主要目标是事前阻止,是预防和阻止破坏。及时、准确、轻量级的阻止当前活跃(恶意)程序、活跃(恶意)域名、活跃(恶意)ip带来的破坏和损失。 给用户提供一个简单、实用的接口,供用户自定义配置。
主要功能如下:
阻止恶意程序(病毒、木马等)和危险程序在系统上执行。
阻止恶意程序(病毒、木马等)和危险程序解析(恶意)域名。
阻止恶意程序(病毒、木马等)和危险程序发起网络连接、收发数据。
阻止对特定的(恶意)域名解析。
阻止向特定的(恶意)地址(ipv4 和 ipv6)发起网络连接、收发数据。
apptable是事前,是预防和阻止。杀毒(例如clamav)、HIDS是事后、事中,此时已经破坏了系统或者正在破坏系统。 apptable目标是轻量级,避免使用系统太多资源。clamav运行时会有大量的IO和CPU使用量。HIDS运行时会使用大量的CPU、带宽。
可阻止编译型、解释型(恶意)程序(bash、perl、python2、python3、php、java、ruby、lua、nodejs、node)破坏系统。 两种模式:防御模式和防数据泄漏模式 用户自定义的功能。 占用资源少。极限情况下,例如编译环境,cpu可达单核的2%。nginx、mysql环境几乎忽略不计。
下载
https://github.com/z789/HIPS 主要从该处下载(谢谢点个星) https://39.107.153.135:9999 供不能使用github的下载。如果下载时弹出证书警告,请点击信任。
例如:
sudo tar -C / -zxvf
apptable_v0.5.0_Ubuntu24.04_x86_64_38c406b_2025-05-21-18-35-21.tgz
安装完成后,生成/opt/apptable目录,apptable所有的文件都在该目录下。
3. 启动、停止、重启
启动:
/opt/apptable/start.sh
停止:
/opt/apptable/stop.sh
重启:
/opt/apptable/restart.sh
4. 查看防御日志和普通日志[global]
daemon = 1 ; 是否 daemon 启动
strict = 1 ; 严格模式
out_file = /var/log/apptable.log ;日志文件。防御日志和其他日志都写入该文件。
[update]
enable = 1 ;是否启用更新官方的阻止库
interval = 86400 ; 更新间隔,单位秒。默认24小时,最小5分钟。每次启动三分钟后进行第一次更新。
update_server=https://apptable.com.cn:9999 ;更新服务器地址
cert_path=./config/apptable.crt ;更新服务器证书
其中usr_block_hash_list是用户自定义文件,由用户定义阻止的(恶意)软件列表。该文件不受升级的影响。以下介绍的其他配置文件,如有usr_*配置文件, 其含义类似。
该文件每一行由以下格式组成:
sha1sum:文件尺寸:其他信息:可选的其他信息等等
其中sha1sum:文件尺寸是必须的。
例如:
0025815c738c3da01d79db0b1d916fd5b5b31023:920568:na.zip:elf:application/x-executable:Prometei:2025-04-27T06:14:55
注意:该文件中不能有空格' '存在,如有,可用其他字符如'_'代替。
3.block_prog_list/usr_block_prog_list:阻止的(恶意)软件的绝对路径文件。
该文件每一行是一个(恶意)软件的绝对路径。 如:
/usr/bin/nc
/usr/bin/sqlmap
4.block_url_list/usr_block_url_list:禁止解析的(恶意)域名文件。
该文件每一行是一个域名。 如:
j.foxnointel.ru
该文件每一行是一个 ipv4 或者 ipv6 地址 。 如:
104.131.68.180
2001:19f0:4400:2c64:5400:4ff:fe99:3781
七 两种模式
1. 严格模式(防御模式)
block_hash_list/usr_block_hash_list 、
block_prog_list/usr_block_prog_list中的(恶意)软件禁止执行。这种模式在(恶意)软件将要执行前,进行阻止。防止破坏系统、泄漏信息等。
2. 非严格模式(防数据泄漏模式)
block_hash_list/usr_block_hash_list、
block_prog_list/usr_block_prog_list 中的(恶意)软件允许执行。但禁止进行网络连接、收发数据、解析域名。
非严格模式下,是禁止block_hash_list/usr_block_hash_list、block_prog_list/usr_block_prog_list 中的程序所有的ip网络连接、收发数据、解析域名。不仅仅是block_ip_list/usr_block_ip_list、block_url_list/usr_block_url_list 中配置的。
两种模式由主配置文件中配置项
[global]
strict = 1
控制。改变该配置,要生效,需要重启apptable。
apptable只能处于两种模式中的一种。
八 更新服务和搭建私有更新服务器
1. 更新服务器每 24 小时,更新一次 block_hash_list、block_prog_list、block_url_list、block_ip_list 文件。
2.更新的block_hash_list、block_prog_list、block_url_list、block_ip_list是最近14天活跃的恶意软件、恶意域名、恶意ip的数据。会根据需要调整时间段,如30天等。
3. 如果想搭建自己的更新服务器,联系 [email protected]。
九 支持的操作系统和内核版本
1.目前支持Ubuntu22.04的generic类89个内核安装包,和Ubuntu24.04的generic类 29个内核安装包。
generic类内核安装包是使用最多的安装包。
2.目前支持物理机、虚拟机、容器宿主机。
3.公有云测试支持情况
Ubuntu24.04:阿里云、腾讯云、华为云
Ubuntu22.04:阿里云、华为云、天翼云、京东云
未列出的其他公有云,是因为暂时未找到资源,并不是不支持。根据测试来看,只有天翼云的Ubuntu22.04的kernel 5.15.0-75-generic未支持,切换到kernel 5.15.0-60-generic,则正常运行。其他则是正常
十 常见问题
1. 如果不能运行,首先检查内核版本是否在支持的列表中。
查看当前内核版本命令:
uname -r
2.block_hash_list/usr_block_hash_list、block_prog_list/usr_block_prog_list 一般用法和区别:
1) 格式不同:
block_hash_list/usr_block_hash_list 文件中每行是 sha1sum:文件尺寸;
block_prog_list/usr_block_prog_list 文件中每行是绝对路径。
2) 一般情况下,(恶意)软件放在block_hash_list/usr_block_hash_list 中。用户禁止的程序,例如sqlmap、tcpdump等放在block_prog_list/usr_block_prog_list 中。
3)block_prog_list/usr_block_prog_list中的配置,不受程序版本不同 (sha1sum 值不同)的影响。
3.block_hash_list/usr_block_hash_list、
block_prog_list/usr_block_prog_list、
lock_url_list/usr_block_url_list、
block_ip_list/usr_block_ip_list
每个文件建议不超过 2000 行,总计不超过 6000 行。
4. 性能
1) 负载类型不同,性能有差异。
nginx、mysql 数据库等服务,没有频繁的程序执行操作,性能影响几乎不计。
在有频繁的程序执行的环境,例如编译服务器,性能损失可达单核的2%,平均值几乎不计。
十一 不同规模用户使用的建议和服务支持
1.个人用户。使用公共阻止库更新服务器。如果有自定义阻止的(恶意)程序、域名、ip,放在usr_block_*_list中即可。
2.小规模企业。如果有自己的威胁情报更新能力,可以搭建私有阻止库更新服务器。
3.有自己的内核团队,并使用自己定制化内核的企业,可以联系服务支持, 编译适配你们内核的版本。
十二 支持的内核列表
Ubuntu22.04 *generic类89个内核安装包:
linux-image-5.15.0-100-generic
linux-image-5.15.0-101-generic
linux-image-5.15.0-102-generic
linux-image-5.15.0-105-generic
linux-image-5.15.0-106-generic
linux-image-5.15.0-107-generic
linux-image-5.15.0-112-generic
linux-image-5.15.0-113-generic
linux-image-5.15.0-116-generic
linux-image-5.15.0-117-generic
linux-image-5.15.0-118-generic
linux-image-5.15.0-119-generic
linux-image-5.15.0-121-generic
linux-image-5.15.0-122-generic
linux-image-5.15.0-124-generic
linux-image-5.15.0-125-generic
linux-image-5.15.0-126-generic
linux-image-5.15.0-127-generic
linux-image-5.15.0-128-generic
linux-image-5.15.0-130-generic
linux-image-5.15.0-131-generic
linux-image-5.15.0-133-generic
linux-image-5.15.0-134-generic
linux-image-5.15.0-135-generic
linux-image-5.15.0-136-generic
linux-image-5.15.0-138-generic
linux-image-5.15.0-139-generic
linux-image-5.15.0-140-generic
linux-image-5.15.0-25-generic
linux-image-5.15.0-43-generic
linux-image-5.15.0-60-generic
linux-image-5.15.0-72-generic
linux-image-5.15.0-73-generic
linux-image-5.15.0-75-generic
linux-image-5.15.0-78-generic
linux-image-5.15.0-79-generic
linux-image-5.15.0-82-generic
linux-image-5.15.0-83-generic
linux-image-5.15.0-84-generic
linux-image-5.15.0-86-generic
linux-image-5.15.0-87-generic
linux-image-5.15.0-88-generic
linux-image-5.15.0-89-generic
linux-image-5.15.0-91-generic
linux-image-5.15.0-92-generic
linux-image-5.15.0-94-generic
linux-image-5.15.0-97-generic
linux-image-5.19.0-41-generic
linux-image-5.19.0-42-generic
linux-image-5.19.0-43-generic
linux-image-5.19.0-45-generic
linux-image-5.19.0-46-generic
linux-image-5.19.0-50-generic
linux-image-6.2.0-25-generic
linux-image-6.2.0-26-generic
linux-image-6.2.0-31-generic
linux-image-6.2.0-32-generic
linux-image-6.2.0-33-generic
linux-image-6.2.0-34-generic
linux-image-6.2.0-35-generic
linux-image-6.2.0-36-generic
linux-image-6.2.0-37-generic
linux-image-6.2.0-39-generic
linux-image-6.5.0-14-generic
linux-image-6.5.0-15-generic
linux-image-6.5.0-17-generic
linux-image-6.5.0-18-generic
linux-image-6.5.0-21-generic
linux-image-6.5.0-25-generic
linux-image-6.5.0-26-generic
linux-image-6.5.0-27-generic
linux-image-6.5.0-28-generic
linux-image-6.5.0-35-generic
linux-image-6.5.0-41-generic
linux-image-6.5.0-44-generic
linux-image-6.5.0-45-generic
linux-image-6.8.0-38-generic
linux-image-6.8.0-39-generic
linux-image-6.8.0-40-generic
linux-image-6.8.0-45-generic
linux-image-6.8.0-47-generic
linux-image-6.8.0-48-generic
linux-image-6.8.0-49-generic
linux-image-6.8.0-50-generic
linux-image-6.8.0-51-generic
linux-image-6.8.0-52-generic
linux-image-6.8.0-57-generic
linux-image-6.8.0-58-generic
linux-image-6.8.0-59-generic
Ubuntu24.04内核*-generic类29个安装包:
linux-image-6.8.0-31-generic
linux-image-6.8.0-35-generic
linux-image-6.8.0-36-generic
linux-image-6.8.0-38-generic
linux-image-6.8.0-39-generic
linux-image-6.8.0-40-generic
linux-image-6.8.0-41-generic
linux-image-6.8.0-44-generic
linux-image-6.8.0-45-generic
linux-image-6.8.0-47-generic
linux-image-6.8.0-48-generic
linux-image-6.8.0-49-generic
linux-image-6.8.0-50-generic
linux-image-6.8.0-51-generic
linux-image-6.8.0-52-generic
linux-image-6.8.0-53-generic
linux-image-6.8.0-54-generic
linux-image-6.8.0-55-generic
linux-image-6.8.0-56-generic
linux-image-6.8.0-57-generic
linux-image-6.8.0-58-generic
linux-image-6.8.0-59-generic
linux-image-6.8.0-60-generic
linux-image-6.11.0-17-generic
linux-image-6.11.0-19-generic
linux-image-6.11.0-21-generic
linux-image-6.11.0-24-generic
linux-image-6.11.0-25-generic
linux-image-6.11.0-26-generic
》
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...