Agent啟動、停止、重啟的操作命令是什么？

Linux系統環境下，需進入/titan/agent目錄，操作命令如下：

• Agent停止命令：./titanagent -s
• Agent啟動命令：./titanagent –d
• Agent卸載命令：bash install_agent.sh disclean_agent.sh

Windows系統環境下，打開服務管理器，找到Titan Agent Service for Windows服務，右擊該服務，即可對Agent進行啟動、停止和重新啟動操作，如下圖：

非bash環境下，入侵功能是否可以使用？

入侵功能中僅可疑操作功能和bash里的操作相關，故非bash環境入侵僅可疑操作功能可能受影響。

后門檢測中隔離與刪除的區別？

隔離與刪除的區別如下：

• 隔離把文件備份到了Agent安裝目錄下的隔離目錄中并進行了加密（AES對稱加密算法），防止其再次運行，之后對原路徑下的后門進行刪除，因此隔離后的文件是可以通過Agent下發還原指令進行恢復的。
• 刪除則直接將原文件刪除，并無備份，故刪除操作是不可逆的，具備一定風險。

風險掃描耗時很久，此時點擊其他界面是否會中斷掃描任務？

掃描任務為服務端后臺運行，所以點擊掃描后不會被中斷，客戶此時點擊其他界面也不會影響掃描任務，還會在后臺繼續運行掃描。

審計功能正常，為何前臺界面不顯示？

檢查Agent所在的服務器時間與標準時間是否一致。

怎么保證檢測的漏洞的準確性？

漏洞的檢測方式為版本比對和POC驗證兩種方式。

• 版本比對：通過獲取應用的安裝包版本和進程版本，將其與應用的漏洞版本進行比對。
• POC驗證：對漏洞逐個進行分析，根據漏洞原理編寫對應的漏洞驗證腳本，逐個漏洞進行檢測。

是否可以對內網主機進行監測防護？

安裝服務器安全衛士Agent需要能通過公網連通服務器安全衛士服務端，如果是內網環境的話，可以選擇一臺CentOS 7的主機做代理機進行安裝，代理機需要能同時連通服務端和內網主機。

Agent與Server之間的通信使用哪些端口？

需放開80/8001/8002/8443/6677/7788端口。

Agent如何增強自身安全性？

• Agent自身安全性，采用加殼技術反調試、抗逆向，共享庫防篡改，采用簽名進行升級保護。
• Agent多錨點入侵檢測，及時發現和處理黑客攻擊，一般不會被黑客獲取到kill掉Agent的權限。
• 服務端對于Agent離線、卸載、頻繁掉線有監控和告警。
• Agent與服務端通信加密、數據加密，黑客即使拿下Agent也不會獲取主機數據。

服務端是否有登錄失敗處理功能？

服務端具有登錄失敗處理功能，默認登錄失敗5次，則會封停15分鐘。

服務器端產生的日志存儲機制？

• 服務端java應用產生日志默認會保留180天
• 日志路徑：/data/titan-logs/java/
• 日志限制：
  • 每個服務每類日志（request.log/info.log/warn.log/error.log/lib.log）每個日志文件最大為100MB，超過100MB會滾動下一個日志文件記錄。
  • 單類日志總的日志大小限制為10GB，超過限制的會刪除最早產生的日志。
  • 服務端每類日志理論上占用10GB，一個服務理論最大占用50GB，總共大約占用為200G。

服務器安全衛士的告警郵件會不會很多？

產品的告警一定是精確、有效的，不會像其他產品產生大量的警報，可通過設置發送頻率來控制郵件告警數量。

服務器安全衛士服務器端獲取Agent上報數據，采用Agent時間戳還是服務器端時間戳？

資產清點和風險發現功能模塊時間戳皆以服務器側為主，入侵檢測和安全日志的時間戳均以Agent側為主。

無論是服務器端還是Agent，建議使用東八區時間，即CST時間。

Agent安裝之后會產生的目錄？

安裝Agent之后會產生三個主目錄：

• Agent主程序目錄/titan/agent/
• Agent配置文件目錄/etc/titanagent/
• Agent日志文件目錄/var/log/titanagent/。

Agent分時執行job的機制是怎么做的？

Agent層都部署在內網中，每個Agent服務都監聽來自服務器層的命令請求，然后通過Agent內部的lua腳本進行不同服務的啟動，最多啟動三個線程，以開啟不同的功能。

補丁太多修復不完，修復時的優先級有什么建議？

在補丁管理的界面會有相關的篩選項，可以把一些高危選項給勾選出來，比如是否存在exp ，是否可以被遠程利用等，這樣就會從原來上千個待修復的漏洞里面篩選到只有幾十個，此時再根據高中低危的順序，對于必要修復的漏洞進行修復，同時我們也會給出來修復相關漏洞，打補丁可能會影響到的業務進程，是否會機器重啟 ，這些我們都會給出一個建議讓用戶去決定什么時候進行修復合適。