基线检查风险项修复及验证-凯发k8国际娱乐官网入口
当基线检查功能检测到并提示您服务器上存在的风险项时,请参考如下风险项修复建议为您的服务器进行安全加固。
约束限制
未开启防护的服务器不支持基线相关操作,同时基础版不支持配置检查的数据显示。
口令复杂度策略修改
- 如需监测linux主机中的口令复杂度策略,请先在主机中安装pam(pluggable authentication modules),详细操作请参见
- 修改linux主机中口令复杂度策略的详细操作请参见
- 修改windows主机中口令复杂度策略的详细操作请参见
验证:完成口令复杂度策略修改后,建议您单击基线检查页面上方的“手动检测”,查看修复结果。如果您未进行手动验证,hss会在次日凌晨执行自动验证。
弱口令修复
- 为保障您的主机安全,请您及时修改登录主机系统时使用弱口令的账号,如ssh账号。
- 为保障您主机内部数据信息的安全,请您及时修改使用弱口令的软件账号,如mysql账号和ftp账号等。
验证:完成弱口令修复后,建议您立即执行手动检测,查看弱口令修复结果。如果您未进行手动验证,hss会在次日凌晨执行自动验证。
单服务器风险修复及验证
系统中的关键应用如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。例如:ssh采用了不安全的加密算法;tomcat服务采用root权限启动。
hss可以检测系统中关键软件的配置风险并给出详细的加固方法。
- 在hss控制台选择
,进入服务器页面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 搜索目标服务器,单击目标服务器名称进入服务器详情页面。
图1 定位目标服务器
- 选择
页签,单击风险项前的展开按钮,查看所有检查项。图2 查看单主机检查项详情
- 处理风险项。
- 忽略风险
在目标检查项“操作”列单击“忽略”,忽略单条风险检查项。
勾选多个目标检查项前的选框,单击上方出现的“忽略”按钮,进行批量忽略处理。
图3 单服务器忽略风险
- 修复风险
- 单击目标风险项“操作”列的“检查详情”,查看检查项详情。
- 查看“审计描述”、“修改建议”等信息,根据“修改建议”修复主机中的异常信息。
- 目前部分euleros基线和centos 8已支持一键修复,单击目标euleros或centos的“检查项”“操作”列的“修复”,可直接修复检查项,部分检查项修复时需填写参数值,保持默认值即可。
- 建议您及时优先修复“威胁等级”为“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。
- 验证风险
若目标检查项已做修复处理,您可通过验证来更新目标检查项状态。
若状态为修复失败,可单击“查看原因”查看修复失败的原因,排除问题后可再次进行修复。- windows暂不支持基线验证。
- 目标主机agent状态必须为在线。
- 单次只能执行一条风险项验证,其他风险项需要等正在验证的风险项验证完成才能继续验证。
- linux支持验证的基线:apache2、docker、mongodb、redis、mysql5、nginx、tomcat、ssh、vsftp、centos6、centos7、centos8、euleros、debian9、debian10、debian11、redhat6、redhat7、redhat8、ubuntu12、ubuntu14、ubuntu16、ubuntu18、suse 12、suse 15。
- 单击目标风险项“操作”列的“验证”。
- 在弹窗单击“确认”,“状态”变更为“验证中”,系统开始自动验证,验证结束后查看“状态”的变化。
- 忽略风险
全量服务器风险修复及验证
系统中的关键应用如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。例如:ssh采用了不安全的加密算法;tomcat服务采用root权限启动。
hss可以检测系统中关键软件的配置风险并给出详细的加固方法。
- 。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 主机安全服务”,进入主机安全平台界面。
- 在左侧导航树中,选择
,进入基线检查页面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择“配置检查”页签,查看所有服务器的配置检查风险项,参数说明如表1所示。
如果您需要查看指定基线检查策略下服务器的配置检查结果统计,您可以在基线检查策略栏选择目标基线检查策略后查看。图4 查看配置检查统计
表1 配置检查参数说明 参数名称
参数说明
风险等级
按照基线标准匹配检测结果划分的等级。
- 高危
- 低危
- 中危
- 无风险
基线名称
检测执行的基线的名称。
标准类型
检测执行的基线所属策略的标准类型。
- 云安全实践
- 等保合规
检查项
累计检查的配置项总数。
风险项
检查项中存在风险的配置项总数。
影响服务器数
目标风险基线所影响的服务器总数。
最新检测时间
最近一次检测的时间。
描述
目标风险基线的描述说明。
- 单击列表中目标基线名称,查看目标基线描述、受影响服务器以及所有检查项详情。
图5 查看基线检查详情
- 处理风险项。
- 忽略风险
在目标检查项“操作”列单击“忽略”,忽略单条风险检查项。
勾选多个目标检查项前的选框,单击上方出现的“忽略”按钮,进行批量忽略处理。
图6 忽略风险
- 修复风险
- 单击目标风险项“操作”列的“检查详情”,查看检查项详情。
- 查看“审计描述”、“修改建议”等信息,根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。
- 目前部分euleros基线和centos 8已支持一键修复,单击目标euleros或centos的“检查项”“操作”列的“修复”,可直接修复检查项,部分检查项修复时需填写参数值,保持默认值即可。
- 建议您及时优先修复“威胁等级”为“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。
- 单击“受影响服务器”,查看该检查项影响的服务器。
单击“验证”,可更新受影响的服务器列表。
- 验证风险
若目标检查项已做修复处理,您可通过验证来更新目标检查项状态。
若状态为修复失败,可单击“查看原因”查看修复失败的原因,排除问题后可再次进行修复。- windows暂不支持基线验证。
- 目标主机agent状态必须为在线。
- 单次只能执行一条风险项验证,其他风险项需要等正在验证的风险项验证完成才能继续验证。
- linux支持验证的基线:apache2、docker、mongodb、redis、mysql5、nginx、tomcat、ssh、vsftp、centos6、centos7、centos8、euleros、debian9、debian10、debian11、redhat6、redhat7、redhat8、ubuntu12、ubuntu14、ubuntu16、ubuntu18、suse 12、suse 15。
- 单击目标风险项“操作”列的“验证”。
- 在弹窗单击“确认”,“状态”变更为“验证中”,系统开始自动验证,验证结束后查看“状态”的变化。
- 忽略风险
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨