基线风险检查

更新时间:
复制 MD 格式

当需要满足等保合规要求、排查系统配置风险或检测弱口令时,可使用基线风险检查功能对服务器操作系统、数据库、中间件和容器的配置进行安全检测。本文介绍该功能的基本信息、使用方法和常见风险项的修复方案。

版本和计费说明

云安全中心付费版支持使用基线风险检查功能。

版本

使用说明

计费说明

防病毒版和仅采购增值服务

若想使用基线风险检查的全部功能,需要开通付费版云安全态势管理功能,使用检查项需要消耗云安全态势管理的授权数。

若开通付费版云安全态势管理,计费详情,请参见云安全态势管理付费使用说明

高级版和企业版

  • 高级版仅支持使用弱口令检查项。

  • 企业版不支持容器安全检查项。

  • 若需要使用基线风险检查功能的全部检查项,需要升级到旗舰版。

无需额外付费。

旗舰版

支持基线风险检查功能的全部检查项。

无需额外付费。

功能优势

  • 等保合规

    支持等保二级、等保三级和国际通用安全最佳实践基线,满足多种合规监管需求。

  • 检测全面

    支持弱口令、未授权访问、已知不安全配置和配置红线巡检,覆盖 30 多种系统版本、20 多种数据库及中间件。

  • 灵活配置

    支持自定义安全策略、检测周期和检测范围,满足不同业务的安全配置需求。

  • 详细修复方案

    检查项提供修复建议,支持一键修复,以快速完成基线加固并满足等保要求。

使用流程

image
  1. 开通功能:购买企业版或旗舰版,或开通付费版云安全态势管理功能,即可使用全部检查项。详见开通基线风险检查功能

  2. 安装客户端:在服务器上安装云安全中心客户端,控制台将每分钟自动同步资产信息。安装步骤参见安装客户端。如需检查非阿里云服务器,需先将资产接入云安全中心,方法参见多云资产接入

  3. 配置检查策略:默认策略仅包含部分基线类型,可根据业务需求配置更多检查项和策略。详见设置检查策略

  4. 执行检查:选择策略并手动执行,或等待系统按策略周期自动扫描。详见执行基线检查策略

  5. 查看结果:在控制台查看扫描出的风险检查项、风险资产和修复建议。详见查看基线检查结果及风险加固建议

  6. 修复验证:根据修复建议修复风险并完成验证,确认检查项结果为已通过。详见处理未通过的基线风险检查项

功能说明

基线检查功能通过配置不同的检查策略,对服务器进行批量扫描,发现系统、账号权限、数据库、弱口令、等保合规配置等风险点,并提供修复建议和一键修复功能。检查内容详情参见基线检查内容

基本概念

名词

说明

基线

基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。

弱口令

弱口令指容易被猜测或爆破的口令,通常包括:长度小于 8 位或者字符类型少于 3 类的简单口令,以及网上公开的或者恶意软件中的黑客字典。弱口令容易被破解,如果被攻击者获取,可用来直接登录系统,读取甚至修改网站代码,使用弱口令将使得系统及服务面临极大的风险。

基线策略

策略是基线检查规则的集合,是执行基线检测的基本单位。云安全中心提供三种策略类型:默认策略、标准策略和自定义策略。

策略类型

支持的基线检查项类型

应用场景

默认策略

支持以下基线类型:

  • Windows 基线:未授权访问、最佳安全实践、弱口令等。

  • Linux 基线:未授权访问、容器安全、最佳安全实践、弱口令等。

系统默认执行的基线检查策略,仅支持编辑检查时间和生效服务器。购买高级版、企业版或旗舰版后,系统会每隔一天在 00:00~06:00(或您修改后的时间)检查一次您阿里云账号下的所有资产。

标准策略

支持以下基线类型:

  • Windows 基线:未授权访问、等保合规、最佳安全实践、基础防护安全实践、国际通用安全最佳实践、弱口令等。

  • Linux 基线:未授权访问、等保合规、最佳安全实践、容器安全、国际通用安全最佳实践、弱口令等。

相比默认策略,增加了等保合规、国际通用安全最佳实践等检查类型,且支持编辑所有策略配置项。

可根据业务场景自行配置基线检查策略。

自定义策略

支持以下操作系统自定义基线类型:

  • Windows 基线:Windows 自定义基线

  • Linux 基线:CentOS Linux 7/8 自定义基线、CentOS Linux 6 自定义基线、Ubuntu 自定义安全基线检查、Redhat7/8 自定义安全基线检查。

用于检查资产在操作系统自定义基线配置上是否存在风险。

可自定义配置检查项并修改部分基线参数,使检查策略更贴合业务场景。

支持的服务器

云安全中心支持对已安装客户端且状态正常的服务器进行基线检查。可在设置策略时,通过服务器分组选择生效范围。服务器接入方法参见安装客户端管理服务器

风险等级

云安全中心根据风险类型的危害程度和应用场景进行分级。

风险等级

基线分类

说明

修复

高危

  • 弱口令

  • 未授权

该基线风险类型存在入侵风险,属于高危风险。

需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。

  • 最佳安全实践

  • 容器安全

虽然不存在入侵风险,但属于配置红线巡检,归属高风险等级。

重要安全加固项,建议及时修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。

自定义基线

属于客户自身安全事件,属于配置红线巡检,归属高风险等级。

用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。

中危

  • 等保合规

  • 国际通用安全最佳实践

合规风险依据是否有合规需要进行检查和修复,不存在入侵风险,也不属于配置红线巡检,归属为中风险等级。

基于业务是否有合规需要进行修复。

修复方式

云安全中心为存在风险的检查项提供修复建议,用于加固系统安全。

  • 手动修复:登录存在风险的服务器,修改对应配置后,在云安全中心单击验证

  • 一键修复:云安全中心支持一键修复部分基线检查项。通过检查项对应风险项面板是否显示修复按钮判断是否支持。详见修复风险项

基线检查内容

基线分类说明

基线分类

检查标准及检查内容

覆盖的系统和服务

修复紧急度说明

弱口令

使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。

说明

弱口令检测通过读取 HASH 值与弱口令字典计算的 HASH 值进行对比来检查是否存在弱口令。如需避免读取 HASH 值,可从基线检查策略中移除弱口令基线。

  • 操作系统

    Linux、Windows

  • 数据库

    MySQL、Redis、SQL Server、MongoDB、PostgreSQL、Oracle

  • 应用

    Tomcat、FTP、Rsync、SVN、Activemq、RabbitMQ、OpenVpn、Jboss6/7、Jenkins、Openldap、VncServer、pptpd

需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。

未授权访问

未授权访问基线。检测服务是否存在未授权访问风险,防止被入侵或数据泄露。

Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql

最佳安全实践

阿里云标准

基于阿里云最佳安全实践标准,检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。

  • 操作系统

    • CentOS 6、7、8

    • Redhat 6、7、8

    • Ubuntu 14、16、18、20

    • Debian 8、9、10、11、12

    • Alibaba Cloud Linux 2、3

    • Windows Server 2022R、2012R2、2016、2019、2008R2

    • Rocky Linux 8

    • Alma Linux 8

    • SUSE Linux 15

    • Anolis 8

    • 麒麟

    • UOS

    • TencentOS

  • 数据库

    MySQL、Redis、MongoDB、SQL server、Oracle 11g、CouchDB、Influxdb、PostgreSql

  • 应用

    Tomcat、IIS、Nginx、Apache、Windows SMB、RabbitMQ、Activemq、ElasticSearch、Jenkins Hadoop、Jboss6/7、Tomcat

重要安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。

容器安全

阿里云标准

基于阿里云容器最佳安全实践,检查 Kubernetes Master 和 Node 节点配置风险。

  • Docker

  • Kubernetes 集群

等保合规

等保二级、三级合规

基于服务器安全等保基线,对标权威测评机构安全计算环境测评标准和要求。

  • 操作系统

    • CentOS 6、7、8

    • Redhat 6、7、8

    • Ubuntu 14、16、18、20

    • SUSE 10、11、12、15

    • Debian 8、9、10、11、12

    • Alibaba Cloud Linux 2、3

    • Windows Server 2022R、2012R2、2016、2019、2008R2

    • Anolis 8

    • 麒麟

    • UOS

  • 数据库

    Redis、MongoDB、PostgreSql、Oracle、MySql、SQL Server、Informix

  • 应用

    Websphere Application Server、Jboss6/7、Nginx、Weblogic、Bind、IIS

基于业务是否有合规需要进行修复。

国际通用安全最佳实践

基于国际通用安全最佳实践的操作系统安全基线检查。

  • CentOS 6、7、8

  • Ubuntu 14、16、18、20

  • Alibaba Cloud Linux 2

  • Windows Server 2022R2、2012R2、2016、2019、2008R2

基于业务是否有合规需要进行修复。

自定义基线

支持 CentOS Linux 7 自定义基线,可对基线检查策略中的检查项进行编辑,自定义安全加固项。

CentOS 7、CentOS 6、Windows Server 2022R2、2012R2、2016、2019、2008R2

用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。

基线检查项目

下表列出云安全中心提供的基线检查项目。

Windows基线

基线分类

基线名称

基线描述

包含的检查项的数量

基础防护安全实践

SQL Server风险权限检查

SQL Server风险权限检查。

1

IIS风险权限检查

IIS风险权限检查。

1

国际通用安全最佳实践

Windows Server 2008 R2国际通用安全最佳实践基线

适用于有专业安全水准的企业用户,可根据业务场景和安全需求针对性地对系统进行安全加固。

274

Windows Server 2012 R2国际通用安全最佳实践基线

275

Windows Server 2016/2019 R2国际通用安全最佳实践基线

275

Windows Server 2022 R2国际通用安全最佳实践基线

262

未授权访问

未授权访问-Redis未授权访问高危风险(Windows版)

Redis未授权访问高危风险基线。

1

未授权访问-LDAP未授权访问高危风险(Windows环境)

LDAP未授权访问高危风险基线。

1

等保合规

等保三级-Windows 2008 R2合规基线

Windows 2008 R2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Windows 2012 R2合规基线

Windows 2012 R2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Windows 2016/2019合规基线

Windows 2016/2019 R2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-SQL Server合规基线

SQL Server等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

4

等保三级-IIS合规基线

Oracle等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

5

等保二级-Windows 2008 R2合规基线

Windows 2008 R2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

12

等保二级-Windows 2012 R2合规基线

Windows 2012 R2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

12

等保二级-Windows 2016/2019合规基线

Windows 2016/2019 R2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

12

弱口令

弱口令-Windows系统登录弱口令检查

弱口令检测基线。

1

弱口令-Mysql数据库登录弱口令检查(Windows版)

WindowsMySQL数据库登录账号弱口令检测基线。

1

弱口令-SQL Server数据库登录弱口令检查

Microsoft SQL Server数据库登录账号弱口令检测基线。

1

弱口令-Redis数据库登录弱口令检查(Windows版)

Redis数据库登录弱口令检测基线。

1

最佳安全实践

阿里云标准-Windows 2008 R2安全基线检查

阿里云Windows 2008 R2基线标准。

12

阿里云标准-Windows 2012 R2安全基线检查

阿里云Windows 2012 R2基线检查。

12

阿里云标准-Windows 2016/2019安全基线检查

阿里云Windows Server 2016、Windows Server 2019基线检查。

12

阿里云标准-Windows Server 2022 安全基线检查

阿里云 Windows Server 2022 基线标准。

12

阿里云标准-Redis安全基线检查(Windows版)

阿里云Redis(Windows版)基线标准。

6

阿里云标准-SQL server安全基线检查

阿里云SQL Server 2012安全基线检查。

17

阿里云标准-IIS 8安全基线检查

阿里云Internet Information Services 8基线标准。

8

阿里云标准-Apache Tomcat安全基线检查(windows环境)

参考国际通用安全最佳实践及阿里云基线标准进行中间件层面基线检测。

8

阿里云标准-Windows SMB安全基线检查

阿里云Windows SMB基线标准。

2

自定义策略

Windows自定义基线

全量Windows自定义基线模板,可通过模板选择检查项及配置检查项参数,满足自定义基线需要。

63

Linux基线

基线分类

基线名称

基线描述

包含的检查项的数量

国际通用安全最佳实践

Alibaba Cloud Linux 2/3国际通用安全最佳实践基线

国际通用安全最佳实践基线适用于具有专业安全水准的企业用户,可以根据业务场景和安全需求,从国际通用安全最佳实践基线提供的丰富的检查项规则中依据业务场景和安全需求针对性的对系统进行安全加固。

176

Rocky 8国际通用安全最佳实践基线

161

CentOS Linux 6国际通用安全最佳实践基线

194

CentOS Linux 7国际通用安全最佳实践基线

195

CentOS Linux 8国际通用安全最佳实践基线

162

Debian Linux 8国际通用安全最佳实践基线

155

Ubuntu 14国际通用安全最佳实践基线

175

Ubuntu 16/18/20国际通用安全最佳实践基线

174

Ubuntu 22国际通用安全最佳实践基线

148

未授权访问

Influxdb未授权访问高危风险

Influxdb未授权访问高危风险基线。

1

Redis未授权访问高危风险

Redis未授权访问高危风险基线。

1

Jboss未授权访问高危风险

Jboss未授权访问高危风险基线。

1

ActiveMQ未授权访问高危风险

ActiveMQ未授权访问高危风险基线。

1

RabbitMQ未授权访问高危风险

RabbitMQ未授权访问高危风险基线。

1

openLDAP未授权访问高危风险(Linux环境)

openLDAP未授权访问漏洞基线。

1

Rsync未授权访问高危风险

Rsync未授权访问漏洞基线。

1

Mongodb未授权访问高危风险

Mongodb未授权访问高危风险基线。

1

PostgreSQL未授权访问高危风险基线

PostgreSQL未授权访问高危风险基线。

1

Jenkins未授权访问高危风险

Jenkins未授权访问高危风险基线。

1

Hadoop未授权访问高危风险

Hadoop未授权访问高危风险基线。

1

CouchDB未授权访问高危风险

CouchDB未授权访问高危风险利用基线。

1

ZooKeeper未授权访问高危风险

ZooKeeper未授权访问高危风险基线。

1

Memcached未授权访问高危风险

Memcached未授权访问高危风险基线。

1

Elasticsearch未授权访问高危风险

Elasticsearch未授权访问高危风险基线。

1

等保合规

等保三级-SUSE 15合规基线

SUSE 15等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

18

等保三级-Alibaba Cloud Linux 3合规基线

Alibaba Cloud Linux 3等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Alibaba Cloud Linux 2合规基线检查

Alibaba Cloud Linux 2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Bind合规基线

Bind等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

4

等保三级-CentOS Linux 6合规基线

CentOS Linux 6等保合规基线检查,支持中国等保2.0三级等保标准,对标权威测评机构的安全计算环境测评标准和要求。

19

等保三级-CentOS Linux 7合规基线

CentOS Linux 7等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-CentOS Linux 8合规基线

CentOS Linux 8等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Informix合规基线

Informix等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

6

等保三级-Jboss6/7合规基线

Jboss6/7等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

5

等保三级-MongoDB合规基线

MongoDB等保合规基线检查,支持中国等保2.0三级等保标准,对标权威测评机构的安全计算环境测评标准和要求。

6

等保三级-MySQL合规基线

MySQL等保合规基线检查,支持中国等保2.0三级等保标准,对标权威测评机构的安全计算环境测评标准和要求。

5

等保三级-Nginx合规基线

Nginx等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

3

等保三级-Oracle合规基线

Oracle等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

12

等保三级-PostgreSQL合规基线

PostgreSQL等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

4

等保三级-Redhat Linux 6合规基线

Redhat Linux 6等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Redhat Linux 7合规基线

Redhat Linux 7等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Redis合规基线

Redis等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

4

等保三级-SUSE 10合规基线

SUSE 10等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-SUSE 12合规基线

SUSE 12等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-SUSE 11合规基线

SUSE 11等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Ubuntu 14合规基线

Ubuntu14等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Ubuntu 16/18/20合规基线

Ubuntu16/18/20等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Ubuntu 22合规基线

Ubuntu 22等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Websphere Application Server合规基线

Websphere Application Server等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

7

等保三级-TongWeb合规基线

TongWeb等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

4

等保三级-Weblogic合规基线

Weblogic等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

5

等保二级-Alibaba Cloud Linux 2合规基线

Alibaba Cloud Linux 2等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

15

等保二级-CentOS Linux 6合规基线

CentOS Linux 6等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

15

等保二级-CentOS Linux 7合规基线

CentOS Linux 7等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

15

等保二级-Debian Linux 8合规基线

Debian Linux 8等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

12

等保二级-Redhat Linux 7合规基线

Redhat Linux 7等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

15

等保二级-Ubuntu16/18合规基线

Ubuntu16/18等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Debian Linux 8/9/10/11/12合规基线

Debian Linux 8/9/10/11/12等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-麒麟合规基线

麒麟等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Uos合规基线

Uos等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

等保三级-Anolis 8合规基线

Anolis 8等保合规基线检查,对标权威测评机构安全计算环境测评标准和要求。

19

弱口令

Zabbix登录弱口令检查

Zabbix登录弱口令检测基线。

1

ElasticSearch服务登录弱口令检查

ElasticSearch服务器登录弱口令检测基线。

1

Activemq登录弱口令检查

Activemq登录弱口令检查。

1

RabbitMQ登录弱口令检查

RabbitMQ登录弱口令检查

1

Linux系统OpenVpn弱口令检测

检测Linux系统OpenVPN账号常见弱口令。

1

Jboss6/7登录弱口令检查

Jboss6/7登录弱口令检测基线。

1

Jenkins登录弱口令检查

弱口令检测基线。

1

Proftpd登录弱口令检查

弱口令检测基线。

1

Weblogic 12c登录弱口令检测

检查Weblogic 12c用户是否存在弱口令风险。

1

Openldap登录弱口令检查

Openldap登录账号弱口令检测基线。

1

VncServer弱口令检查

检测Vnc服务端登录账号常见弱口令。

1

pptpd服务登录弱口令检查

pptp服务器登录弱口令检测基线。

1

Oracle登录弱口令检测

检查Oracle数据库用户是否存在弱口令风险。

1

SVN服务登录弱口令检查

SVN服务器登录弱口令检测基线

1

Rsync服务登录弱口令检查

Rsync服务器登录弱口令检测基线

1

MongoDB登录弱口令检测

检查MongoDB服务是否存在弱口令风险,支持3.X4.X版本。

1

PostgreSQL数据库登录弱口令检查

PostgreSQL数据库登录账号弱口令检测基线。

1

Apache Tomcat控制台弱口令检查

Apache Tomcat控制台登录弱口令检查,支持Tomcat 7/8/9版本。

1

FTP登录弱口令检查

检查FTP服务是否存在登录弱口令和匿名登录。

1

Redis数据库登录弱口令检查

Redis数据库登录弱口令检测基线。

1

Linux系统登录弱口令检查

弱口令检测基线。

1

MySQL数据库登录弱口令检查(不支持8.x版本)

弱口令检测基线。

1

MongoDB登录弱口令检测(支持2.X版本)

检查MongoDB服务是否存在弱口令用户。

1

容器安全

未授权访问-Redis容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问Redis服务。

1

未授权访问-MongoDB容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问MongoDB。

1

未授权访问-Jboss容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问Jboss服务。

1

未授权访问-ActiveMQ容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问ActiveMQ服务。

1

未授权访问-Rsync容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问Rsync服务。

1

未授权访问-Memcached容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问Memcached服务。

1

未授权访问-RabbitMQ容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问RabbitMQ服务。

1

未授权访问-ES容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问Elasticsearch服务。

1

未授权访问-Jenkins容器运行时未授权访问风险

在容器运行时通过尝试连接或读取配置文件,检测是否可以未经授权访问Jenkins服务。

1

Kubernetes (ACK) Master国际通用安全最佳实践

适用于有专业安全水准的企业用户,可根据业务场景和安全需求针对性地对系统进行安全加固。

52

Kubernetes (ACK) Node国际通用安全最佳实践

9

弱口令-Proftpd容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查ProFTPD容器运行时是否使用弱口令。

1

弱口令-Redis容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查Redis容器运行时是否使用弱口令。

1

弱口令-MongoDB容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查MongoDB容器运行时是否使用弱口令。

1

弱口令-Jboss容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查Jboss容器运行时是否使用弱口令。

1

弱口令-ActiveMQ容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查ActiveMQ容器运行时是否使用弱口令。

1

弱口令-Rsync容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查Rsync容器运行时是否使用弱口令。

1

弱口令-SVN容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查SVN容器运行时是否使用弱口令。

1

弱口令-ES容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查Elasticsearch容器运行时是否使用弱口令。

1

弱口令-MySQL容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查MySQL服务在容器运行时是否使用弱口令。

1

弱口令-Tomcat容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查Tomcat容器运行时是否使用弱口令。

1

弱口令-Jenkins容器运行时弱口令风险

通过读取配置文件获取认证信息,结合弱口令字典尝试本地连接,检查Jenkins容器运行时是否使用弱口令。

1

阿里云标准-Docker容器组件安全基线

阿里云Docker容器基线标准。

8

阿里云标准-Kubernetes-Node安全基线检查

阿里云K8s基线检测。

7

阿里云标准-Kubernetes-Master安全基线检查

阿里云K8s基线检测。

18

阿里云标准-Docker主机安全基线检查

阿里云Docker主机基线标准。

10

Docker未授权访问高危风险

Docker未授权访问高危风险基线。

1

Kubernetes-Apiserver未授权访问高危风险

Kubernetes-apiserver未授权访问高危风险基线。

1

Kubernetes(K8s) Pod国际通用安全最佳实践

Kubernetes(K8s)Pod 节点安全基线标准。

12

Kubernetes(ACK) Pod国际通用安全最佳实践

Kubernetes(ACK)Pod 节点安全基线标准。

7

Kubernetes(ECI) Pod国际通用安全最佳实践

Kubernetes(ECI)Pod 节点安全基线标准。

2

Kubernetes(K8s) Master国际通用安全最佳实践

Kubernetes(K8s)Master 节点安全基线标准。

55

Kubernetes(K8s)安全策略-国际通用安全最佳实践

Kubernetes(K8s)节点安全基线标准。

34

Kubernetes(K8s) Worker国际通用安全最佳实践

Kubernetes(K8s)Worker 节点安全基线标准。

16

Dockerd容器-国际通用安全最佳实践基线

适用于有专业安全水准的企业用户,可根据业务场景和安全需求针对性地对系统进行安全加固。

91

Dockerd主机-国际通用安全最佳实践基线

25

Containerd容器-国际通用安全最佳实践

25

Containerd主机-国际通用安全最佳实践

22

最佳安全实践

阿里云标准-Alibaba Cloud Linux 2/3安全基线

阿里云Alibaba Cloud Linux 2/3基线标准。

16

阿里云标准-CentOS Linux 6安全基线检查

阿里云CentOS Linux 6基线标准。

15

阿里云标准-CentOS Linux 7/8安全基线检查

阿里云CentOS Linux 7/8基线标准。

15

阿里云标准-Debian Linux 8/9/10/11/12安全基线检查

阿里云Debian Linux 8/9/10/11/12基线检查标准。

15

阿里云标准-Redhat Linux 6安全基线检查

阿里云Redhat Linux 6基线标准。

15

阿里云标准-Redhat Linux 7/8安全基线检查

阿里云Redhat Linux 7/8基线标准。

15

阿里云标准-Ubuntu安全基线检查

阿里云Ubuntu基线检查。

15

阿里云标准-Memcached安全基线检查

阿里云Memcache基线标准。

5

阿里云标准-MongoDB安全基线检查(支持3.X版本)

阿里云MongoDB基线标准。

9

阿里云标准-MySQL安全基线检查

阿里云MySQL基线标准,支持版本:MySQL5.1~MySQL5.7。

12

阿里云标准-Oracle安全基线检查

阿里云Oracle 11g基线标准。

14

阿里云标准-PostgreSQL安全基线检查

阿里云PostgreSQL基线标准。

11

阿里云标准-Redis安全基线检查

阿里云Redis基线标准。

7

阿里云标准-Anolis 7/8安全基线检查

阿里云Anolis 7/8基线标准。

16

阿里云标准-Apache安全基线检查

参考国际通用安全最佳实践及阿里云基线标准进行中间件层面基线检测。

19

阿里云标准-CouchDB安全基线检查

阿里云标准-CouchDB安全基线检查。

5

阿里云标准-ElasticSearch安全基线检查

阿里云ElasticSearch基线标准。

3

阿里云标准-Hadoop安全基线检查

阿里云Hadoop安全基线检查。

3

阿里云标准-Influxdb安全基线检查

阿里云Influxdb基线标准。

5

阿里云标准-Jboss6/7安全基线检查

阿里云Jboss6/7安全基线检查。

11

阿里云标准-Kibana安全基线检查

阿里云Kibana基线标准。

4

阿里云标准-麒麟安全基线检查

阿里云标准-麒麟安全基线检查。

15

阿里云标准-Activemq安全基线检查

阿里云Activemq安全基线检查。

7

阿里云标准-Jenkins安全基线检查

阿里云Jenkins基线标准。

6

阿里云标准-RabbitMQ安全基线检查

阿里云RabbitMQ安全基线检查。

4

阿里云标准-Nginx安全基线检查

阿里云Nginx基线检测。

13

阿里云标准-SUSE Linux 15安全基线检查

阿里云SUSE Linux 15基线标准。

15

阿里云标准-Uos安全基线检查

阿里云Uos基线标准。

15

阿里云标准-Zabbix安全基线检查

阿里云Zabbix安全基线检查。

6

阿里云标准-Apache Tomcat安全基线检查

参考国际通用安全最佳实践及阿里云基线标准进行中间件层面的基线检测。

13

平安普惠标准-CentOS Linux 7安全基线检查

基于平安普惠的CentOS Linux 7基线标准。

31

平安普惠风险监控

基于平安普惠的风险监控基线标准。

7

阿里云标准-SVN安全基线检查

阿里云SVN基线标准。

2

阿里云标准-Alma Linux 8安全基线检查

阿里云Alma Linux 8基线标准。

16

阿里云标准-Rocky Linux 8安全基线检查

阿里云Rocky Linux 8基线标准。

16

阿里云标准-TencentOS安全基线检查

阿里云TencentOS基线标准。

16

自定义策略

CentOS Linux 7/8自定义安全基线检查

全量CentOS Linux 7/8自定义基线模板,可通过模板选择检查项及配置检查项参数,满足自定义基线需要。

53

CentOS Linux 6自定义基线

全量CentOS Linux 6自定义基线模板,可通过模板选择检查项及配置检查项参数,满足自定义基线需要。

47

Ubuntu自定义安全基线检查

阿里云Ubuntu 14/16/18/20自定义基线标准。

62

Redhat7/8自定义安全基线检查

Redhat7/8自定义安全基线检查。

53

密码安全最佳实践

基线检查功能可检测弱口令风险,发现弱口令后,可参考以下最佳实践配置密码复杂度策略,以提升服务器安全水位。

密码复杂度要求

安全的密码应满足以下要求:

  • 长度至少为8位字符,建议12位以上。

  • 包含至少三种字符类型:大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符(如!@#$%^&*)。

  • 避免使用用户名、生日、手机号等个人信息作为密码,避免使用常见字典密码(如admin123、password等)。

  • 不同系统和服务使用不同的密码,避免多处复用同一密码。

Linux 系统密码策略配置

Linux系统中,可以通过修改PAM(Pluggable Authentication Modules)配置来设置密码复杂度策略:

  1. 编辑PAM密码配置。以CentOS/RedHat为例,编辑/etc/security/pwquality.conf文件,或使用authconfig命令:

    authconfig --passminlen=8 --passminclass=3 --update

  2. 配置密码过期策略,编辑/etc/login.defs文件,设置以下参数:

    • PASS_MAX_DAYS:密码最长使用天数,建议90天。

    • PASS_MIN_DAYS:密码修改最小间隔天数,建议0天。

    • PASS_WARN_AGE:密码过期前警告天数,建议7天。

  3. 修改密码可使用passwd命令:

    passwd 用户名

说明

不同Linux发行版的PAM配置方式可能有所不同,请根据实际情况调整。修改密码策略前请确认不会影响现有业务的正常运行。

Windows 系统密码策略配置

Windows系统中,可以通过本地安全策略或组策略配置密码复杂度:

  1. 打开本地安全策略(运行secpol.msc)。

  2. 导航至账户策略 > 密码策略

  3. 配置以下策略项:

    • 密码必须符合复杂性要求:设置为已启用

    • 密码长度最小值:建议设置为8个字符或更多。

    • 密码最长使用期限:建议设置为90天。

    • 密码最短使用期限:建议设置为0天。

    • 强制密码历史:建议设置为5个或更多,防止用户重复使用旧密码。

说明

如果服务器已加入域,则密码策略由域控制器统一管理,需在域控制器上配置组策略(GPO)。

通用安全建议

  • 定期修改服务器密码和各类服务密码,降低密码泄露带来的风险。

  • 对于SSH远程登录,建议优先使用密钥认证替代密码认证。

  • 利用云安全中心基线检查功能定期扫描弱口令,及时发现并修复密码安全风险。

  • 如检测到弱口令告警,请尽快修改为符合复杂度要求的强密码,并检查是否存在异常登录行为。

常见问题