执行基线检查

自动执行基线检查

主机安全服务默认每日凌晨01：00左右将自动进行一次全量服务器的配置检查和经典弱口令检测。

HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期，配置操作详情请参见配置检测。

HSS企业版、旗舰版、网页防篡改版、容器版可自定义弱口令的自动检测周期，配置操作详情请参见弱口令检测。

手动执行基线检查

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全服务”，进入主机安全平台界面。
3. 在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。
   

   如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

   图1 基线检查概览
   

4. （可选）新建手动基线检查策略。
   在手动执行基线检查策略之前，您需要为目标服务器新建一条手动基线检查策略；如果您已经为目标服务器新建了策略，可跳过此步骤。

   1. 单击页面右上角“策略管理”，进入策略列表页面。
   2. 单击“新建策略”，填写配置策略信息，参数说明如表 新建基线策略信息所示。
      鼠标滑动至基线名称右侧，单击“规则详情”，可以查看每个检查基线的详细信息。

      

      “操作系统”选择“Linux系统”时，所有“检测基线”项下的子基线支持自定义勾选检测规则检查项，Windows暂不支持。

      图2 新建基线策略
      

      表1 新建基线策略信息

      参数名称	参数说明	取值样例
      策略名称	自定义策略名称。	linux_web1_security_policy
      操作系统	选择基线检测的目标系统。 Linux Windows	Linux
      检测基线	自定义勾选支持的检测标准及类型，详情如下： Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master、HCE1.1、HCE2.0。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Red Hat6、Red Hat7、Red Hat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1。 通用安全标准：HCE1.1 说明： Linux系统的MySQL基线检测基于MySQL5安全配置规范指导，如果您主机上装有版本号为8的MySQL软件，以下检查项因已废弃不会出现在检测结果中，只在MySQL版本为5的服务器中呈现检测结果。 规则：old_passwords不能设置为 1 规则：secure_auth设置为1或ON 规则：禁止设置skip_secure_auth 规则：设置log_warnings为2 规则：配置MySQL binlog日志清理策略 规则：sql_mode参数包含NO_AUTO_CREATE_USER 规则：使用MySQL审计插件 Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019、SqlServer。	云安全实践：全选 等保合规：全选

   3. 确认填写信息无误，单击“下一步”，根据服务器名称、服务器ID、弹性公网IP地址或私有IP地址选择需要应用关联的服务器。

   4. 确认无误，单击“确认”，在策略管理页面新增1条基线策略。

5. 在基线检查页面左上方，选择目标“基线检查策略”。
   图3 选择目标基线策略
   

6. 单击页面右上角“手动检测”，执行检测。
7. 查看“基线检查策略”下方“最近检测时间”为当前检测时间时，表示检测完成。
   

   • 执行手动检测后，按钮状态变为检测中，如果检测时间超过30分钟，按钮会自动释放为可单击状态，此时仍需等待“最近检测时间”显示为当前检测时间才表示检测完成。
   • 检测结束后可参照查看并处理基线检查结果查看对应检查项结果及修改建议。