文档首页/ 企业主机安全 HSS/ 用户指南/ 风险预防/ 基线检查/ 基线检查概述
更新时间:2025-09-08 GMT+08:00
查看PDF
分享

基线检查概述

什么是基线检查?

基线是指操作系统、数据库、中间件、应用应达到的推荐安全配置标准,包括权限配置、服务配置、网络配置、口令安全配置、等保合规配置等方面。

企业主机安全的基线检查提供口令复杂度策略检测、经典弱口令检测、配置检查功能,可检测不安全的口令配置和系统、关键软件中存在的配置类风险,并针对所发现的风险为用户提供修复建议,帮助用户正确的处理服务器内的各种风险配置。

基线检查内容

检查类型名称

检查详情说明

支持的HSS版本

基线配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置以及系统配置等进行检查,帮助用户识别不安全的配置项。

检查标准分为云安全实践、等保合规、通用安全标准:

  • 云安全实践:基于华为云多年云上安全实践经验,从账号管理、认证授权、口令策略、日志管理、服务管理、网络配置、补丁更新等方面进行检查系统和软件的安全性。
  • 等保合规:基于信息安全等级保护标准,对标权威机构测评要求,对系统、数据库等进行安全性检查。
  • 通用安全标准:基于国内外通用安全规范,从账号管理,口令策略,授权管理,服务管理,配置管理,网络管理,权限管理等多个角度检查系统和软件的安全性。

支持检测的系统、数据库、应用等包括:

  • Linux系统:
    • 云安全实践:Apache HTTP Server 2.4、Apache2、ClickHouse 21.8、CentOS 7、Docker、Docker18、EulerOS、Gauss、HCE 1.1、HCE 2.0、Kafka、MongoDB、MySQL 5.7、MySQL 5、Nginx、Nginx 1.17、openGauss、Redis、Redis 5.0、Redis 6.2、SSH、Tomcat、Tomcat 8、Tomcat 9、Zookeeper 3.6、Zookeeper 3.7、Kubernetes-Master、Kubernetes-Node。
    • 等保合规:Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS 7、CentOS 8、Debian 9、Debian 10、Debian 11、Redhat 6、Redhat 7、Redhat 8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1、EulerOS。
    • 通用安全标准:MySQL8-universal、HCE1.1-universal、Rocky8-universal、Rocky9-universal、AlmaLinux8-universal、OracleLinux6-universal、OracleLinux7-universal、Ubuntu22-universal、Ubuntu24-universal、Ubuntu20-universal、CentOS7-universal、CentOS8-universal、CentOS9-universal、SUSE15-universal、AliLinux2-universal、AliLinux3-universal。
    说明:

    Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,如果您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。

    • 规则:old_passwords不能设置为 1
    • 规则:secure_auth设置为1或ON
    • 规则:禁止设置skip_secure_auth
    • 规则:设置log_warnings为2
    • 规则:配置MySQL binlog日志清理策略
    • 规则:sql_mode参数包含NO_AUTO_CREATE_USER
    • 规则:使用MySQL审计插件
  • Windows系统:
    • 云安全实践:Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2016 R2、Windows Server 2019 R2、Tomcat、Redis、Nginx、MySQL5、MongoDB、Apache2。
    • 通用安全标准:Windows Server 2022 R2。

企业版、旗舰版、网页防篡改版、容器版

口令复杂度策略检测

口令复杂度策略指的是一种口令安全机制,用于规定用户设置的口令必须遵守的规则,以提升口令安全性,防止口令因复杂度过低而被暴力破解。

口令复杂度策略检测功能支持检测Linux系统账号的口令复杂度策略并给出修改建议,帮助用户提升口令安全性。

口令复杂度策略检测主要包括以下几个方面:

  • 口令长度:检测口令复杂度策略设定的口令长度限制是否达到安全标准。
  • 大写字母:检测口令复杂度策略设定的大写字母数量限制是否达到安全标准。
  • 小写字母:检测口令复杂策略中设定的小写字母数量限制是否达到安全标准。
  • 数字:检测口令复杂策略中设定的数字数量限制是否达到安全标准。
  • 特殊字符:检测口令复杂策略中设定的特殊字符数量限制是否达到安全标准。

自定义口令复杂度策略检测规则请参见自定义口令复杂度策略检测规则

所有版本

经典弱口令检测

弱口令指的是密码强度低,容易被攻击者破解的口令。

经典弱口令检测功能通过将口令与弱口令库进行比对,检测账号口令是否属于常用的弱口令,提示用户修改不安全的口令。

经典弱口令检测功能检测限制如下:

  • 支持检测的口令加密算法包括:SHA-256、SHA-512和Yescrypt
  • 支持检测的账号类型包括:
    • Linux:MySQL、Tomcat、Redis及系统账号
    • Windows:系统账号

自定义弱口令请参见自定义弱口令

所有版本

应用场景

  • 基线合规

    基线检查基于等保二级、等保三级以及国际通用合规安全标准对系统和软件进行合规检查,可以帮助企业建设符合相关法规和行业标准的信息系统。

  • 安全检查

    定期对主机、容器执行基线检查,可以及时发现并整改系统不合规配置,确保系统安全性,降低被入侵的风险。

使用流程

表1 使用流程

序号

操作项

说明

1

配置基线检查策略

服务器开启企业主机安全防护后,企业主机安全将根据默认策略在每日04:00~05:00自动对服务器执行基线检查。如果默认策略不满足您的实际业务需求,您可以修改默认策略,或者自定义创建基线检查策略。

2

执行基线检查

基线检查功能支持定时自动检查和单次手动检查两种检测方式。

  • 定时自动检查:根据默认策略或您配置的定时检查策略,定期自动执行基线检查。
  • 单次手动检查:如果您需要实时查看服务器的基线安全状况,可手动执行基线检查。

3

查看并处理基线检查结果

基线检查完成后,您需要尽快查看并根据HSS提供的修复建议对基线配置风险进行处理。
父主题: 基线检查