查看并处理基线检查结果

操作场景

当基线检查功能检测到并提示您服务器上存在的基线配置风险、弱口令以及口令复杂度策略风险时，请及时查看并处理基线配置风险为您的服务器进行安全加固。

当服务器配置了多条基线检查策略时，系统将仅展示最近一次执行的基线检查结果。

约束限制

仅企业主机安全企业版、旗舰版、网页防篡改版和容器版支持基线配置检查。

检测说明

Linux系统的MySQL基线检测基于MySQL5安全配置规范指导，如果您主机上装有版本号为8的MySQL软件，以下检查项因已废弃不会出现在检测结果中，只在MySQL版本为5的服务器中呈现检测结果。

• 规则：old_passwords不能设置为 1
• 规则：secure_auth设置为1或ON
• 规则：禁止设置skip_secure_auth
• 规则：设置log_warnings为2
• 规则：配置MySQL binlog日志清理策略
• 规则：sql_mode参数包含NO_AUTO_CREATE_USER
• 规则：使用MySQL审计插件

查看基线检查概览信息

1. 登录管理控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在页面左上角单击，选择“安全 > 企业主机安全 HSS”，进入“企业主机安全”页面。
4. 在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。
5. （可选）如果您已开通企业项目，可在页面上方“企业项目”下拉框中选择企业项目，查看目标企业项目下的相关信息和数据。
6. 在“基线检查”页面，查看检测数据的统计，选择不同页签，查看HSS检测到的您服务器上存在的配置风险，参数说明如表 基线检查概览所示。
   如果您想查看不同的基线检查策略下服务器的检查数据统计，您可以通过切换“基线检查策略”进行查看。

   表1 基线检查概览

   参数名称	参数说明
   基线检查策略	选择要查看的基线策略检测的结果，所有可选择的基线检查策略均为已添加的基线检查策略，可进行自定义创建、编辑、删除。
   检测主机数	已检测的主机总数。
   检测基线数	检测主机时执行的基线数。
   主机配置检查项	已检查主机配置项的总数。
   主机配置基线通过率	按照基线检测主机配置通过的配置项占总检测项的占比，同时按照不同风险等级分别统计未通过的配置项总数。
   主机配置风险TOP5	按照主机的维度统计存在配置风险的主机。 优先按照高危且风险总数最多的前5台主机进行排序，如果不存在高危，则依次为中危、低危。
   主机弱口令检测统计	统计检测弱口令的主机总数，以及有弱口令、未开启检测、无弱口令检测的主机数。
   主机弱口令风险TOP5	按照主机的维度统计存在弱口令风险最多的前5台主机。
   配置检查	对所有存在配置风险的主机进行等级告警及风险信息统计。
   口令度复杂度策略检测	对所有主机存在口令复杂度策略不满足基线标准的进行统计。
   经典弱口令检测	按照主机的维度对存在弱口令的主机及涉及的账号进行统计。

查看并处理配置检查结果

1. 选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表2所示。

   表2 配置检查参数说明

   参数名称	参数说明
   风险等级	按照基线标准匹配检测结果划分的等级。 高危 低危 中危 无风险
   基线名称	检测执行的基线的名称。
   标准类型	检测执行的基线所属策略的标准类型。 云安全实践 等保合规 通用安全标准
   检查项	累计检查的配置项总数。
   风险项	检查项中存在风险的配置项总数。
   影响服务器数	目标风险基线所影响的服务器总数。
   描述	目标风险基线的描述说明。

2. 单击列表中目标基线名称，查看目标基线描述、受影响服务器以及所有检查项详情。
3. 处理风险项。
   • 忽略风险

     忽略后的风险项，将一直展示在已忽略列表中，且企业主机安全在对服务器执行基线检查时，将不会再告警该项。

     1. 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。或者勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。
     2. 在系统弹出的对话框中，单击“确认”，完成忽略。

        您可以在检查项列表上方，选择“已忽略”，查看已忽略列表。

   • 修复风险
     1. 单击目标风险项“操作”列的“检测详情”，查看检查项详情。
     2. 查看“审计描述”、“修改建议”和“受影响服务器”等信息，根据“修改建议”修复所有受影响服务器中的异常信息。
        

        • 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。
        • 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。
     3. 修复完成后，在“受影响服务器”页签，单击“验证”，验证受影响服务器的异常信息修复结果。
        如果目标检查项已做修复处理，您可通过验证来更新目标检查项状态。验证限制如下：

        • Windows暂不支持基线验证。
        • 目标主机Agent状态必须为在线。
        • 单次只能执行一条风险项验证，其他风险项需要等正在验证的风险项验证完成才能继续验证。
        • Linux支持验证的基线：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、CentOS8、EulerOS、Debian9、Debian10、Debian11、Red Hat6、Red Hat7、Red Hat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Suse 12、Suse 15、HCE1.1、HCE2.0。
     4. 单击“确认”，开始验证。
     5. 返回检查项列表页面，查看目标风险项的状态。

        “状态”变更为“验证中”，系统开始自动验证，验证结束后查看“状态”的变化。如果状态为修复失败，可单击“查看原因”查看修复失败的原因，排除问题后可再次进行修复。

查看并处理口令复杂度策略检测结果

1. 选择“口令复杂度策略检测”页签，查看口令复杂度策略检测的风险统计项及修改建议，参数说明如表3所示。

   表3 口令复杂度策略检测参数说明

   参数名称	参数说明
   服务器名称/IP地址	被检测的服务器名称及公网/私网IP地址。
   口令长度	目标服务器设置的口令长度策略是否符合标准。 符合 不符合
   大写字母	目标服务器设置的口令大写字母策略是否符合标准。 符合 不符合
   小写字母	目标服务器设置的口令小写字母策略是否符合标准。 符合 不符合
   数字	目标服务器设置的口令数字策略是否符合标准。 符合 不符合
   特殊字符	目标服务器设置的口令特殊字符策略是否符合标准。 符合 不符合
   建议	对目标服务器的口令复杂度策略设置建议。

2. 根据建议，修改主机中的口令复杂度策略。
   • 如需监测Linux主机中的口令复杂度策略，请先在主机中安装PAM（Pluggable Authentication Modules），详细操作请参见如何为Linux主机安装PAM？
   • 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。
   • 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。

3. 完成口令复杂度策略修改后，单击“基线检查”页面上方的“手动检测”，查看修复结果。

   如果您未进行手动验证，HSS会在次日凌晨执行自动验证。

查看并处理经典弱口令检测结果

1. 选择“经典弱口令检测”页签，查看服务器中存在风险的弱口令账号的统计，参数说明如表 经典弱口令检测参数说明所示。

   表4 经典弱口令检测参数说明

   参数名称	参数说明
   服务器名称/IP地址	被检测的服务器名称及公网/私网IP地址。
   账号名称	目标服务器中被检测出是弱口令的账号。
   账号类型	账号的类型。
   弱口令使用时长（单位：天）	目标弱口令使用的时间周期。

2. 登录主机系统修改弱密码。
   

   • 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的账号，如SSH账号。
   • 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件账号，如MySQL账号和FTP账号等。

   • 口令设置建议：设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。

3. 完成弱口令修改后，单击“基线检查”页面上方的“手动检测”，查看修复结果。

   如果您未进行手动验证，HSS会在次日凌晨执行自动验证。