查看并处理基线检查结果
当基线检查功能检测到并提示您服务器上存在的基线配置风险时,请及时查看并处理基线配置风险为您的服务器进行安全加固。
约束限制
仅企业版、旗舰版、网页防篡改版和容器版支持配置检查。
检测说明
Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,如果您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。
- 规则:old_passwords不能设置为 1
- 规则:secure_auth设置为1或ON
- 规则:禁止设置skip_secure_auth
- 规则:设置log_warnings为2
- 规则:配置MySQL binlog日志清理策略
- 规则:sql_mode参数包含NO_AUTO_CREATE_USER
- 规则:使用MySQL审计插件
查看基线检查概览信息
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航树中,选择
,进入基线检查页面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 在“基线检查”页面,查看检测数据的统计,选择不同页签,查看HSS检测到的您服务器上存在的配置风险,参数说明如表 基线检查概览所示。
如果您想查看不同的手动基线检查策略下服务器的检查数据统计,您可以通过切换“基线检查策略”进行查看。图1 基线检查概览
表1 基线检查概览 参数名称
参数说明
基线检查策略
选择要查看的基线策略检测的结果,所有可选择的基线检查策略均为已添加的基线检查策略,可进行自定义创建、编辑、删除。
检测主机数
已检测的主机总数。
检测基线数
检测主机时执行的基线数。
主机配置检查项
已检查主机配置项的总数。
主机配置基线通过率
按照基线检测主机配置通过的配置项占总检测项的占比,同时按照不同风险等级分别统计未通过的配置项总数。
主机配置风险TOP5
按照主机的维度统计存在配置风险的主机。
优先按照高危且风险总数最多的前5台主机进行排序,如果不存在高危,则依次为中危、低危。
主机弱口令检测统计
统计检测弱口令的主机总数,以及有弱口令、未开启检测、无弱口令检测的主机数。
主机弱口令风险TOP5
按照主机的维度统计存在弱口令风险最多的前5台主机。
配置检查
对所有存在配置风险的主机进行等级告警及风险信息统计。
口令复杂度策略检测
对所有主机存在口令复杂度不满足基线标准的进行统计。
经典弱口令检测
按照主机的维度对存在弱口令的主机及涉及的账号进行统计。
查看并处理配置检查结果
- 选择“配置检查”页签,查看所有服务器的配置检查风险项,参数说明如表2所示。
图2 查看配置检查统计
- 单击列表中目标基线名称,查看目标基线描述、受影响服务器以及所有检查项详情。
图3 查看基线检查详情
- 处理风险项。
- 忽略风险
在目标检查项“操作”列单击“忽略”,忽略单条风险检查项。或勾选多个目标检查项前的选框,单击上方出现的“忽略”按钮,进行批量忽略处理。
图4 忽略风险
- 修复风险
- 单击目标风险项“操作”列的“检查详情”,查看检查项详情。
- 查看“审计描述”、“修改建议”和“受影响服务器”等信息,根据“修改建议”修复所有受影响服务器中的异常信息。
- 目前部分EulerOS基线和CentOS 8已支持一键修复,单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”,可直接修复检查项,部分检查项修复时需填写参数值,保持默认值即可。
- 建议您及时优先修复“威胁等级”为“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。
- 修复完成后,在“受影响服务器”页签,单击“验证”,验证受影响服务器的异常信息修复结果。
如果目标检查项已做修复处理,您可通过验证来更新目标检查项状态。
- Windows暂不支持基线验证。
- 目标主机Agent状态必须为在线。
- 单次只能执行一条风险项验证,其他风险项需要等正在验证的风险项验证完成才能继续验证。
- Linux支持验证的基线:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS6、CentOS7、CentOS8、EulerOS、Debian9、Debian10、Debian11、Red Hat6、Red Hat7、Red Hat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Suse 12、Suse 15、HCE1.1、HCE2.0。
- 单击“确认”,开始验证。
- 返回检查项列表页面,查看目标风险项的状态。
“状态”变更为“验证中”,系统开始自动验证,验证结束后查看“状态”的变化。如果状态为修复失败,可单击“查看原因”查看修复失败的原因,排除问题后可再次进行修复。
- 忽略风险
查看并处理口令复杂度策略检测结果
- 选择“口令复杂度策略检测”页签,查看口令复杂度策略检测的风险统计项及修改建议,参数说明如表3所示。
图5 查看口令复杂度策略检测统计
- 根据建议,修改主机中的口令复杂度策略。
- 如需监测Linux主机中的口令复杂度策略,请先在主机中安装PAM(Pluggable Authentication Modules),详细操作请参见如何为Linux主机安装PAM?
- 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。
- 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。
- 完成口令复杂度策略修改后,单击“基线检查”页面上方的“手动检测”,查看修复结果。
如果您未进行手动验证,HSS会在次日凌晨执行自动验证。
查看并处理经典弱口令检测结果
- 选择“经典弱口令检测”页签,查看服务器中存在风险的弱口令账号的统计,参数说明如表 经典弱口令检测参数说明所示。
图6 查看经典弱口令检测
- 登录主机系统修改弱密码。
- 为保障您的主机安全,请您及时修改登录主机系统时使用弱口令的账号,如SSH账号。
- 为保障您主机内部数据信息的安全,请您及时修改使用弱口令的软件账号,如MySQL账号和FTP账号等。
- 口令设置建议:设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。
- 完成弱口令修改后,单击“基线检查”页面上方的“手动检测”,查看修复结果。
如果您未进行手动验证,HSS会在次日凌晨执行自动验证。