本地護衛 (Local Guard) 安全設置指南
引導您如何配置並管理在各伺服器內部運行的自我安全強化模組——本地護衛。
📋 概述
本地護衛 (Local Guard) 是 GIIP 代理的一個安全專用子模組,它獨立於網絡安全,專門監控伺服器本身發生的異常徵兆。其扮演著主機型入侵防禦系統 (HIPS) 的角色。
🛠️ 核心安全功能
1. 登入審計 (Login Auditing)
- 記錄所有的 SSH 及本地登入嘗試。
- 即時追踪直接以
帳號登入或短時間內頻繁嘗試登入的行為。root
2. 關鍵文件保護
- 原生攔截或即時警報針對系統核心文件(如
、/etc/shadow
)的修改嘗試。C:\Windows\System32\config
3. 關聯本地防火牆策略
- 將 GIIP 控制台中設置的安全策略即時應用到對應伺服器的
或 Windows Firewall 中,攔截非授權 IP 的存取。iptables
🔍 設置與運維
- 開啟/關閉: 可以在 [伺服器詳情] > [安全設置] 標籤頁中切換本地護衛的運行狀態。
- 白名單處理: 將備份程式或防毒軟體修改文件的行為加入「白名單 (Whitelist)」,以防止誤報。
⚠️ 應急響應
當本地護衛檢測到侵入嘗試時,可以執行以下操作:
- 強制斷開會話: 立即中斷攻擊者正在使用的終端會話。
- 永久封禁 IP: 將攻擊源 IP 列入黑名單,禁止其存取該專案所屬的所有伺服器。
💡 注意事項
- 啟用本地護衛功能可能會額外消耗少量系統資源(CPU 佔用通常低於 1%)。
疑難排解
| 症狀 | 原因 | 解決 |
|---|---|---|
| 正常的備份/防毒操作被誤報為文件篡改 | 該程式未加入白名單 | 將備份程式或防毒軟體加入白名單 (Whitelist)。 |
| 本地護衛不工作 | [安全設置] 中本地護衛處於關閉狀態 | 在 [伺服器詳情] > [安全設置] 標籤頁中將本地護衛切換為開啟。 |
| 已封禁的攻擊者 IP 仍從其他伺服器嘗試存取 | 封禁僅應用於單台伺服器 | 使用永久封禁 IP,將其加入專案所屬所有伺服器的黑名單。 |
| 在 GIIP 中設置的安全策略未應用到伺服器 | 本地防火牆 (iptables/Windows Firewall) 關聯未生效 | 在控制台保存策略後,確認本地防火牆策略的關聯狀態。 |
版本: 1.0 最後更新: 2026-03-19 源文件:
giipv3/public/help/local-guard.zh-TW.md