類型

說明

具體類型

行為動作

文件路徑示例

可能觸發(fā)誤報的操作說明

核心系統(tǒng)文件

此類目錄涵蓋了大多數(shù)系統(tǒng)命令和共享鏈接庫。監(jiān)控這些目錄能夠幫助檢測潛在攻擊者的惡意篡改行為，包括植入惡意二進制文件或篡改系統(tǒng)依賴庫。

系統(tǒng)可執(zhí)行二進制文件目錄

寫入、刪除

• /bin/*

• /usr/bin/*

• /sbin/*

• /usr/sbin/*

通過包管理軟件進行安裝或更新操作時，也會對這些目錄進行寫入。此外，如果您自行從源代碼編譯安裝軟件（通常使用 make && make install 命令），也可能涉及這些目錄的寫入。因此，您需根據(jù)實際情況配置相應(yīng)的放行規(guī)則，以避免此類正常操作觸發(fā)告警。

共享庫文件目錄

寫入、刪除

• /usr/lib/*

• /usr/lib64/*

配置類文件

攻擊者可能會修改各種關(guān)鍵系統(tǒng)配置文件，以實現(xiàn)不同的惡意目的。例如：

• 通過添加或修改用戶記錄，攻擊者可以持續(xù)獲取或提升對系統(tǒng)的訪問權(quán)限。

• 通過修改DNS解析設(shè)置，攻擊者可以實現(xiàn)DNS劫持。

• 通過修改日志記錄配置，攻擊者可以干擾或逃避審計。

• 通過修改或禁用某些安全配置，攻擊者可以實現(xiàn)其攻擊目的。

• 通過篡改運維應(yīng)用的配置文件，攻擊者可以劫持鑒權(quán)流程，從而繞過安全措施或增加特定用戶的權(quán)限。

• 通過修改Web服務(wù)的配置文件，攻擊者可以加載惡意庫文件或更改解析配置，將流量引導(dǎo)至惡意站點。

用戶與權(quán)限相關(guān)文件

寫入

• /etc/passwd

• /etc/shadow

• /etc/group

• /etc/gshadow

• /etc/sudoers

• /etc/sudoers.d/*

正常的用戶添加（useradd）、權(quán)限修改（usermod）、刪除用戶（userdel）和修改密碼（passwd）等命令可能會對這類文件進行寫入操作。用戶可以根據(jù)具體的運維操作規(guī)范，增加相應(yīng)的放行規(guī)則，或?qū)⒏婢瘮?shù)據(jù)用作審計日志。

關(guān)鍵系統(tǒng)配置文件

寫入、刪除

• /etc/resolv.conf

• /etc/hosts

在運維操作需要調(diào)整系統(tǒng)的網(wǎng)絡(luò)設(shè)置、名稱解析、內(nèi)核參數(shù)調(diào)整等配置時，會修改此類文件。

運維類應(yīng)用配置文件

寫入

• /etc/ssh/sshd_config

• /etc/security/pam_env.conf

• /*/.ssh/authorized_keys

在系統(tǒng)的維護、配置更新、安全加固或密鑰定期輪轉(zhuǎn)的過程中，可能會修改這些文件，建議配置對應(yīng)的放行規(guī)則。

安全審計類配置文件

寫入、刪除

• /etc/audit/auditd.conf

• /etc/audit/rules.d/*

• /etc/selinux/config

• /etc/rsyslog.conf

• /etc/rsyslog.d/*

首次設(shè)置系統(tǒng)的審計框架，或者根據(jù)合規(guī)、安全等需求調(diào)整監(jiān)控策略時，可能需要修改此類文件。

Web服務(wù)類配置文件

寫入

• /etc/httpd/conf/httpd.conf

• /etc/httpd/conf.d/*

• /etc/apache2/apache2.conf

• /etc/apache2/sites-available/*

• /etc/apache2/sites-enabled/*

• /etc/nginx/nginx.conf

• /etc/nginx/conf.d/*

Web服務(wù)的初始配置、安裝后設(shè)置、相關(guān)模塊的添加和刪除，以及Web服務(wù)的更新等操作，都可能導(dǎo)致此類被監(jiān)控文件的修改。

數(shù)據(jù)庫類配置文件

寫入

• /etc/my.cnf

• /etc/mysql/my.cnf

• /etc/postgresql/*/main/postgresql.conf

• /etc/postgresql/*/main/pg_hba.conf

• /etc/mongod.conf

• /etc/redis/redis.conf

數(shù)據(jù)庫服務(wù)的安裝和運維變更等操作可能會導(dǎo)致此類配置文件的變化，建議根據(jù)實際情況增加相應(yīng)的放行規(guī)則。

常見的持久化點位

攻擊者通常會添加定時任務(wù)、惡意服務(wù)或啟動腳本等配置，以在周期性執(zhí)行或系統(tǒng)重啟后持續(xù)保持訪問權(quán)限。

Cron類

寫入

• /etc/crontab

• /etc/cron.d/

• /var/spool/cron

• /etc/cron.hourly/*

• /etc/cron.daily/*

• /etc/cron.weekly/*

• /etc/cron.monthly/*

正常運維操作可能會新增、調(diào)整或刪除現(xiàn)有的crontab條目，從而修改相應(yīng)的文件。

服務(wù)類

寫入

• /etc/init.d/*

• /etc/rc.d/rc.local

• /etc/systemd/system/*

• /lib/systemd/system/*

在安裝一些服務(wù)類應(yīng)用時，會存在添加、修改系統(tǒng)服務(wù)的操作。

Shell配置類

寫入

• /*/.bashrc

• /*/.bash_profile

• /etc/profile

運維人員在修改默認(rèn)環(huán)境設(shè)置或為頻繁使用的長命令創(chuàng)建別名時，可能會更改相關(guān)文件的內(nèi)容。

Web服務(wù)的代碼目錄

配置對Web服務(wù)的代碼目錄進行文件監(jiān)控的規(guī)則有助于保障Web應(yīng)用的安全。通常情況下，攻擊者會利用漏洞或未授權(quán)訪問等弱點，上傳Webshell惡意文件。通過這些Webshell文件，攻擊者可以進一步遠(yuǎn)程訪問、控制和管理受攻擊的服務(wù)器。通過監(jiān)控Web服務(wù)的代碼目錄，可以有效發(fā)現(xiàn)潛在的Webshell上傳行為，檢測未經(jīng)授權(quán)的更改，包括Web頁面的篡改、惡意腳本的植入以及其他惡意活動。

Web代碼目錄

寫入，權(quán)限變更

/var/www/html/<code dir>/*.php

在正常的業(yè)務(wù)和維護操作中，服務(wù)更新和部署，以及部分CMS的插件、主題的安裝和更新，都可能會向代碼目錄寫入Web腳本文件。一些自動化部署工具（如Jenkins、GitLab CI/CD、Ansible等）也會在持續(xù)集成和部署過程中寫入文件。在這種情況下，需要配置具體的寫入進程，或排除外部可上傳的目錄，并限制特定文件后綴，以確保安全。

包含敏感內(nèi)容的文件

敏感鑒權(quán)信息的泄露是網(wǎng)絡(luò)安全的主要風(fēng)險之一。攻擊者在獲得一臺主機的權(quán)限后，通常會進一步搜尋敏感鑒權(quán)信息，以進行橫向移動并擴大入侵范圍。因此，對包含敏感內(nèi)容的文件配置讀取操作的監(jiān)控，可以有效并及時地發(fā)現(xiàn)此類風(fēng)險或惡意行為。

云服務(wù)類CLI鑒權(quán)信息

讀取

• /*/.aliyun/config.json

• /*/.ossutilconfig

包含敏感信息的文件通常會被其歸屬的應(yīng)用程序讀取。例如，Alibaba Cloud CLI 會讀取 ~/.aliyun/config.json 來加載鑒權(quán)信息，kubectl 會讀取 ~/.kube/config 來獲取 Kubernetes 證書信息。同時，某些安全軟件為了識別機器上的惡意文件，也可能會掃描包含敏感信息的文件。因此，在設(shè)置放行規(guī)則時，需要考慮這些正當(dāng)?shù)淖x取行為。

版本控制鑒權(quán)信息

讀取

/*/.git-credentials

數(shù)據(jù)庫配置

讀取

/*/config/database.yml

運維、編排系統(tǒng)的私鑰信息

讀取

/*/.ssh/id_rsa， /*/.kube/config