- 综合排序
- 最热优先
- 最新优先
什么是基线扫描?
基线扫描的核心目的在于"提前发现配置隐患、满足合规要求、降低安全事故概率"。与漏洞扫描关注"代码缺陷"不同,基线扫描更关注"配置错误"。 二、为什么要做基线扫描1. 2. 责任免除通过扫描留下"已尽职"证据链:报告、整改记录、复测截图可在事后溯源。提前发现弱口令、幽灵账号、多余服务,有效缩短攻击面,降低被通报风险。3. 三、基线扫描查什么(四大维度)1.系统层内核参数:SYN Cookie、IP转发、ASLR、Core Dump限制SSH配置:Protocol 2、PermitRootLogin、MaxAuthTries 、结果入事件中心八、基线扫描 vs 漏洞扫描基线扫描:检查"配置错误",无CVE也能不合规;修复手段是改配置、关服务、加策略漏洞扫描:检查"代码缺陷",需打补丁或升级版本;输出是CVE编号、CVSS分值
45510编辑于 2025-11-11- 来自专栏DevOps持续集成
SonarQube代码扫描与代码基线关联
代码扫描 先安装好SonarQube服务器, 然后安装Sonar-scanner进行扫描。 扫描结果关联Git Commit 提前装好插件 下载:https://github.com/gabrie-allaigre/sonar-gitlab-plugin/tree/4.1.0-SNAPSHOT 在上面扫描参数的基础上添加以下参数: -Dsonar.gitlab.commit_sha=d0f7c74a058df8e935f1e247a68ac23d7d864295 \ -Dsonar.gitlab.ref_name
1.4K10发布于 2021-03-16 - 来自专栏深度学习进阶
基线估计
1 什么是基线估计? 以深度学习为代表的现代机器学习方法在预测和分类准确性上取得了巨大的成功。 基线估计是我在蚂蚁的工作项目所抽象出来的算法框架,它原本是针对运维领域内的容量场景所做的基线区间估计,就落地场景而言,它还是比较局限的,但基线估计这个概念本身是不局限的,这个概念在领域内的名称可能多种多样 在相关介绍开始前,结合在百度和蚂蚁的工作经验,我个人认为对某个对象的基线分布的刻画比直接进行异常检测有着更广泛的用途,以蚂蚁的容量工作来看,风险对象的多指标基线区间估计,比指标的异常检测有着更广泛的用途 ,基线估计除了可以用来做指标的异常检测,还可以应用于其他诸多场景。 2 相关文献 前言提及的相关文献工作,主要以如下4个方向为代表。
1.2K20发布于 2021-09-15 - 来自专栏零域Blog
Mysql安全基线
Mysql安全基线 NO.1 增强root帐户密码登陆、删除空密码 原因 一、简单密码容易暴力破解二、mysql默认是空密码 解决 一、增强密码强度- 22位以上- 同时包含大写字母、小写字母、数字、特殊字符 update user set password=password(‘newpassword’) where user=’root’;mysql> flush privileges; # 刷新权限 NO.2
1.3K21编辑于 2022-03-16 - 来自专栏零域Blog
安全基线
Nginx安全基线 NO.1 禁止某些文件类型的访问 原因 某些文件不小心传如web目录后存在很大风险 解决 location *. (txt doc docx rar zip)$ root /var/www/www.xxx.xxx; Deny all; } NO.2 禁止访问某目录 原因 一些敏感目录禁止直接访问 解决 location ^(GET HEAD POST)$){return 444;} NO.7 组织用户代理 原因 阻止用户代理访问、扫描器、机器人、垃圾邮件等 解决 if($http_user_agent * LWP::
78110编辑于 2022-03-21 - 来自专栏安全加固
【基线加固】Centos7等保二级基线加固(主机安全基线)
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 2、 确保设置了引导程序密码 使用以下命令创建加密的密码grub2-setpassword: grub2-setpassword Enter password: Confirm password: 3、 确保单用户模式需要身份验证 fs.suid_dumpable=0 5、 确保启用了地址空间布局随机化(ASLR) 在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: kernel.randomize_va_space = 2 运行以下命令来设置内核参数: sysctl -w kernel.randomize_va_space=2 6、 确保已配置SSH空闲超时间隔 编辑/etc/ssh/sshd_config文件以设置参数:
3.7K61发布于 2020-11-11 - 来自专栏信安之路
Linux基线加固
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。 适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。 基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。 /etc/login.defs 文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。
3.6K01发布于 2018-08-08 - 来自专栏咻一咻
Ubuntu安全基线检查
检查密码长度和密码是否使用多种字符类型 加固建议 1、安装PAM的cracklib模块,执行命令: apt-get update&&apt-get install libpam-cracklib 2、 ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 设置用户权限配置文件的权限 | 文件权限 描述 设置用户权限配置文件的权限 加固建议
2.6K10发布于 2020-05-29 - 来自专栏FreeBuf
安全基线检查平台
我的要求如下: 能够对操作系统、中间件和数据库进行基线检查 脚本在系统上进行基线检查后的结果或者收集到的数据能够传输到一个服务端 服务端要做可视化展示 最终的效果是什么呢? 某服务器(假定IP为112.112.112.112),安装docker # 2\. docker pull registry.cn-hangzhou.aliyuncs.com/jc0o0l/assetmanage 退出而不停止容器 按CTRL+P+Q 2. 更改agent中后端服务器的ip和端口为上一步中服务器的IP112.112.112.112和端口8888 对于Windows: ? 对于Linux: ? 将Agent拖到要进行基线检查的服务器上,以管理员权限运行agent 4. 访问后端服务器可视化展示界面:http://112.112.112.112:8888), 点击基线检查,查看扫描记录 ? 该页面会显示进行检查的每一项的扫描结果与检查结果,并根据相应计算得出相应的分数。
4.3K10发布于 2020-02-20 - 来自专栏数据库相关
MongoDB 基线检查项
MongoDB 基线检查项 账号权限基线检查 run_power_test 启动 MongoDB 的系统账号 是否单独创建 且 不允许登陆 是否开启账号权限功能 MongoDB 高级权限账号是否是必须 网络连接基线检查 run_network_test 默认端口是否修改 MongoDB进程是否监听在外网IP 网络连接方式 是否为 SSL加密方式 文件安全基线检查 run_file_test 敏感的日志,查询 文件 慢查询日志文件 运行日志 数据库配置基线检查 run_config_test 是否需要开启服务器端脚本
1.3K20发布于 2019-09-18 - 来自专栏咻一咻
Nginx安全基线检查
Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、 1.执行系统命令passwd -S nginx来查看锁定状态 出现Password locked证明锁定成功 如:nginx LK … (Password locked.)或nginx L … 2. 2、可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。 3. | 服务配置 描述 Nginx进程启动账号状态,降低被攻击概率 加固建议 修改Nginx进程启动账号: 1、打开conf/nginx.conf配置文件; 2、查看配置文件的user配置项,确认是非 描述 Nginx服务的Banner隐藏状态 加固建议 Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态: 1、打开conf/nginx.conf配置文件; 2、
3.2K30发布于 2020-05-29 - 来自专栏数据库相关
MySQL 基线检查项
MySQL 基线检查项 参考链接: https://github.com/wstart/DB_BaseLine 账号权限基线检查 run_power_test 启动 MySQL 的系统账号 是否单独创建 创建用户权限 Grant_priv 赋权权限 reload_priv 重载权限 repl_slave_priv 主从数据库权限 密码为空的账号是否存在 不受IP限制的账号可登录 空用户的账号 网络连接基线检查 run_network_test 默认端口 是否修改 网络连接方式 是否为 SSL 文件安全基线检查 run_file_test 数据库文件路径 show variables where variable_name log_bin_basename log_error slow_query_log_file general_log_file audit_log_file relay_log_basename 数据库配置基线检查
2.5K20发布于 2019-09-17 - 来自专栏咻一咻
Redis安全基线检查
执行以下命令修改配置文件权限: chmod 600 /<filepath>/redis.conf 操作时建议做好记录或备份 修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 打开redis.conf,找到requirepass所在的地方,修改为指定的密码,密码应符合复杂性要求: 1、长度8位以上 2、包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母
2.6K20发布于 2020-05-29 - 来自专栏咻一咻
Tomcat 安全基线检查
请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求: 1、长度8位以上 2、 2、取消Host节点下Valve节点的注释(如没有则添加)。 请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求: 1、长度8位以上 2、 加固建议 1、进入Tomcat安装主目录的lib目录下,比如 cd /usr/local/tomcat7/lib 2、执行:jar xf catalina.jar org/apache/catalina
2.2K20发布于 2020-05-29 - 来自专栏数据库相关
MySQL 基线与容量管理
MySQL基线指标的采集: 关键指标 qps tps connections slave_lag cpu_load disk load memory usage 系统指标 采集方式 df node_exporter 或者我们可以使用如下SQL 估算data文件体积: SELECT ROUND(SUM(data_length + index_length) / 1024 / 1024, 2) AS "DB Size in MB" FROM information_schema.tables; 2、二进制日志大小估计 统计一天内二进制日志大小,并将其与expire_logs_days值相乘。 【size of largest table * 2 (for tmp/sort files)】 3.2 在做表DDL的时候,操作过程中,需要产生的一个大的临时表,需要占据较大的体积。 2、数据分片 2.1 客户端分片 sharding-jdbc 2.2 中间件分片 dble、mycat、cetus 参考文章: https://www.percona.com/resources
1.7K10发布于 2019-09-17 - 来自专栏全栈程序员必看
struts2综合漏洞扫描工具
python扫描工具更新2022-4-16 1.添加了S2-062漏洞利用 其实是对S2-061漏洞的绕过 支持命令执行,Linux反弹shell,windows反弹shell。 java工具 优点 1.扫描比较稳定 2.误报情况少, 3.可视化,方便操作 缺点 1.无法指定payload进行利用 2.无法反弹shell 3.无S2-061 payload 用法 直接一键扫描就行了 漏洞利用扫描工具,基于互联网上已经公开的Structs2高危漏洞exp的扫描利用工具,目前支持的漏洞如下: S2-001, S2-003, S2-005, S2-007, S2-008, S2-009, 批量扫描利用工具 Options: -i, --info 漏洞信息介绍 -v, --version 显示工具版本 -u, --url TEXT URL 地址 -n, --name TEXT 指定漏洞名称, 漏洞名称详见info -f, --file TEXT 批量扫描URL文件, 一行一个URL -d, --data TEXT
2.5K20编辑于 2022-09-09 - 来自专栏渗透测试专栏
渗透测试信息收集技巧(2)——C段扫描和Web目录扫描
,系统指纹 提供上百个扩展脚本 Nmap-扫描C段主机存活 Nmap -sn -PE -n 192.168.1.1/24 -oX out.xml -sn 不扫描端口 -PE ICMP 扫描 -n 不进行dns解析 Nmap-定向端口扫描 Nmap -sS -Pn -p 3389 ip -sS 半开放扫描 -Pn 不进行主机存活探测 Nmap-全端口扫描 Nmap -sS -Pn -p 1-65535 -n ip -sS 半开放扫描 -Pn 不进行主机存活探测 Nmap-服务扫描 Nmap -sS -sV -p 1-65535 -n ip -sS 半开放扫描 -sV 显示出端口开放的服务 DIRB DIRB是一个Web内容扫描程序 通过字典查找WEB服务器的响应 DRIB只能扫描网站目录不能扫描漏洞 dirb https://www.xxx.com.cn /XXX/wordlist.txt Java应用程序,主要扫描服务器上的目录和文件名,扫描方式分为基于字典和纯爆破。
1.9K10编辑于 2024-09-26 - 来自专栏阿dai_linux
Python2 进程扫描脚本 原
需求 因近期有开发人员在跑脚本时占用系统内存太多导致系统其它进程宕掉,所以需要对系统进程进行扫描监控,如果检测到占用系统内存大于5G的进程就直接kill掉,但是担心误杀,所以暂时只做扫描并记录日志,进行观察 /usr/bin/env python2 # -*- coding:utf-8 -*- # 扫描所有进程内存占用量 import os import sys import psutil import |egrep -iv \"root|USER|CROND|redis|mysql|rabbitmq|celery\" |awk '$6>5242880{print $0}'|awk '{print $2, $6}'" # python之subprocess模块:https://docs.python.org/2/library/subprocess.html # https://www.cnblogs.com
69850发布于 2019-04-03 - 来自专栏云头条
中央集采安全软件:17 家中标安全管理中心、9 家基线扫描、13 家漏洞扫描、16 家日志审计、5 家终端安全
本次征集分五包,具体品目如下: 第一包、安全管理中心(SOC)软件 第二包、基线扫描软件 第三包、漏洞扫描软件 第四包、日志审计软件 第五包、终端安全软件 中标结果 2021年8月30日成交公告发布, 北京天融信网络安全技术有限公司 北京安天网络安全技术有限公司 上海汉邦京泰数码技术有限公司 北京兰云科技有限公司 成都科来网络技术有限公司 成都卫士通信息安全技术有限公司 北京江南天安科技有限公司 中标供应商: 第二包基线扫描软件 北京天融信网络安全技术有限公司 杭州安恒信息技术股份有限公司 西安交大捷普网络科技有限公司 远江盛邦(北京)网络安全科技股份有限公司 北京神州绿盟科技有限公司 北京升鑫网络科技有限公司 中标供应商: 第三包漏洞扫描软件
1.8K30编辑于 2022-03-18 - 来自专栏深度学习与python
OpenSSF 发布开源项目安全基线
OpenSSF 基线的主要目标是为不同规模的项目和团队的安全需求提供解决方案。基线维护者表示,相比之下,大多数商业或行业认可的框架和标准都是针对大型组织而创建的。 该基线是 由来自不同组织的维护者组成的团队 创建的。 第 1 级是任何拥有任意数量维护者的项目;第 2 级是拥有至少两名维护者和少量用户的项目;第 3 级是拥有大量用户的项目。 基线涵盖不同的安全领域,如访问控制、构建和发布、文档、质量、漏洞管理等。 建议项目维护者能够自证,如 “截至 2025 年 4 月 31 日,本项目符合 OSPS 基准版本 2025-02-30 第 2 级”。 OpenSSF 将随着时间的推移定期更新基线,以反映经过改进的最新最佳实践。
34010编辑于 2025-04-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号