基线检查概述

什么是基线检查？

基线是指操作系统、数据库、中间件、应用应达到的推荐安全配置标准，包括权限配置、服务配置、网络配置、口令安全配置、等保合规配置等方面。

企业主机安全的基线检查提供口令复杂度策略检测、经典弱口令检测、配置检查功能，可检测不安全的口令配置和系统、关键软件中存在的配置类风险，并针对所发现的风险为用户提供修复建议，帮助用户正确的处理服务器内的各种风险配置。

基线检查内容

检查类型名称	检查详情说明	支持的HSS版本
基线配置检查	对常见的Tomcat配置、Nginx配置、SSH登录配置以及系统配置等进行检查，帮助用户识别不安全的配置项。检查标准分为云安全实践、等保合规、通用安全标准：云安全实践：基于多年云上安全实践经验，从账号管理、认证授权、口令策略、日志管理、服务管理、网络配置、补丁更新等方面进行检查系统和软件的安全性。等保合规：基于信息安全等级保护标准，对标权威机构测评要求，对系统、数据库等进行安全性检查。通用安全标准：基于国内外通用安全规范，从账号管理，口令策略，授权管理，服务管理，配置管理，网络管理，权限管理等多个角度检查系统和软件的安全性。支持检测的系统、数据库、应用等包括： Linux系统：云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master、HCE1.1、HCE2.0。等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS 7、CentOS 8、Debian 9、Debian 10、Debian 11、Redhat 6、Redhat 7、Redhat 8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1。通用安全标准：HCE1.1 说明： Linux系统的MySQL基线检测基于MySQL5安全配置规范指导，如果您主机上装有版本号为8的MySQL软件，以下检查项因已废弃不会出现在检测结果中，只在MySQL版本为5的服务器中呈现检测结果。规则：old_passwords不能设置为 1 规则：secure_auth设置为1或ON 规则：禁止设置skip_secure_auth 规则：设置log_warnings为2 规则：配置MySQL binlog日志清理策略规则：sql_mode参数包含NO_AUTO_CREATE_USER 规则：使用MySQL审计插件 Windows系统：云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019、SqlServer。	企业版、旗舰版、网页防篡改版、容器版
口令复杂度策略检测	口令复杂度策略指的是一种口令安全机制，用于规定用户设置的口令必须遵守的规则，以提升口令安全性，防止口令因复杂度过低而被暴力破解。口令复杂度策略检测功能支持检测Linux系统账号的口令复杂度策略并给出修改建议，帮助用户提升口令安全性。口令复杂度策略检测主要包括以下几个方面：口令长度：检测口令复杂度策略设定的口令长度限制是否达到安全标准。大写字母：检测口令复杂度策略设定的大写字母数量限制是否达到安全标准。小写字母：检测口令复杂策略中设定的小写字母数量限制是否达到安全标准。数字：检测口令复杂策略中设定的数字数量限制是否达到安全标准。特殊字符：检测口令复杂策略中设定的特殊字符数量限制是否达到安全标准。	所有版本
经典弱口令检测	弱口令指的是密码强度低，容易被攻击者破解的口令。经典弱口令检测功能通过将口令与弱口令库进行比对，检测账号口令是否属于常用的弱口令，提示用户修改不安全的口令。经典弱口令检测功能检测限制如下：支持检测的口令加密算法包括：SHA-256、SHA-512和Yescrypt 支持检测的账号类型包括： Linux：MySQL、Tomcat、Redis及系统账号 Windows：系统账号	所有版本

检查类型名称

检查详情说明

支持的HSS版本

基线配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置以及系统配置等进行检查，帮助用户识别不安全的配置项。

检查标准分为云安全实践、等保合规、通用安全标准：

云安全实践：基于多年云上安全实践经验，从账号管理、认证授权、口令策略、日志管理、服务管理、网络配置、补丁更新等方面进行检查系统和软件的安全性。
等保合规：基于信息安全等级保护标准，对标权威机构测评要求，对系统、数据库等进行安全性检查。
通用安全标准：基于国内外通用安全规范，从账号管理，口令策略，授权管理，服务管理，配置管理，网络管理，权限管理等多个角度检查系统和软件的安全性。

支持检测的系统、数据库、应用等包括：

Linux系统：
- 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master、HCE1.1、HCE2.0。
- 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS 7、CentOS 8、Debian 9、Debian 10、Debian 11、Redhat 6、Redhat 7、Redhat 8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1。
- 通用安全标准：HCE1.1
说明：
Linux系统的MySQL基线检测基于MySQL5安全配置规范指导，如果您主机上装有版本号为8的MySQL软件，以下检查项因已废弃不会出现在检测结果中，只在MySQL版本为5的服务器中呈现检测结果。
- 规则：old_passwords不能设置为 1
- 规则：secure_auth设置为1或ON
- 规则：禁止设置skip_secure_auth
- 规则：设置log_warnings为2
- 规则：配置MySQL binlog日志清理策略
- 规则：sql_mode参数包含NO_AUTO_CREATE_USER
- 规则：使用MySQL审计插件
Windows系统：
- 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019、SqlServer。

企业版、旗舰版、网页防篡改版、容器版

口令复杂度策略检测

口令复杂度策略指的是一种口令安全机制，用于规定用户设置的口令必须遵守的规则，以提升口令安全性，防止口令因复杂度过低而被暴力破解。

口令复杂度策略检测功能支持检测Linux系统账号的口令复杂度策略并给出修改建议，帮助用户提升口令安全性。

口令复杂度策略检测主要包括以下几个方面：

口令长度：检测口令复杂度策略设定的口令长度限制是否达到安全标准。
大写字母：检测口令复杂度策略设定的大写字母数量限制是否达到安全标准。
小写字母：检测口令复杂策略中设定的小写字母数量限制是否达到安全标准。
数字：检测口令复杂策略中设定的数字数量限制是否达到安全标准。
特殊字符：检测口令复杂策略中设定的特殊字符数量限制是否达到安全标准。

所有版本

经典弱口令检测

弱口令指的是密码强度低，容易被攻击者破解的口令。

经典弱口令检测功能通过将口令与弱口令库进行比对，检测账号口令是否属于常用的弱口令，提示用户修改不安全的口令。

经典弱口令检测功能检测限制如下：

支持检测的口令加密算法包括：SHA-256、SHA-512和Yescrypt
支持检测的账号类型包括：
- Linux：MySQL、Tomcat、Redis及系统账号
- Windows：系统账号

所有版本

使用流程

表1 使用流程
序号	操作项	说明
1	执行基线检查	基线检查功能支持自动和手动基线检查：自动执行基线检查：默认每日凌晨01：00左右将自动进行一次全量服务器的基线检查（配置检查、口令复杂度策略检测和经典弱口令检测）。 HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期，配置操作详情请参见配置检测。 HSS企业版、旗舰版、网页防篡改版、容器版可自定义弱口令、修改自动检测周期，配置操作详情请参见弱口令检测。手动执行基线检查：如需查看指定服务器的实时基线风险，您可以手动执行基线检查。
2	查看并处理基线检查结果	基线检查完成后，您需要尽快查看并根据HSS提供的修复建议对基线配置风险进行处理。

父主题： 基线检查

上一篇：基线检查

下一篇：执行基线检查

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消