随着网络攻击日益猖獗，黑客篡改服务器核心文件会直接威胁业务连续性和数据安全，造成不可估量的经济损失和信誉危机。文件防篡改功能采用实时监控技术，对文件系统活动进行全方位监测，自动拦截非授权进程的写入、删除等危险操作，并记录所有访问行为形成完整审计链，从而有效保障关键文件的完整性。

　　操作系统与内核：服务器的操作系统和内核版本需在AliWebGuard支持的范围内。具体支持范围，请参见AliWebGuard支持的操作系统及内核版本。

　　云安全中心客户端：已在需要文件防篡改防护的服务器上安装云安全中心客户端。具体操作，请参见安装客户端。

　　文件防篡改功能通过实时捕获文件系统的操作事件（如读取、写入、删除），并根据配置的规则执行相应的处置。

　　规则优先级：当一个文件操作同时匹配多条规则时，系统将按照放行拦截告警的固定顺序进行决策。一旦命中高优先级规则（如放行），处理流程将立即终止，不再评估后续的低优先级规则。

　　支持的内核：功能完整，能够精确识别进程、路径和操作类型，支持告警、拦截、放行等所有模式。

　　不支持的内核：在部分老旧或定制化的内核中，功能会受限且行为可能发生变化，详情请参见下文的配额与限制。

　　规则生效逻辑：云安全中心监控到服务器文件操作同时命中已开启规则所有条件，才会根据规则的处置方式进行处理。

　　访问云安全中心控制台-防护设置-主机防护-网页防篡改，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。

　　也可使用阿里云账号直接登录并访问云安全中心购买，其中购买方式选择包年包月。更多信息，请参见购买云安全中心。

　　单击立即购买，跳转至云安全中心购买页。在文件防篡改区域，将是否选购置为是。

　　若需要使用自动拦截或告警功能，请设置购买数量。购买后，请参照下文为服务器绑定授权。

　　当月未使用完的授权数将被清理，不会顺延至下个月。建议将授权数设置为需要防护的服务器实际数量，避免资源浪费。

　　告警：若服务器防护版本为企业版以下，或防护等级为主机全面防护以下，必须为其绑定授权数。

　　若服务器防护版本为企业版、旗舰版或防护等级为主机全面防护、主机及容器全面防护，使用告警规则，无需绑定授权数。

　　访问云安全中心控制台-防护设置-主机防护-网页防篡改，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。

　　访问云安全中心控制台-防护设置-主机防护-网页防篡改，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。

　　绑定了告警防护规则，同时主机防护版本为企业版以下，或防护等级为主机全面防护以下的服务器。

　　文件防篡改通过规则来定义防护范围和处置方式。您可以创建告警、拦截或放行规则，灵活组合以实现对文件的全面防护。

　　拦截：监控到对应文件操作时，主动拦截异常进程的文件变动操作，确保文件安全。

　　放行：监控到对应文件操作时，直接放行，不记录事件详情，也不产生告警。用于排除合法进程的正常操作。

　　系统类型：选择规则监控的服务器操作系统类型。可选项：Linux、Windows。

　　目录下所有文件：使用通配符*。例如：/var/表示防护该目录下的所有文件（包含子文件）。

　　文件类型：选择需要防护的文件类型（可选），支持从下拉列表中选择常见的Web文件类型或手动填写。配置说明如下：

　　例如要匹配backup.tar.gz文件，只能用gz的文件类型，使用tar.gz的文件类型无法匹配上。如果想要匹配tar.gz的文件名后缀，可以在防护路径中增加/protected/path/*.tar.gz，而不使用文件类型来做规则。

　　监控某个目录下所有进程：使用通配符。例如：/etc/*表示监控etc目录下的所有进程。

　　示例：防护/var/www/html/目录下的所有网页文件，使用拦截模式。

　　规则1（拦截规则）：处置方式选择拦截，防护路径填写/var/www/html/*，文件类型选择html、php、jsp等，文件操作选择写入和删除，进程路径填写*（匹配所有进程）。

　　规则2（放行规则）：处置方式选择放行，防护路径填写/var/www/html/*，进程路径填写合法发布进程路径（如/usr/bin/rsync），文件操作选择写入和删除。

　　规则1（告警规则）：处置方式选择告警，告警等级选择紧急，防护路径填写/etc/passwd，文件操作选择所有操作，进程路径填写*。

　　规则2（放行规则）：处置方式选择放行，防护路径填写/etc/passwd，进程路径填写/usr/lib/systemd/systemd（合法进程），文件操作选择所有操作。

　　告警规则的进程路径建议配置为*（匹配所有进程），否则无法监控配置范围外其他进程的访问操作。

　　配置放行规则时，不建议进程路径使用通配符路径。使用通配符路径容易被攻击者利用放行规则直接放行访问操作，达到绕过告警规则的目的。

　　在左侧导航栏，选择检测响应告警。在控制台左上角，选择需防护资产所在的区域：中国内地或非中国内地。

　　在云工作负载保护平台(CWPP)页签，单击文件防篡改告警下的数字，进入防篡改告警列表页。

　　可在告警列表，单击操作列详情，查看告警详情。以下情况时，云安全中心可能无法准确获取命令行信息：

　　Shell内置命令访问文件时，云安全中心无法获取准确的命令行信息。例如访问命令为时，采集到的命令行为[-bash]。

　　云安全中心采集经过Shell解析后的命令行，并以JSON数组的形式展示，可能和用户输入的原始命令不同。

　　处理文件：建议在确认对业务无影响的情况下，手动阻断相关进程并隔离对应文件。

　　若已配置相关拦截规则，系统将自动处理，无需手动操作，事件状态将显示已拦截。

　　创建规则（可选）：创建一条处置方式为拦截的规则，主动拦截异常进程的文件变动操作。

　　处理告警：文件手动处理后，返回告警列表。单击目标告警操作列处置，并选择已手工处理。

　　创建规则（可选）：创建一条处置方式为放行的规则，将该合法进程加入放行名单，避免持续产生告警。

　　已使用拦截授权数/授权总数：已使用的拦截授权数和购买的授权总数。单击授权管理，可查看授权详情。

　　包年包月模式：在总览页面包年包月服务区域，单击变更配置我要降配。进入订单升降配页面，在订单降配页签文件防篡改区域，将是否选购置为否，具体操作可参考降配。

　　具体退款金额以降配页面显示的金额为准，关于退款后的资金流向，请参见退款流向。

　　被防护文件或目录的完整路径不超过1,000个英文字符或500个中文字符。

　　如果防护目录被设置为 NFS server 的进程路径，则无法防御通过 NFS client 访问修改该路径下文件的攻击行为。

　　包年包月：预先购买指定数量的拦截授权，有效期内使用。当月未使用完的授权数将在月底被自动清理，不会顺延至下个月。

　　按量付费：按实际防护时长（秒）× 防护服务器数计费。符合以下条件的主机自动计入防护服务器数：

　　绑定了告警防护规则，同时主机防护版本为企业版以下，或防护等级为主机全面防护以下的服务器。

　　告警规则：若服务器防护版本为企业版以下或防护等级为主机全面防护以下，需要消耗授权数。

　　新版文件防篡改功能整合了原网页防篡改和核心文件监控两个功能模块。使用统一的规则管理界面，同时支持文件拦截正规买球的网站防护和文件访问监控，简化了配置和管理流程。

　　可以在文件防篡改页面右上角单击回到旧版切换到旧版控制台界面，旧版功能将在后续逐步下线。更多说明，请参见【升级】云安全中心【网页防篡改】与【核心文件监控】合并升级。

　　支持设置排除用户（用户白名单），当白名单用户执行的文件操作匹配规则时，将不会触发告警或拦截。

　　告警规则：若服务器防护版本为企业版以下或防护等级为主机全面防护以下，需要消耗授权数。

　　当同一文件操作同时命中多条规则时，云安全中心按照以下优先级匹配：放行拦截告警。即优先匹配放行规则，放行规则未命中时匹配拦截规则，最后匹配告警规则。

　　若服务器防护版本为企业版以下或防护等级为主机全面防护以下，需要消耗授权数。

　　修改的规则最长1分钟生效，修改的规则生效后不会影响已产生的告警和记录的事件。