更新时间:2025-10-10 GMT+08:00
执行基线检查
操作场景
基线检查功能支持自动和手动两种基线检查方式:
- 自动执行基线检查:基线检查功能会定期对服务器执行配置检查、口令复杂度策略检测、经典弱口令检测。
- 手动执行基线检查:如需查看指定服务器的实时基线风险,您可以手动执行基线检查。当服务器配置了多条基线检查策略时,系统将仅展示最近一次执行的基线检查结果。
自动执行基线检查
默认每日凌晨01:00左右将自动进行一次全量服务器的配置检查、口令复杂度策略检测、经典弱口令检测。您可以在自动检查完成后查看并处理资产中存在的风险项。
HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期,配置操作详情请参见配置检测。
HSS企业版、旗舰版、网页防篡改版、容器版可自定义弱口令、修改自动检测周期,配置操作详情请参见弱口令检测。
手动执行基线检查
- 登录管理控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在页面左上角单击
,选择“安全 > 企业主机安全 HSS”,进入“企业主机安全”页面。 - 在左侧导航树中,选择,进入基线检查页面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- (可选)新建手动基线检查策略。
在手动执行基线检查策略之前,您需要为目标服务器新建一条手动基线检查策略;如果您已经为目标服务器新建了策略,可跳过此步骤。
- 单击页面右上角“策略管理”,进入策略列表页面。
- 单击“新建策略”,填写配置策略信息,参数说明如表 新建基线策略信息所示。
鼠标滑动至基线名称右侧,单击“规则详情”,可以查看每个检查基线的详细信息。
“操作系统”选择“Linux系统”时,所有“检测基线”项下的子基线支持自定义勾选检测规则检查项,Windows暂不支持。
表1 新建基线策略信息 参数名称
参数说明
取值样例
策略名称
自定义策略名称。
default_linux_security_check_policy
操作系统
选择基线检测的目标系统。
- Linux
- Windows
Linux
检测基线
自定义勾选支持的检测标准及类型,详情如下:
- Linux系统:
- 云安全实践:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master、HCE1.1、HCE2.0。
- 等保合规:Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS 7、CentOS 8、Debian 9、Debian 10、Debian 11、Redhat 6、Redhat 7、Redhat 8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1。
- 通用安全标准:HCE1.1
说明:Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,如果您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。
- 规则:old_passwords不能设置为 1
- 规则:secure_auth设置为1或ON
- 规则:禁止设置skip_secure_auth
- 规则:设置log_warnings为2
- 规则:配置MySQL binlog日志清理策略
- 规则:sql_mode参数包含NO_AUTO_CREATE_USER
- 规则:使用MySQL审计插件
- Windows系统:
- 云安全实践:MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019、SqlServer。
云安全实践:全选
- 确认填写信息无误,单击“下一步”,根据服务器名称、服务器ID、弹性公网IP地址或私有IP地址选择需要应用关联的服务器。
- 确认无误,单击“确认”,在策略管理页面新增1条基线策略。
- 在基线检查页面左上方,选择目标“基线检查策略”。
- 单击页面右上角“手动检测”,执行检测。
- 查看“基线检查策略”下方“最近检测时间”为当前检测时间时,表示检测完成。
- 执行手动检测后,按钮状态变为检测中,如果检测时间超过30分钟,按钮会自动释放为可单击状态,此时仍需等待“最近检测时间”显示为当前检测时间才表示检测完成。
- 检测结束后可参照查看并处理基线检查结果查看对应检查项结果及修改建议。
父主题: 基线检查
