需要满足三个条件：

步骤：

1.执行ps-ef|grep/usr/sbin/sshd，找到sshd的主进程pid。

2.执行cat/proc/962/maps|greplibwrap，若没有回显表示不支持。

临时解决方法是把openssh降到允许使用tcp_wapper的版本。

账号被暴力破解，服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警，如果客户确认是攻击IP，可以选择进行永久封禁，如果不是攻击IP，进行加白即可。

使用服务器安全卫士请按照如下步骤进行操作：

若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。

请按如下建议设置口令：

服务器安全卫士支持检测恶意程序、勒索病毒等入侵威胁。对于恶意进程和进程异常行为，服务器安全卫士支持手动隔离查杀。

病毒查杀过程：

在风险发现模块中，定义安全评分来量化系统的健康程度，安全评分总分为100分，分数越高，表示系统越健康。

漏洞的检测方式为版本比对和POC验证两种方式。

对于内网的IP地址如果出现暴力破解的行为之后，系统不会封停，但是会在产品界面提示，需要手动封停。客户可以根据实际情况，在产品界面手动配置是否封停。

漏洞等级划分标准严重直接获取重要服务器（客户端）权限的漏洞。

直接获取普通系统权限的漏洞。

需要在一定条件限制下，能获取服务器权限、网站权限与核心数据库数据的操作。

能够获取一些数据，但不属于核心数据的操作；在条件严苛的环境下能够获取核心数据或者控制核心业务的操作；需要用户交互才可以触发的漏洞。

包括但不限于XSS漏洞、CSRF漏洞、点击劫持。

Agent启动之后，主动连接服务器，然后监听来自服务端的命令请求。在收到服务端下发的命令之后，通过Agent内部的lua脚本进行不同服务的启动，最多启动4个线程并发执行lua脚本，以开启不同的功能。

有些任务可以作为例行化，有些可以作为触发式，都是通过服务器端将任务推送给Agent。

服务器安全卫士Agent是轻量级的插件，无驱，且工作在操作系统应用层，安装时包括安装后无需改变系统及应用原生态的环境，无需重启应用进程和操作系统。

安全补丁是处理问题，而漏洞检测是发现问题。

安全补丁是服务器上操作系统未打补丁的客观体现，而漏洞检测是一些存在可以很容易被利用的风险缺陷；通过补丁管理，一个补丁可以修复对应一个到多个漏洞，或者修复某个漏洞需要打多个补丁。