本地护卫 (Local Guard) 安全设置指南
引导您如何配置并管理在各服务器内部运行的自我安全强化模块——本地护卫。
📋 概述
本地护卫 (Local Guard) 是 GIIP 代理的一个安全专用子模块,它独立于网络安全,专门监控服务器自身发生的异常征兆。它充当了基于主机的入侵防御系统 (HIPS) 的角色。
🛠️ 核心安全功能
1. 登录审计 (Login Auditing)
- 记录所有的 SSH 及本地登录尝试。
- 实时追踪直接以
账号登录或短时间内频繁尝试登录的行为。root
2. 关键文件保护
- 原生拦截或即时警报针对系统核心文件(如
、/etc/shadow
)的修改尝试。C:\Windows\System32\config
3. 关联本地防火墙策略
- 将 GIIP 控制台中设置的安全策略即时应用到对应服务器的
或 Windows Firewall 中,拦截非授权 IP 的访问。iptables
🔍 设置与运维
- 开启/关闭: 可以在 [服务器详情] > [安全设置] 标签页中切换本地护卫的运行状态。
- 白名单处理: 将备份程序或杀毒软件修改文件的行为加入“白名单 (Whitelist)”,以防止误报。
⚠️ 应急响应
当本地护卫检测到侵入尝试时,可以执行以下操作:
- 强制断开会话: 立即终连攻击者正在使用的终端会话。
- 永久封禁 IP: 将攻击源 IP 列入黑名单,禁止其访问该项目所属的所有服务器。
💡 注意事项
- 启用本地护卫功能可能会额外消耗少量系统资源(CPU 占用通常低于 1%)。
故障排除
| 症状 | 原因 | 解决 |
|---|---|---|
| 正常的备份/杀毒操作被误报为文件篡改 | 该程序未加入白名单 | 将备份程序或杀毒软件加入白名单 (Whitelist)。 |
| 本地护卫不工作 | [安全设置] 中本地护卫处于关闭状态 | 在 [服务器详情] > [安全设置] 标签页中将本地护卫切换为开启。 |
| 已封禁的攻击者 IP 仍从其他服务器尝试访问 | 封禁仅应用于单台服务器 | 使用永久封禁 IP,将其加入项目所属所有服务器的黑名单。 |
| 在 GIIP 中设置的安全策略未应用到服务器 | 本地防火墙 (iptables/Windows Firewall) 关联未生效 | 在控制台保存策略后,确认本地防火墙策略的关联状态。 |
版本: 1.0 最后更新: 2026-03-19 源文件:
giipv3/public/help/local-guard.zh-CN.md