查看并处理基线检查结果
操作场景
当基线检查功能检测到并提示您服务器上存在的基线配置风险、弱口令以及口令复杂度策略风险时,请及时查看并处理基线配置风险为您的服务器进行安全加固。
当服务器配置了多条基线检查策略时,系统将仅展示最近一次执行的基线检查结果。
约束限制
仅企业主机安全企业版、旗舰版、网页防篡改版和容器版支持基线配置检查。
检测说明
Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,如果您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。
- 规则:old_passwords不能设置为 1
- 规则:secure_auth设置为1或ON
- 规则:禁止设置skip_secure_auth
- 规则:设置log_warnings为2
- 规则:配置MySQL binlog日志清理策略
- 规则:sql_mode参数包含NO_AUTO_CREATE_USER
- 规则:使用MySQL审计插件
查看基线检查概览信息
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在左侧导航树中,选择,进入基线检查页面。
- (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
- 在“基线检查”页面,查看检测数据的统计,选择不同页签,查看HSS检测到的您服务器上存在的配置风险,参数说明如表 基线检查概览所示。
如果您想查看不同的基线检查策略下服务器的检查数据统计,您可以通过切换“基线检查策略”进行查看。图1 基线检查
表1 基线检查概览 参数名称
参数说明
基线检查策略
选择要查看的基线策略检测的结果,所有可选择的基线检查策略均为已添加的基线检查策略,可进行自定义创建、编辑、删除。
检测主机数
已检测的主机总数。
已检测基线数
检测主机时执行的基线数。
主机配置已检查项
已检查主机配置项的总数。
主机配置基线通过率
按照基线检测主机配置通过的配置项占总检测项的占比,同时按照不同风险等级分别统计未通过的配置项总数。
主机配置风险TOP5
按照主机的维度统计存在配置风险的主机。
优先按照高危且风险总数最多的前5台主机进行排序,如果不存在高危,则依次为中危、低危。
主机弱口令检测统计
统计检测弱口令的主机总数,以及有弱口令、未开启检测、无弱口令检测的主机数。
主机弱口令风险TOP5
按照主机的维度统计存在弱口令风险最多的前5台主机。
基线配置风险
对所有存在配置风险的主机进行等级告警及风险信息统计。
口令复杂度策略风险
对所有主机存在口令复杂度策略不满足基线标准的进行统计。
经典弱口令风险
按照主机的维度对存在弱口令的主机及涉及的账号进行统计。
查看并处理基线配置风险
- 选择“基线配置风险”页签,查看所有服务器的基线风险,参数说明如表2所示。
图2 查看基线配置风险
- 单击列表中目标基线名称,查看目标基线描述、扫描主机总数以及所有检查项详情。
图3 查看基线检查详情
- 处理风险项。
- 忽略风险
忽略后的风险项,将一直展示在已忽略列表中,且企业主机安全在对服务器执行基线检查时,将不会再告警该项。
- 在目标检查项“操作”列单击“忽略”,忽略单条风险检查项。或者勾选多个目标检查项前的选框,单击上方出现的“忽略”按钮,进行批量忽略处理。
图4 忽略风险
- 在系统弹出的对话框中,单击“确认”,完成忽略。
您可以在检查项列表上方,选择“已忽略”,查看已忽略列表。
- 在目标检查项“操作”列单击“忽略”,忽略单条风险检查项。或者勾选多个目标检查项前的选框,单击上方出现的“忽略”按钮,进行批量忽略处理。
- 修复风险
- 单击目标风险项“操作”列的“检测详情”,查看检查项详情。
- 查看“审计描述”、“修改建议”和“受影响服务器”等信息,根据“修改建议”修复所有受影响服务器中的异常信息。
- 目前部分EulerOS基线和CentOS 8已支持一键修复,单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”,可直接修复检查项,部分检查项修复时需填写参数值,保持默认值即可。
- 建议您及时优先修复“威胁等级”为“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。
- 修复完成后,在“受影响服务器”页签,单击“验证”,验证受影响服务器的异常信息修复结果。
如果目标检查项已做修复处理,您可通过验证来更新目标检查项状态。验证限制如下:
- Windows暂不支持基线验证。
- 目标主机Agent状态必须为在线。
- 单次只能执行一条风险项验证,其他风险项需要等正在验证的风险项验证完成才能继续验证。
- Linux支持验证的基线:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、CentOS8、EulerOS、Debian9、Debian10、Debian11、Red Hat6、Red Hat7、Red Hat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Suse 12、Suse 15、HCE1.1、HCE2.0。
- 单击“确定”,开始验证。
- 返回检查项列表页面,查看目标风险项的状态。
“状态”变更为“验证中”,系统开始自动验证,验证结束后查看“状态”的变化。如果状态为修复失败,可单击“查看原因”查看修复失败的原因,排除问题后可再次进行修复。
- 加白风险
加白后的风险项,将一直展示在白名单管理列表中,且企业主机安全在对服务器执行基线检查时,不会检查该项。
- 在目标检查项“操作”列单击,加白单条风险检查项。或者勾选多个目标检查项前的选框,单击上方出现的“加白名单”按钮,进行批量加白处理。
图5 加白名单
- 在系统弹出的“加白名单”页面,确认要加白的服务器信息是否正确、确认是否勾选全局加白以及添加备注信息。
如果您想要加白的检查项全局生效,即所有服务器均不检测该检查项,可勾选全局加白。
- 单击“确定”,完成加白。
您可以返回基线检查界面,在右上方单击“基线白名单管理”,查看加白的检查项。管理白名单操作请参见管理基线白名单。
- 在目标检查项“操作”列单击,加白单条风险检查项。或者勾选多个目标检查项前的选框,单击上方出现的“加白名单”按钮,进行批量加白处理。
- 忽略风险
查看并处理口令复杂度策略风险
- 选择“口令复杂度策略风险”页签,查看口令复杂度策略检测的风险统计项及修改建议,参数说明如表3所示。
图6 查看口令复杂度策略风险
- 处理口令复杂度策略检测结果。
- 修改口令复杂度策略
- 根据检测结果中给出的“建议”,修改主机中的口令复杂度策略。
- 如需监测Linux主机中的口令复杂度策略,请先在主机中安装PAM(Pluggable Authentication Modules),详细操作请参见如何为Linux主机安装PAM?
- 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。
- 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。
- 修改完成后,单击“基线检查”页面上方的“手动检测”,查看修复结果。
如果您未进行手动验证,HSS会在次日凌晨执行自动验证。
- 根据检测结果中给出的“建议”,修改主机中的口令复杂度策略。
- 忽略口令复杂度策略检测结果
忽略后的检测结果可以在“已忽略”页签查看。
- 修改口令复杂度策略
查看并处理经典弱口令风险
- 选择“经典弱口令风险”页签,查看服务器中存在风险的弱口令账号的统计,参数说明如表4所示。
图9 查看经典弱口令风险
表4 经典弱口令风险参数说明 参数名称
参数说明
账号类型
账号的类型。
账号名称
目标服务器中被检测出是弱口令的账号。
脱敏弱口令
经过脱敏处理后展示的弱口令。以下是弱口令脱敏展示规则:
- “********”表示口令长度小于8。
- “***a****”表示口令只包含小写字母。
- “***B***”表示口令只包含大写字母。
- “**a**B**”表示口令只包含大小写字母。
- “**a**A***@**1**”表示口令为常见的弱口令。
弱口令使用时长(单位:天)
目标弱口令使用的时间周期。
服务器名称/ID
存在弱口令的服务器名称和ID。
IP地址
服务器的公网和私网IP地址。
最新检测时间
最近一次完成检测的时间。
建议
弱口令修改建议。您可以根据修改建议确认口令不安全的原因,并据此修改口令。
- 登录主机系统修改弱密码。
- 为保障您的主机安全,请您及时修改登录主机系统时使用弱口令的账号,如SSH账号。
- 为保障您主机内部数据信息的安全,请您及时修改使用弱口令的软件账号,如MySQL账号和FTP账号等。
- 口令设置建议:设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。
- 完成弱口令修改后,单击“基线检查”页面上方的“手动检测”,查看修复结果。
如果您未进行手动验证,HSS会在次日凌晨执行自动验证。
