基线检查概述

配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置以及系统配置等进行检查，帮助用户识别不安全的配置项。

目前支持的检测标准及类型如下：

• Linux系统：
  • 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master、HCE1.1、HCE2.0。
  • 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Red Hat6、Red Hat7、Red Hat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1。
  • 通用安全标准：HCE1.1
  说明：

  Linux系统的MySQL基线检测基于MySQL5安全配置规范指导，如果您主机上装有版本号为8的MySQL软件，以下检查项因已废弃不会出现在检测结果中，只在MySQL版本为5的服务器中呈现检测结果。

  规则：old_passwords不能设置为 1

  规则：secure_auth设置为1或ON

  规则：禁止设置skip_secure_auth

  规则：设置log_warnings为2

  规则：配置MySQL binlog日志清理策略

  规则：sql_mode参数包含NO_AUTO_CREATE_USER

  规则：使用MySQL审计插件

• Windows系统：

  云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019、SqlServer。

• 自动执行基线检查
• 手动执行基线检查

企业版、旗舰版、网页防篡改版、容器版

口令复杂度策略检测

检测Linux系统账号的口令复杂度策略并给出修改建议，帮助用户提升口令安全性。

手动执行基线检查

所有版本

经典弱口令检测

通过与弱口令库对比，检测账号口令是否属于常用的弱口令，提示用户修改不安全的口令。

Linux支持MySQL、FTP、Redis及系统账号的弱口令检测，Windows支持系统账号的弱口令检测。

• 自动执行基线检查
• 手动执行基线检查

所有版本

1

执行基线检查

基线检查功能支持自动和手动基线检查：

• 自动执行基线检查：企业主机安全默认每日凌晨01：00左右将自动进行一次全量服务器的配置检查和经典弱口令检测。

  HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期，配置操作详情请参见配置检测。

  HSS企业版、旗舰版、网页防篡改版、容器版可自定义弱口令的自动检测周期，配置操作详情请参见弱口令检测。

• 手动执行基线检查：如需查看指定服务器的实时基线风险，您可以手动执行基线检查。

2

查看并处理基线检查结果

基线检查完成后，您需要尽快查看并根据HSS提供的修复建议对基线配置风险进行处理。