文档简介:
常见问题
Q:服务器安全产品能解决什么问题?
A:服务器安全卫士产品是一个完整的服务器安全防护系统,帮助客户建立防御-检测-响应-预测全面安全体系。服务器安全卫士产品能够解决防御的问题,缩小系统攻击面,提升安全等级。也能够解决如何发现黑客的问题,包括:实时黑客行为特征锚点监控,检测黑客常见入侵手段;与业务正常行为结合分析,发现系统内部异常潜伏攻击。
Q:安装Agent会不会对自身的业务稳定性产生影响?
A:不会。Agent是纯应用层的,不会给系统装任何的驱动,不会影响系统的稳定性;Agent对系统是只读的,不会改写任何数据;Agent的带宽和资源占用很小;Agent已经通过各种业务场景长时间运行测试。
Q:Agent启动、停止、重启的操作命令是什么?
A:Linux系统环境下,需进入/titan/agent目录,操作命令如下:
• Agent停止命令:./titanagent -s
• Agent启动命令:./titanagent –d
• Agent卸载命令:bash install_agent.sh disclean_agent.sh
Windows系统环境下,打开服务管理器,找到Titan Agent Service for Windows服务,右击该服务,即可对Agent进行启动、停止和重新启动操作,如下图:
Q:Linux环境下卸载Agent
A:本方式在客户端Agent在线及离线均生效。
使用账号密码,登录已安装Agent的主机,以root权限依次执行以下命令即可卸载Agent:
/titan/agent/titanagent -s
bash /titan/agent/install_agent.sh disclean
Windows系统环境下,打开控制面板下选择卸载程序,找到49.18,并右击选择“卸载/更改(U)”,根据引导卸载信息完成卸载。
Q:是否可以对内网主机进行监测防护?
支持。安装Agent时设置代理服务器。
Q:订购后如何部署?
A:购买成功后,进入控制中心-“服务器安全卫士”界面,点击“控制台”,进入控制台后,在通用功能-系统设置-Agent安装界面,根据页面提示安装Agent即可。
Q:如何接收监测报告?
A:服务器安全卫士支持以邮件的方式将报告发给客户指定邮箱(首次登陆服务器安全卫士时控制台需要填写邮箱)。客户可在服务器安全卫士消息中心——消息接收配置界面,配置是否接收报告,也可添加接收人。
Q:如何接收实时告警?
A:服务器安全卫士支持邮件、短信、站内信方式将告警实时告知客户,客户需要在首次登陆服务器安全卫士控制台时填入接收的邮箱和手机号,也可以在服务器安全卫士消息中心——消息接收配置界面,配置接收通知的消息类型、接收方式和接收人。
Q:Linux客户端Agent安装失败
A:待安装服务器的操作系统是否在安全卫士支持列表中;
现象1:Linux服务器执行Agent安装命令报“[ERROR] curl: error while loading shared libraries ”
解决方案: 登陆前台Agent安装页面,查看安装依赖条件是否完备。
现象2:bash: line 1: errorCode:400: command not found
解决方案:一般错误原因是由于agent安装命令中的参数k不正确,解决方式:从前台的Agent安装页面重新生成安装命令,然后尝试重新安装。
现象3:Linux服务器执行安装命令报“ [ERROR] check crond fail”:
解决方案:原因由于crond 不能写入或crond不存在,需要先安装crond;
现象4:Linux服务器执行安装命令报“[ERROR] conf crond fail”
解决方案:
1、用户权限问题,确认一下是否是安装在root用户下,不支持普通用户安装。
2:、登录密码过期
Q:Windows客户端Agent安装失败
A:
现象1:安装时输出http error code 28
解决方案:
1. 检查与服务端的网络是否正常联通,测试方法:把安装url填到浏览器,看看能否正常链接加载内容
2. 检查客户是否配置防火墙进行了拦截
3. 检查客户环境是否有WAF进行了拦截操作
现象2:安装时输出Installer integrity check has failed....
解决方案:参考/question/273408240.html
现象3:检查sys.log 发现 Can't modify service config 3 这句出现
解决方案:是由于客户操作系统环境注册表写入问题,需要排查是否是禁用注册表写入或是杀毒拦截等原因
现象4:安装提示Error Launching installer
解决方案:把安装程序放置到纯英文目录尝试再次安装
现象5:安装时提示错误:抽取,无法写入文件
解决方案:查看C盘磁盘是否已经满了,如果满了,清理一下磁盘
现象6:
windows服务器安装agent报错下载文件失败,如下图:
telnet server 所有端口都是通的,但是访问/plugins/v3.58.46-win64/TitanAgent_for_All.exe失败。
telnet成功后按ctrl c结束时会有400返回.
原因:
客户windows服务器设置了网络代理,查看方式为打开ie浏览器,选择设置→Internet选项→连接→局域网设置,如下图 :
解决办法:
打开ie浏览器,选择设置→Internet选项→连接→局域网设置→高级→在“对于下列字符开头的地址不使用代理服务器”中填写:/span>
完成配置后重新打开cmd执行安装命令。
现象7:
windows安装agent时报错“文件或目录损坏且无法读取”;
解决方案:
确认发现是客户使用账号没有权限写C盘目录,使用管理员权限问题解决。
现象8:安装windows agent包NSIS错误
解决方案:客户系统是windows 英文版系统,存放安装包的目录带有中文,打开安装包就报错。将安装包移到纯英文目录下就可以正常安装。
Q:非bash环境下,入侵功能是否可以使用?
A:入侵功能中仅可疑操作功能和bash里的操作相关,故非bash环境入侵仅可疑操作功能可能受影响。
Q:后门检测中隔离与删除的区别?
A:隔离与删除的区别在于隔离把文件备份到了Agent安装目录下的隔离目录中并进行了加密(AES对称加密算法),防止其再次运行,之后对原路径下的后门进行删除,因此隔离后的文件是可以通过Agent下发还原指令进行恢复的;而删除则直接将原文件删除,并无备份,故删除操作是不可逆的,具备一定风险。
Q:风险扫描耗时很久,此时点击其他界面是否会中断扫描任务?
A:扫描过程中点击其他页面不会中断扫描任务。
Q:审计功能正常,为何前台界面不显示?
A:检查Agent所在的服务器时间与标准时间是否一致。
Q:资产清点有什么优势?
A:产品支持Windows,Linux所有主流的操作系统与版本。包括:Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系统等。
产品资产清点的技术优势主要体现在两个方面。
(1)数据的获取速度快,定期清点资产数据放入快速缓存,查询数据或使用数据从快速缓存中获取。
(2)对于变化较为频繁的数据(例如进程,端口),在定时更新的基础上,用户可以按需主动更新,避免因为本地数据库过于陈旧,检测不准确,也避免传统方案不断监控变化(频繁变化的数据在使用时,实际只需要获取最新的状态),导致的无意义性能消耗。
Q:怎么保证检测的漏洞的准确性?
A:漏洞的检测方式为版本比对和POC验证两种方式。
(1)版本比对:通过获取应用的包安装版本和进程版本,将其与应用的漏洞版本进行比对。
(2)POC验证:即对漏洞逐个进行分析,根据漏洞原理编写对应的漏洞验证脚本,逐个漏洞进行检测。
