安装云安全中心客户端后,客户端会在服务器中开启AliYunDun、AliYunDunMonitor等进程,以实现信息采集、威胁检测等能力。您可以通过查看进程状态,判断安全防护能力是否生效。本文提供云安全中心客户端文件和进程的详细说明。
进程说明
云安全中心客户端的进程在Linux系统的服务器上以root
账号运行,在Windows系统的服务器上以SYSTEM
账号运行。下表介绍云安全中心客户端所包含的文件和进程。
建议不要在服务器中手动删除以下文件或进程,否则可能会导致云安全中心客户端异常。
常驻进程是指安装云安全中心客户端后一直会存在的进程,只有这些进程启动,云安全中心才能正常防护服务器。非常驻进程是指只在特定情况或开启指定功能后才会启动的进程。
如需删除客户端相关文件,请先关闭客户端自保护开关。自保护开关开启时,您将无法卸载云安全中心客户端或删除云安全中心客户端的任何进程文件。关闭客户端自保护的具体操作,请参见客户端自保护。
客户端包含的文件 | 关联进程 | 为常驻进程 | 文件下载时间 | 文件所在路径 |
|
| 是 |
|
|
|
| 是 | 安装云安全中心客户端插件后, | |
|
说明 aegis_12_3x及后续版本云安全中心将AliSecureCheckAdvanced和AliDetect进程合并为AliSecCheck进程,而在aegis_12_3x以下版本中仍使用AliSecureCheckAdvanced和AliDetect。 | 否(免费版、防病毒版、高级版) | 执行检查后, | |
| ||||
| 是(企业版、旗舰版) | 仅企业版或旗舰版用户安装云安全中心客户端插件后,将下载 | ||
|
| 否 | 在为服务器开启网页防篡改或核心文件监控后, | |
|
| 否 | 在功能设置页面,开启恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御任意一个开关后, | |
| 无 | 不涉及 | 安装云安全中心客户端插件后, | |
|
| 否 | 服务器防勒索服务会启动 | |
|
| 否 | 数据库防勒索服务会启动 |
查看进程
Linux系统:执行
ps -ef | grep aegis
命令查看客户端进程。Windows系统:在任务管理器中查看相关进程。
进程与客户端状态说明
客户端状态
云安全中心服务端主要通过检测服务器中AliYunDun
进程的状态判断客户端是否在线。出现以下任一情况,云安全中心服务端会判定该服务器客户端不在线,并将该服务器的客户端状态从(在线)变成(离线)。您可以在主机资产页面查看服务器的客户端状态。
服务端检测到和客户端的通信异常,包括但不限于网络异常、客户端进程(
AliYunDun
)被异常结束、客户端被卸载等,会将客户端的状态更改为离线。如果服务端在10个小时内没有收到客户端登录、采集到的数据等信息,会将客户端状态更改为离线。
功能状态
云安全中心恶意网络行为防御、恶意主机行为防御等功能,都需要开启对应的进程才能使用。例如:当您为服务器开启恶意网络行为防御开关时,客户端会自动下载AliNet
文件,并启动AliNet
进程。您可以在服务器资产详情页面查看各功能的防御状态,下表是防御功能和进程的对应关系。
防御功能 | 支持的版本 | 关联进程 | 说明 |
客户端自保护 | 所有版本 |
| 拦截未通过云安全中心控制台卸载云安全中心客户端或修改客户端文件的行为,保障客户端安全。 |
网站后门连接防御 | 企业版、旗舰版 |
| 自动拦截黑客通过已知网站后门进行的异常连接行为。 |
恶意主机行为防御 | 防病毒版、高级版、企业版、旗舰版 | 自动拦截并查杀常见网络病毒。 | |
防勒索(诱饵捕获) | 防病毒版、高级版、企业版、旗舰版 | 捕捉新型勒索病毒的诱饵,并通过病毒行为分析,自动启动新型勒索病毒的防御。 | |
恶意网络行为防御 | 高级版、企业版、旗舰版 |
| 拦截服务器和已披露的恶意访问源之间的网络行为。 |