giip

本地護衛 (Local Guard) 安全設置指南

引導您如何配置並管理在各伺服器內部運行的自我安全強化模組——本地護衛。

📋 概述

本地護衛 (Local Guard) 是 GIIP 代理的一個安全專用子模組,它獨立於網絡安全,專門監控伺服器本身發生的異常徵兆。其扮演著主機型入侵防禦系統 (HIPS) 的角色。

🛠️ 核心安全功能

1. 登入審計 (Login Auditing)

  • 記錄所有的 SSH 及本地登入嘗試。
  • 即時追踪直接以
    root
    帳號登入或短時間內頻繁嘗試登入的行為。

2. 關鍵文件保護

  • 原生攔截或即時警報針對系統核心文件(如
    /etc/shadow
    C:\Windows\System32\config
    )的修改嘗試。

3. 關聯本地防火牆策略

  • 將 GIIP 控制台中設置的安全策略即時應用到對應伺服器的
    iptables
    或 Windows Firewall 中,攔截非授權 IP 的存取。

🔍 設置與運維

  • 開啟/關閉: 可以在 [伺服器詳情] > [安全設置] 標籤頁中切換本地護衛的運行狀態。
  • 白名單處理: 將備份程式或防毒軟體修改文件的行為加入「白名單 (Whitelist)」,以防止誤報。

⚠️ 應急響應

當本地護衛檢測到侵入嘗試時,可以執行以下操作:

  • 強制斷開會話: 立即中斷攻擊者正在使用的終端會話。
  • 永久封禁 IP: 將攻擊源 IP 列入黑名單,禁止其存取該專案所屬的所有伺服器。

💡 注意事項

  • 啟用本地護衛功能可能會額外消耗少量系統資源(CPU 佔用通常低於 1%)。

疑難排解

症狀原因解決
正常的備份/防毒操作被誤報為文件篡改該程式未加入白名單將備份程式或防毒軟體加入白名單 (Whitelist)。
本地護衛不工作[安全設置] 中本地護衛處於關閉狀態在 [伺服器詳情] > [安全設置] 標籤頁中將本地護衛切換為開啟。
已封禁的攻擊者 IP 仍從其他伺服器嘗試存取封禁僅應用於單台伺服器使用永久封禁 IP,將其加入專案所屬所有伺服器的黑名單。
在 GIIP 中設置的安全策略未應用到伺服器本地防火牆 (iptables/Windows Firewall) 關聯未生效在控制台保存策略後,確認本地防火牆策略的關聯狀態。

版本: 1.0 最後更新: 2026-03-19 源文件:

giipv3/public/help/local-guard.zh-TW.md