giip

本地护卫 (Local Guard) 安全设置指南

引导您如何配置并管理在各服务器内部运行的自我安全强化模块——本地护卫。

📋 概述

本地护卫 (Local Guard) 是 GIIP 代理的一个安全专用子模块,它独立于网络安全,专门监控服务器自身发生的异常征兆。它充当了基于主机的入侵防御系统 (HIPS) 的角色。

🛠️ 核心安全功能

1. 登录审计 (Login Auditing)

  • 记录所有的 SSH 及本地登录尝试。
  • 实时追踪直接以
    root
    账号登录或短时间内频繁尝试登录的行为。

2. 关键文件保护

  • 原生拦截或即时警报针对系统核心文件(如
    /etc/shadow
    C:\Windows\System32\config
    )的修改尝试。

3. 关联本地防火墙策略

  • 将 GIIP 控制台中设置的安全策略即时应用到对应服务器的
    iptables
    或 Windows Firewall 中,拦截非授权 IP 的访问。

🔍 设置与运维

  • 开启/关闭: 可以在 [服务器详情] > [安全设置] 标签页中切换本地护卫的运行状态。
  • 白名单处理: 将备份程序或杀毒软件修改文件的行为加入“白名单 (Whitelist)”,以防止误报。

⚠️ 应急响应

当本地护卫检测到侵入尝试时,可以执行以下操作:

  • 强制断开会话: 立即终连攻击者正在使用的终端会话。
  • 永久封禁 IP: 将攻击源 IP 列入黑名单,禁止其访问该项目所属的所有服务器。

💡 注意事项

  • 启用本地护卫功能可能会额外消耗少量系统资源(CPU 占用通常低于 1%)。

故障排除

症状原因解决
正常的备份/杀毒操作被误报为文件篡改该程序未加入白名单将备份程序或杀毒软件加入白名单 (Whitelist)。
本地护卫不工作[安全设置] 中本地护卫处于关闭状态在 [服务器详情] > [安全设置] 标签页中将本地护卫切换为开启。
已封禁的攻击者 IP 仍从其他服务器尝试访问封禁仅应用于单台服务器使用永久封禁 IP,将其加入项目所属所有服务器的黑名单。
在 GIIP 中设置的安全策略未应用到服务器本地防火墙 (iptables/Windows Firewall) 关联未生效在控制台保存策略后,确认本地防火墙策略的关联状态。

版本: 1.0 最后更新: 2026-03-19 源文件:

giipv3/public/help/local-guard.zh-CN.md