本文将为您介绍本地提权的功能和操作。
概述
若出现以低权限进入系统,通过某些手段提升权限,获取到高权限的事件,很有可能为黑客的攻击行为,该行为会危害到主机安全。本地提权功能可实时监控您云服务器上的提权事件,并能对提权事件详情进行查看和处理,同时也支持白名单创建功能,用于设置被允许的提权行为。
限制说明
至少存在1台已绑定防护授权的主机(专业版/旗舰版),才可解锁本地提权功能。
操作指南
2. 单击左侧导航中的入侵检测>本地提权,各功能说明如下。
事件列表
在事件列表中,可查看并处理主机安全监测到的本地提权风险。
字段说明:
服务器IP/名称:被检测到存在本地提权行为的服务器。
提权用户:低权限升高权限的用户。
父进程:提权父进程。
父进程所属用户:可执行父进程的用户。
发现时间:发现本地提权行为的时间。
状态:待处理、已加入白名单、已处理、已忽略
操作
详情:可查看高危命令的更多信息,如进程信息、命令行、危害描述等。
处理
标记已处理:建议您参照事件详情中的“修复建议”,人工对该事件风险进行处理,处理后可将事件标记为已处理。
加入白名单:加入白名单操作后,当再次发生相同事件时将不再进行告警,请谨慎操作。
忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。
删除记录:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
白名单管理
在白名单管理中,可进行本地提权白名单的增/删/改/查。
字段说明:
服务器:白名单生效服务器范围。
提权进程:提权行为的进程。
是否带S权限:文件在执行阶段是否具有文件所有者的权限,相当于是否临时拥有文件所有者的身份。
创建时间:白名单的创建时间。
更新时间:白名单最近一次更新时间。
操作
编辑:可对提权条件进行编辑
删除:可对白名单进行删除。
本页内容是否解决了您的问题?