隨著網路攻擊日益猖獗，駭客篡改伺服器核心檔案會直接威脅商務持續性和資料安全，造成不可估量的經濟損失和信譽危機。檔案防篡改功能採用即時監控技術，對檔案系統活動進行全方位監測，自動攔截非授權進程的寫入、刪除等危險操作，並記錄所有訪問行為形成完整審計鏈，從而有效保障關鍵檔案的完整性。

　　作業系統與核心：伺服器的作業系統和核心版本需在AliWebGuard支援的範圍內。具體支援範圍，請參見AliWebGuard支援的作業系統及核心版本。

　　Security Center用戶端：已在需要檔案防篡改防護的伺服器上安裝Security Center用戶端。具體操作，請參見安裝用戶端。

　　檔案防篡改功能通過即時捕獲檔案系統的操作事件（如讀取、寫入、刪除），並根據配置的規則執行相應的處置。

　　規則優先順序：當一個檔案操作同時匹配多條規則時，系統將按照允許存取攔截警示的固定順序進行決策。一旦命中高優先順序規則（如允許存取），處理流程將立即終止，不再評估後續的低優先順序規則。

　　支援的核心：功能完整，能夠精確識別進程、路徑和操作類型，支援警示、攔截、允許存取等所有模式。

　　不支援的核心：在部分老舊或定製化的核心中，功能會受限且行為可能發生變化，詳情請參見下文的配額與限制。

　　規則生效邏輯：Security Center監控到伺服器檔案操作同時命中已開啟規則所有條件，才會根據規則的處置方式進行處理。

　　訪問Security Center控制台-防護設定-主機防護-檔案防篡改，在頁面左側頂部，選擇需防護資產所在的地區：中國內地或非中國內地。

　　也可使用阿里雲帳號直接登入並訪問Security Center購買，其中購買方式選擇訂用帳戶。更多資訊，請參見購買Security Center。

　　單擊立即購買，跳轉至Security Center購買頁。在檔案防篡改地區，將是否選購置為是。

　　若需要使用自動攔截或警示功能，請設定購買數量。購買後，請參照下文為伺服器綁定授權。

　　當月未使用完的授權數將被清理，不會順延至下個月。建議將授權數設定為需要防護的伺服器實際數量，避免資源浪費。

　　警示：若伺服器防護版本為企业版以下，或防護等級為主機全面防護以下，必須為其綁定授權數。

　　若伺服器防護版本為企业版、旗艦版或防護等級為主機全面防護、主機及容器全面防護，使用警示規則，無需綁定授權數。

　　訪問Security Center控制台-防護設定-主機防護-檔案防篡改，在頁面左側頂部，選擇需防護資產所在的地區：中國內地或非中國內地。

　　訪問Security Center控制台-防護設定-主機防護-檔案防篡改，在頁面左側頂部，選擇需防護資產所在的地區：中國內地或非中國內地。

　　綁定了警示防護規則，同時主機防護版本為企业版以下，或防護等級為主機全面防護以下的伺服器。

　　檔案防篡改通過規則來定義防護範圍和處置方式。您可以建立警示、攔截或允許存取規則，靈活組合以實現對檔案的全面防護。

　　處置方式：選擇命中規則條件時，Security Center對相關事件的處置方式。

　　攔截：監控到對應檔案操作時，主動攔截異常進程的檔案變動操作，確保檔案安全。

　　允許存取：監控到對應檔案操作時，直接允許存取，不記錄事件詳情，也不產生警示。用於排除合法進程的正常操作。

　　系统类型：選擇規則監控的伺服器作業系統類型。可選項：Linux、Windows。

　　目錄下所有檔案：使用萬用字元*。例如：/var/表示防護該目錄下的所有檔案（包含子檔案）。

　　檔案類型：選擇需要防護的檔案類型（可選），支援從下拉式清單中選擇常見的Web檔案類型或手動填寫。配置說明如下：

　　例如要匹配backup.tar.gz檔案，只能用gz的檔案類型，使用tar.gz的檔案類型無法匹配上。如果想要匹配tar.gz的檔案名稱尾碼，可以在防護路徑中增加/protected/path/*.tar.gz，而不使用檔案類型來做規則。

　　監控某個目錄下所有進程：使用萬用字元。例如：/etc/*表示監控etc目錄下的所有進程。

　　樣本：防護/var/www/html/目錄下的所有網頁檔案，使用攔截模式。

　　規則1（攔截規則）：處置方式選擇攔截，防護路徑填寫/var/www/html/*，檔案類型選擇html、php、jsp等，檔案操作選擇寫入和刪除，進程路徑填寫*（匹配所有進程）。

　　規則2（允許存取規則）：處置方式選擇允許存取，防護路徑填寫/var/www/html/*，進程路徑填寫合法發布進程路徑（如/usr/bin/rsync），檔案操作選擇寫入和刪除。

　　規則1（警示規則）：處置方式選擇警示，警示等級選擇緊急，防護路徑填寫/etc/passwd，檔案操作選擇所有操作，進程路徑填寫*。

　　規則2（允許存取規則）：處置方式選擇允許存取，防護路徑填寫/etc/passwd，進程路徑填寫/usr/lib/systemd/systemd（合法進程），檔案操作選擇所有操作。

　　警示規則的進程路徑建議配置為*（匹配所有進程），否則無法監控配置範圍外其他進程的訪問操作。

　　配置允許存取規則時，不建議進程路徑使用萬用字元路徑。使用萬用字元路徑容易被攻擊者利用允許存取規則直接允許存取訪問操作，達到繞過警示規則的目的。

　　檔案防篡改功能產生的警示可通過Security Center的警示功能統一查看和處理。

　　在左側導覽列，選擇檢測響應警示。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。

　　如果已開通Agentic SOC服務，左側導覽列入口將變更為威脅分析與響應管理警示。

　　在雲工作負載保護平台(CWPP)頁簽，單擊檔案防篡改警示下的數字，進入防篡改警示列表頁。

　　可在警示列表，單擊操作列詳情，查看警示詳情。以下情況時，Security Center可能無法準確擷取命令列資訊：

　　Shell內建命令訪問檔案時，Security Center無法擷取準確的命令列資訊。例如訪問命令為時，採集到的命令列為[-bash]。

　　Security Center採集經過Shell解析後的命令列，並以JSON數組的形式展示，可能和使用者輸入的原始命令不同。

　　處理檔案：建議在確認對業務無影響的情況下，手動阻斷相關進程並隔離對應檔案。

　　若已配置相關攔截規則，系統將自動處理，無需手動操作，事件狀態將顯示已攔截。

　　建立規則（可選）：建立一條處置方式為攔截的規則，主動攔截異常進程的檔案變動操作。

　　處理警示：檔案手動處理後，返回警示列表。單擊目標警示操作列处置，並選擇已手工處理。

　　建立規則（可選）：建立一條處置方式為允許存取的規則，將該合法進程加入允許存取名單，避免持續產生警示。

　　已使用授權數/授权总数：已使用的攔截授權數和購買的授權總數。單擊授權管理，可查看授權詳情。

　　訂用帳戶模式：在概述頁面訂用帳戶服務地區，單擊變更配置我要降配。進入訂單升降配頁面，在訂單降配頁簽檔案防篡改地區，將是否選購置為不。，具體操作可參考降配。

　　具體退款金額以降配頁面顯示的金額為準，關於退款後的資金流向，請參見退款流向。

　　在Security Center控制台的概述頁面的隨用隨付服務地區，關閉檔案防篡改開關。

　　被防護檔案或目錄的完整路徑不超過1,000個英文字元或500個中文字元。

　　如果防護目錄被設定為 NFS server 的進程路徑，則無法防禦通過 NFS client 訪問修改該路徑下檔案的攻擊行為。

　　訂用帳戶：預先購買指定數量的攔截授權，有效期間內使用。當月未使用完的授權數將在月底被自動清理，不會順延至下個月。

　　隨用隨付：按實際防護時間長度（秒）× 防護伺服器數計費。符合以下條件的主機自動計入防護伺服器數：

　　綁定了警示防護規則，同時主機防護正规买球的网站版本為企业版以下，或防護等級為主機全面防護以下的伺服器。

　　警示規則：若伺服器防護版本為企业版以下或防護等級為主機全面防護以下，需要消耗授權數。

　　新版檔案防篡改功能整合了原網頁防篡改和核心檔案監控兩個功能模組。使用統一的規則管理介面，同時支援檔案攔截防護和檔案訪問監控，簡化了配置和管理流程。

　　可以在檔案防篡改頁面右上方單擊回到旧版切換到舊版控制台介面，舊版功能將在後續逐步下線。更多說明，請參見【升級】Security Center【網頁防篡改】與【核心檔案監控】合并升級。

　　支援對檔案的讀取、寫入、刪除、重新命名、許可權變更等進行監控、攔截或警示。

　　支援設定排除使用者（使用者白名單），當白名單使用者執行的檔案操作匹配規則時，將不會觸發警示或攔截。

　　警示規則：若伺服器防護版本為企业版以下或防護等級為主機全面防護以下，需要消耗授權數。

　　當同一檔案操作同時命中多條規則時，Security Center按照以下優先順序匹配：允許存取攔截告警。即優先匹配允許存取規則，允許存取規則未命中時匹配攔截規則，最後匹配警示規則。

　　若伺服器防護版本為企业版以下或防護等級為主機全面防護以下，需要消耗授權數。

　　修改的規則最長1分鐘生效，修改的規則生效後不會影響已產生的警示和記錄的事件。