查看基线检查详情
HSS提供基线检查功能,主动检测主机中的口令复杂度策略,关键软件中含有风险的配置信息,并针对所发现的风险为您提供修复建议,帮助您正确地处理服务器内的各种风险配置信息。
约束限制
未开启防护的服务器不支持基线相关操作,同时基础版不支持配置检查的数据显示。
前提条件
配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。
检测说明
Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,若您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。
- 规则:old_passwords不能设置为 1
- 规则:secure_auth设置为1或ON
- 规则:禁止设置skip_secure_auth
- 规则:设置log_warnings为2
- 规则:配置MySQL binlog日志清理策略
- 规则:sql_mode参数包含NO_AUTO_CREATE_USER
- 规则:使用MySQL审计插件
检查项列表
检查项 |
说明 |
---|---|
配置检查 |
目前支持的检测标准及类型如下:
|
口令复杂度策略检测 |
检测系统账号的口令复杂度策略。 |
经典弱口令检测 |
通过与弱口令库对比,检测账号口令是否属于常用的弱口令。 支持MySQL、FTP及系统账号的弱口令检测。 |
查看配置检查
查看配置检查的风险统计及对应的处理建议。
- 登录管理控制台。
- 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 在左侧导航树中,选择 ,进入基线检查页面。
- 选择“配置检查”页签,查看所有服务器的配置检查风险项,参数说明如表2所示。
- 单击列表中目标基线名称,查看目标基线描述、受影响服务器以及所有检查项详情。
- 单击目标检查项“操作”列的“检测详情”,查看检查项描述、审计描述和修改建议。
您需要确认检查的风险项是否是致命或需要修改的风险。
如果是,可根据修改建议对目标检查项进行修改。如果不是,可在配置检查项列表页面单击目标检查项“操作”列的“忽略”操作进行忽略。
查看口令复杂度策略检测
查看口令复杂度策略检测的风险统计及对应的处理建议。
- 登录管理控制台,进入企业主机安全页面。
- 在左侧导航树中,选择 ,进入基线检查页面。
- 选择“口令复杂度策略检测”页签,查看口令复杂度策略检测的风险统计项及修改建议,参数说明如表3所示。
查看经典弱口令检测
查看经典弱口令检测的风险统计及对应的处理建议。
- 登录管理控制台,进入企业主机安全页面。
- 在左侧导航树中,选择 ,进入基线检查页面。
- 选择“经典弱口令检测”页签,查看服务器中存在风险的弱口令账号的统计,参数说明如表4所示。
表4 经典弱口令检测参数说明 参数名称
参数说明
服务器名称/IP地址
被检测的服务器名称及IP地址。
账号名称
目标服务器中被检测出是弱口令的账号。
账号类型
账号的类型。
弱口令使用时长(单位:天)
目标弱口令使用的时间周期。
- 为保障您的主机安全,请您及时修改登录主机系统时使用弱口令的账号,如SSH账号。
- 为保障您主机内部数据信息的安全,请您及时修改使用弱口令的软件账号,如MySQL账号和FTP账号等。
验证:完成弱口令修复后,建议您立即执行手动检测,查看弱口令修复结果。如果您未进行手动验证,HSS会在次日凌晨执行自动验证。
- 口令设置建议:设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。
导出基线检查报告
- 不支持对单个云服务器执行导出。
- 单次最大导出告警数为5000条。