- 综合排序
- 最热优先
- 最新优先
什么是基线扫描?
一、什么是基线扫描基线扫描(Baseline Scanning)是信息安全领域中的一项基础工作,指的是将一台服务器(本文特指Linux物理机)当作体检对象,逐条对照预先定义好的"最低安全要求"进行核查, 基线扫描的核心目的在于"提前发现配置隐患、满足合规要求、降低安全事故概率"。与漏洞扫描关注"代码缺陷"不同,基线扫描更关注"配置错误"。 二、为什么要做基线扫描1. 国企外包常见,条目最严苛六、风险等级划分(三色法)高危(红色):立即整改,不超24小时任何UID0非root账号内核CVE>2025-10未打补丁SSH PermitRootLogin yes中危(橙色):限期7天多余服务 、结果入事件中心八、基线扫描 vs 漏洞扫描基线扫描:检查"配置错误",无CVE也能不合规;修复手段是改配置、关服务、加策略漏洞扫描:检查"代码缺陷",需打补丁或升级版本;输出是CVE编号、CVSS分值
45610编辑于 2025-11-11- 来自专栏DevOps持续集成
SonarQube代码扫描与代码基线关联
代码扫描 先安装好SonarQube服务器, 然后安装Sonar-scanner进行扫描。 Dsonar.java.surefire.report=target/surefire-reports \ -Dsonar.host.url="http://sonar.idevops.site" \ -Dsonar.login=7c7b5f890dcb3c0ddf6d187fe47a8482f3430c74 扫描结果关联Git Commit 提前装好插件 下载:https://github.com/gabrie-allaigre/sonar-gitlab-plugin/tree/4.1.0-SNAPSHOT 在上面扫描参数的基础上添加以下参数: -Dsonar.gitlab.commit_sha=d0f7c74a058df8e935f1e247a68ac23d7d864295 \ -Dsonar.gitlab.ref_name
1.4K10发布于 2021-03-16 - 来自专栏安全加固
【基线加固】Centos7等保二级基线加固(主机安全基线)
kernel.randomize_va_space=2 6、 确保已配置SSH空闲超时间隔 编辑/etc/ssh/sshd_config文件以设置参数: ClientAliveInterval 300 ClientAliveCountMax 0 7、
3.7K61发布于 2020-11-11 - 来自专栏咻一咻
CentOS Linux 7安全基线检查
操作时建议做好记录或备份 设置密码修改最小间隔时间 | 身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 加固建议 在/etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7- 14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查 | 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l <username>锁定用户 操作时建议做好记录或备份 确保密码到期警告天数为7或更多 | 身份鉴别 描述 确保密码到期警告天数为28或更多 加固建议 在/etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置 描述 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户
3.1K20发布于 2020-05-29 - 来自专栏Owen's World
CentOS Linux 7安全基线检查SSH调优
restart httpd 设置密码修改最小间隔时间 | 身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 加固建议 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7- 14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 设置密码失效时间 | 身份鉴别 描述 设置密码失效时间
1.5K10编辑于 2021-12-08 - 来自专栏跟着飞哥学编程(全栈联盟社区)
Centos7 服务器基线检查处理汇总
同理,修改最大登陆次数限制:6 7、文件中应包含* hard core 0配置 问题背景: 查看命令:cat /etc/security/limits.conf 解决方式 1.备份文件/etc/security 改成027后,用户权限不变,群组权限减掉2,也就是去掉写(w)权限,其他用户减7,也就是去掉读写执行权限(rwx),所以其他用户没有访问权限。 查看命令:cat /root/.bashrc 整改方式: 7. 备份配置文件 cp -p /root/.bashrc /root/.bashrc_bak 8. 此处我修改为:2000 ---- 同理,密码过期告警时间 ,原本默认是 7 天,这里我们修改 PASS_WARN_AGE 为 30 天。 (针对K8S集群宿主机基线)kube-proxy的实现方式是使用iptables机制,服务之间的调用走service的负载均衡。
4.7K20编辑于 2023-03-09 - 来自专栏深度学习进阶
基线估计
基线估计是我在蚂蚁的工作项目所抽象出来的算法框架,它原本是针对运维领域内的容量场景所做的基线区间估计,就落地场景而言,它还是比较局限的,但基线估计这个概念本身是不局限的,这个概念在领域内的名称可能多种多样 在相关介绍开始前,结合在百度和蚂蚁的工作经验,我个人认为对某个对象的基线分布的刻画比直接进行异常检测有着更广泛的用途,以蚂蚁的容量工作来看,风险对象的多指标基线区间估计,比指标的异常检测有着更广泛的用途 ,基线估计除了可以用来做指标的异常检测,还可以应用于其他诸多场景。 distribution from the training data; can we predict if it is from within the same distribution Kimin[7] Analyzing the Role of Model Uncertainty for Electronic Health Records. https://arxiv.org/abs/1906.03842 [7]
1.2K20发布于 2021-09-15 - 来自专栏零域Blog
Mysql安全基线
Mysql安全基线 NO.1 增强root帐户密码登陆、删除空密码 原因 一、简单密码容易暴力破解二、mysql默认是空密码 解决 一、增强密码强度- 22位以上- 同时包含大写字母、小写字母、数字、特殊字符 3HISTFLESIZE=3# 限制不记录某些命令export HISTCONTROL=ignorespace # 你在执行任何命令前只需要加一个空格就不会记录# 定时清除历史命令history -c NO.7
1.3K21编辑于 2022-03-16 - 来自专栏零域Blog
安全基线
Nginx安全基线 NO.1 禁止某些文件类型的访问 原因 某些文件不小心传如web目录后存在很大风险 解决 location *. ^(GET HEAD POST)$){return 444;} NO.7 组织用户代理 原因 阻止用户代理访问、扫描器、机器人、垃圾邮件等 解决 if($http_user_agent * LWP::
78110编辑于 2022-03-21 - 来自专栏Man_Docker
Centos7安装Nessus扫描工具
1.安装包下载 下载地址:https://www.tenable.com/downloads/nessus?loginAttempted=true 下载有rpm包和deb包 安装命令: rpm -i
2.5K10发布于 2020-07-01 - 来自专栏信安之路
Linux基线加固
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。 适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。 基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。 /etc/login.defs 文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。
3.6K01发布于 2018-08-08 - 来自专栏咻一咻
Ubuntu安全基线检查
参数设置为 60-180之间,如: PASS_MAX_DAYS 90 需同时执行命令设置root密码失效时间: chage --maxdays 90 root 操作时建议做好记录或备份 确保密码到期警告天数为7或更多 | 身份鉴别 描述 确保密码到期警告天数为28或更多 加固建议 在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置密码修改最小间隔时间 | 身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 加固建议 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查 | 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 加固建议 1、安装PAM的cracklib模块,执行命令:
2.6K10发布于 2020-05-29 - 来自专栏FreeBuf
安全基线检查平台
我的要求如下: 能够对操作系统、中间件和数据库进行基线检查 脚本在系统上进行基线检查后的结果或者收集到的数据能够传输到一个服务端 服务端要做可视化展示 最终的效果是什么呢? 最好能够达到阿里云里的安全基线检查的样子,差一点的话也没关系啦。本篇文章是代码中在centos7和win2012系统中将要检查的项目,参考CIS标准而来。 ImageID> /bin/bash # 5\. cd assetManage\AssetManage\ # 6\. python3 manage.py runserver 0.0.0.0:8888 # 7\ 将Agent拖到要进行基线检查的服务器上,以管理员权限运行agent 4. 访问后端服务器可视化展示界面:http://112.112.112.112:8888), 点击基线检查,查看扫描记录 ? 该页面会显示进行检查的每一项的扫描结果与检查结果,并根据相应计算得出相应的分数。
4.3K10发布于 2020-02-20 - 来自专栏数据库相关
MongoDB 基线检查项
MongoDB 基线检查项 账号权限基线检查 run_power_test 启动 MongoDB 的系统账号 是否单独创建 且 不允许登陆 是否开启账号权限功能 MongoDB 高级权限账号是否是必须 网络连接基线检查 run_network_test 默认端口是否修改 MongoDB进程是否监听在外网IP 网络连接方式 是否为 SSL加密方式 文件安全基线检查 run_file_test 敏感的日志,查询 文件 慢查询日志文件 运行日志 数据库配置基线检查 run_config_test 是否需要开启服务器端脚本
1.3K20发布于 2019-09-18 - 来自专栏咻一咻
Nginx安全基线检查
描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;
3.2K30发布于 2020-05-29 - 来自专栏数据库相关
MySQL 基线检查项
MySQL 基线检查项 参考链接: https://github.com/wstart/DB_BaseLine 账号权限基线检查 run_power_test 启动 MySQL 的系统账号 是否单独创建 创建用户权限 Grant_priv 赋权权限 reload_priv 重载权限 repl_slave_priv 主从数据库权限 密码为空的账号是否存在 不受IP限制的账号可登录 空用户的账号 网络连接基线检查 run_network_test 默认端口 是否修改 网络连接方式 是否为 SSL 文件安全基线检查 run_file_test 数据库文件路径 show variables where variable_name log_bin_basename log_error slow_query_log_file general_log_file audit_log_file relay_log_basename 数据库配置基线检查
2.5K20发布于 2019-09-17 - 来自专栏咻一咻
Redis安全基线检查
执行以下命令修改配置文件权限: chmod 600 /<filepath>/redis.conf 操作时建议做好记录或备份 修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险
2.6K20发布于 2020-05-29 - 来自专栏咻一咻
Tomcat 安全基线检查
加固建议 1、进入Tomcat安装主目录的lib目录下,比如 cd /usr/local/tomcat7/lib 2、执行:jar xf catalina.jar org/apache/catalina
2.2K20发布于 2020-05-29 - 来自专栏数据库相关
MySQL 基线与容量管理
MySQL基线指标的采集: 关键指标 qps tps connections slave_lag cpu_load disk load memory usage 系统指标 采集方式 df node_exporter
1.7K10发布于 2019-09-17 - 来自专栏WalkingCloud
腾讯云主机安全【等保三级】CentOS7安全基线检查策略
最近试用了一下腾讯云主机主机安全的基线检查功能 ? (图片可放大查看) ? (图片可放大查看) ? (图片可放大查看) 梳理了(Copy+C/Copy+V)一下腾讯云主机安全——【等保三级】CentOS7安全基线检查策略 一、未通过项17项 1. etc/sysctl.d/*文件中设置以下参数: fs.suid_dumpable = 0 运行以下命令来设置活动内核参数: # sysctl -w fs.suid_dumpable=0 7. 处理建议 (处理时请先做备份) 运行以下命令以设置/etc/passwd的权限: # chown root:root /etc/passwd # chmod 644 /etc/passwd 7.
3K50发布于 2021-07-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号