更新时间:2024-09-24 GMT+08:00

基线检查概述

基线检查包含口令复杂度策略检测、经典弱口令检测、配置检查,可检测主机中不安全的口令配置、关键软件中含有风险的配置信息,并针对所发现的风险为您提供修复建议,帮助您正确地处理服务器内的各种风险配置信息。

基线检查内容

检查项名称

检查详情说明

支持的检查方式

支持的HSS版本

配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置以及系统配置等进行检查,帮助用户识别不安全的配置项。

目前支持的检测标准及类型如下:

  • Linux系统:
    • 云安全实践:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master、HCE1.1、HCE2.0。
    • 等保合规:Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Red Hat6、Red Hat7、Red Hat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15、HCE1.1。
    • 通用安全标准:HCE1.1
    说明:

    Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,如果您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。

    规则:old_passwords不能设置为 1

    规则:secure_auth设置为1或ON

    规则:禁止设置skip_secure_auth

    规则:设置log_warnings为2

    规则:配置MySQL binlog日志清理策略

    规则:sql_mode参数包含NO_AUTO_CREATE_USER

    规则:使用MySQL审计插件

  • Windows系统:

    云安全实践:MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019、SqlServer。

  • 自动执行基线检查
  • 手动执行基线检查

企业版、旗舰版、网页防篡改版、容器版

口令复杂度策略检测

检测Linux系统账号的口令复杂度策略并给出修改建议,帮助用户提升口令安全性。

手动执行基线检查

所有版本

经典弱口令检测

通过与弱口令库对比,检测账号口令是否属于常用的弱口令,提示用户修改不安全的口令。

Linux支持MySQL、FTP、Redis及系统账号的弱口令检测,Windows支持系统账号的弱口令检测。

  • 自动执行基线检查
  • 手动执行基线检查

所有版本

使用流程

表1 使用流程

序号

操作项

说明

1

执行基线检查

基线检查功能支持自动和手动基线检查:

  • 自动执行基线检查:企业主机安全默认每日凌晨01:00左右将自动进行一次全量服务器的配置检查和经典弱口令检测。

    HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期,配置操作详情请参见配置检测

    HSS企业版、旗舰版、网页防篡改版、容器版可自定义弱口令的自动检测周期,配置操作详情请参见弱口令检测

  • 手动执行基线检查:如需查看指定服务器的实时基线风险,您可以手动执行基线检查。

2

查看并处理基线检查结果

基线检查完成后,您需要尽快查看并根据HSS提供的修复建议对基线配置风险进行处理。