全部產品
Search
文件中心

Security Center:基準風險檢查

更新時間:Jun 19, 2026

當需要滿足等保合規要求、排查系統配置風險或檢測弱口令時,可使用基準風險檢查功能對伺服器作業系統、資料庫、中介軟體和容器的配置進行安全檢測。本文介紹該功能的基本資料、使用方法和常見風險項的修複方案。

版本和計費說明

Security Center付費版支援使用基準風險檢查功能。

版本

使用說明

計費說明

防病毒版和僅採購增值服務

若想使用基準風險檢查的全部功能,需要開通付費版雲安全態勢管理功能,使用檢查項需要消耗雲安全態勢管理的授權數。

若開通付費版雲安全態勢管理,計費詳情,請參見雲安全態勢管理付費使用說明

進階版和企業版

  • 進階版僅支援使用弱口令檢查項。

  • 企業版不支援容器安全檢查項。

  • 若需要使用基準風險檢查功能的全部檢查項,需要升級到旗艦版。

無需額外付費。

旗艦版

支援基準風險檢查功能的全部檢查項。

無需額外付費。

功能優勢

  • 等保合規

    支援等保二級、等保三級和國際通用安全最佳實務基準,滿足多種合規監管需求。

  • 檢測全面

    支援弱口令、未授權訪問、已知不安全配置和配置紅線巡檢,覆蓋 30 多種系統版本、20 多種資料庫及中介軟體。

  • 靈活配置

    支援自訂安全性原則、檢測周期和檢測範圍,滿足不同業務的安全配置需求。

  • 詳細修複方案

    檢查項提供修複建議,支援一鍵修複,以快速完成基準加固並滿足等保要求。

使用流程

  1. 開通功能:購買企業版或旗艦版,或開通付費版雲安全態勢管理功能,即可使用全部檢查項。詳見開通基準風險檢查功能

  2. 安裝用戶端:在伺服器上安裝Security Center用戶端,控制台將每分鐘自動同步資產資訊。安裝步驟參見安裝用戶端。如需檢查非阿里雲伺服器,需先將資產接入Security Center,方法參見多雲資產接入

  3. 配置檢查策略:預設策略僅包含部分基準類型,可根據業務需求配置更多檢查項和策略。詳見設定檢查策略

  4. 執行檢查:選擇策略並手動執行,或等待系統按策略周期自動掃描。詳見執行基準檢查策略

  5. 查看結果:在控制台查看掃描出的風險檢查項、風險資產和修複建議。詳見查看基準檢查結果及風險加固建議

  6. 修複驗證:根據修複建議修複風險並完成驗證,確認檢查項結果為已通過。詳見處理未通過的基準風險檢查項

功能說明

基準檢查功能通過配置不同的檢查策略,對伺服器進行批量掃描,發現系統、帳號許可權、資料庫、弱口令、等保合規配置等風險點,並提供修複建議和一鍵修複功能。檢查內容詳情參見基準檢查內容

基本概念

名詞

說明

基準

基準指作業系統、資料庫及中介軟體的安全實踐及合規檢查的配置紅線,包括弱口令、帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置檢查。

弱口令

弱口令指容易被猜測或爆破的口令,通常包括:長度小於 8 位或者字元類型少於 3 類的簡單口令,以及網上公開的或者惡意軟體中的駭客字典。弱口令容易被破解,如果被攻擊者擷取,可用來直接登入系統,讀取甚至修改網站代碼,使用弱口令將使得系統及服務面臨極大的風險。

基準策略

策略是基準檢查規則的集合,是執行基準檢測的基本單位。Security Center提供三種策略類型:預設策略、標準策略和自訂策略。

策略類型

支援的基準檢查項類型

應用情境

預設策略

支援以下基準類型:

  • Windows 基準:未授權訪問、最佳安全實踐、弱口令等。

  • Linux 基準:未授權訪問、容器安全、最佳安全實踐、弱口令等。

系統預設執行的基準檢查策略,僅支援編輯檢查時間和生效伺服器。購買進階版、企業版或旗艦版後,系統會每隔一天在 00:00~06:00(或您修改後的時間)檢查一次您阿里雲帳號下的所有資產。

標準策略

支援以下基準類型:

  • Windows 基準:未授權訪問、等保合規、最佳安全實踐、基礎防護安全實踐、國際通用安全最佳實務、弱口令等。

  • Linux 基準:未授權訪問、等保合規、最佳安全實踐、容器安全、國際通用安全最佳實務、弱口令等。

相比預設策略,增加了等保合規、國際通用安全最佳實務等檢查類型,且支援編輯所有策略配置項。

可根據業務情境自行設定基準檢查策略。

自訂策略

支援以下作業系統自訂基準類型:

  • Windows 基準:Windows 自訂基準

  • Linux 基準:CentOS Linux 7/8 自訂基準、CentOS Linux 6 自訂基準、Ubuntu 自訂安全基準檢查、Redhat7/8 自訂安全基準檢查。

用於檢查資產在作業系統自訂基準配置上是否存在風險。

可自訂配置檢查項並修改部分基準參數,使檢查策略更貼合業務情境。

支援的伺服器

Security Center支援對已安裝用戶端且狀態正常的伺服器進行基準檢查。可在設定策略時,通過伺服器分組選擇生效範圍。伺服器接入方法參見安裝用戶端管理伺服器

風險等級

Security Center根據風險類型的危害程度和應用情境進行分級。

風險等級

基準分類

說明

修複

高危

  • 弱口令

  • 未授權

該基準風險類型存在入侵風險,屬於高危風險。

需緊急修複。避免弱口令暴露在公網上導致系統被入侵或發生資料泄露事件。

  • 最佳安全實踐

  • 容器安全

雖然不存在入侵風險,但屬於配置紅線巡檢,歸屬高風險等級。

重要安全強化項,建議及時修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。

自訂基準

屬於客戶自身安全事件,屬於配置紅線巡檢,歸屬高風險等級。

使用者自訂的安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。

中危

  • 等保合規

  • 國際通用安全最佳實務

合規風險依據是否有合規需要進行檢查和修複,不存在入侵風險,也不屬於配置紅線巡檢,歸屬為中風險等級。

基於業務是否有合規需要進行修複。

修複方式

Security Center為存在風險的檢查項提供修複建議,用於加固系統安全。

  • 手動修複:登入存在風險的伺服器,修改對應配置後,在Security Center單擊驗證

  • 一鍵修複:Security Center支援一鍵修複部分基準檢查項。通過檢查項對應風險項面板是否顯示修複按鈕判斷是否支援。詳見查看並處理基準風險項

基準檢查內容

基準分類說明

基準分類

檢查標準及檢查內容

覆蓋的系統和服務

修複緊急度說明

弱口令

使用非登入爆破方式檢測是否存在弱口令。避免登入爆破方式鎖定賬戶影響業務的正常運行。

說明

弱口令檢測通過讀取 HASH 值與弱口令字典計算的 HASH 值進行對比來檢查是否存在弱口令。如需避免讀取 HASH 值,可從基準檢查策略中移除弱口令基準。

  • 作業系統

    Linux、Windows

  • 資料庫

    MySQL、Redis、SQL Server、MongoDB、PostgreSQL、Oracle

  • 應用

    Tomcat、FTP、Rsync、SVN、Activemq、RabbitMQ、OpenVpn、Jboss6/7、Jenkins、Openldap、VncServer、pptpd

需緊急修複。避免弱口令暴露在公網上導致系統被入侵或發生資料泄露事件。

未授權訪問

未授權訪問基準。檢測服務是否存在未授權訪問風險,防止被入侵或資料泄露。

Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql

最佳安全實踐

阿里雲標準

基於阿里雲最佳安全實踐標準,檢測是否存在帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置風險。

  • 作業系統

    • CentOS 6、7、8

    • Redhat 6、7、8

    • Ubuntu 14、16、18、20

    • Debian 8、9、10、11、12

    • Alibaba Cloud Linux 2、3

    • Windows Server 2022R、2012R2、2016、2019、2008R2

    • Rocky Linux 8

    • Alma Linux 8

    • SUSE Linux 15

    • Anolis 8

    • 麒麟

    • UOS

    • TencentOS

  • 資料庫

    MySQL、Redis、MongoDB、SQL server、Oracle 11g、CouchDB、Influxdb、PostgreSql

  • 應用

    Tomcat、IIS、Nginx、Apache、Windows SMB、RabbitMQ、Activemq、Elasticsearch、Jenkins Hadoop、Jboss6/7、Tomcat

重要安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。

容器安全

阿里雲標準

基於阿里雲容器最佳安全實踐,檢查 Kubernetes Master 和 Node 節點配置風險。

  • Docker

  • Kubernetes 叢集

等保合規

等保二級、三級合規

基於伺服器安全等保基準,對標權威測評機構安全計算環境測評標準和要求。

  • 作業系統

    • CentOS 6、7、8

    • Redhat 6、7、8

    • Ubuntu 14、16、18、20

    • SUSE 10、11、12、15

    • Debian 8、9、10、11、12

    • Alibaba Cloud Linux 2、3

    • Windows Server 2022R、2012R2、2016、2019、2008R2

    • Anolis 8

    • 麒麟

    • UOS

  • 資料庫

    Redis、MongoDB、PostgreSql、Oracle、MySql、SQL Server、Informix

  • 應用

    Websphere Application Server、Jboss6/7、Nginx、Weblogic、Bind、IIS

基於業務是否有合規需要進行修複。

國際通用安全最佳實務

基於國際通用安全最佳實務的作業系統安全基準檢查。

  • CentOS 6、7、8

  • Ubuntu 14、16、18、20

  • Alibaba Cloud Linux 2

  • Windows Server 2022R2、2012R2、2016、2019、2008R2

基於業務是否有合規需要進行修複。

自訂基準

支援 CentOS Linux 7 自訂基準,可對基準檢查策略中的檢查項進行編輯,自訂安全強化項。

CentOS 7、CentOS 6、Windows Server 2022R2、2012R2、2016、2019、2008R2

使用者自訂的安全強化項,建議修複。基於最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。

基準檢查專案

下表列出Security Center提供的基準檢查專案。

Windows基準

基準分類

基準名稱

基準描述

包含的檢查項的數量

基礎防護安全實踐

SQL Server風險許可權檢查

SQL Server風險許可權檢查。

1

IIS風險許可權檢查

IIS風險許可權檢查。

1

國際通用安全最佳實務

Windows Server 2008 R2國際通用安全最佳實務基準

適用於有專業安全水準的企業使用者,可根據業務情境和安全需求針對性地對系統進行安全強化。

274

Windows Server 2012 R2國際通用安全最佳實務基準

275

Windows Server 2016/2019 R2國際通用安全最佳實務基準

275

Windows Server 2022 R2國際通用安全最佳實務基準

262

未授權訪問

未授權訪問-Redis未授權訪問高危風險(Windows版)

Redis未授權訪問高危風險基準。

1

未授權訪問-LDAP未授權訪問高危風險(Windows環境)

LDAP未授權訪問高危風險基準。

1

等保合規

等保三級-Windows 2008 R2合規基準

Windows 2008 R2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Windows 2012 R2合規基準

Windows 2012 R2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Windows 2016/2019合規基準

Windows 2016/2019 R2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-SQL Server合規基準

SQL Server等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

4

等保三級-IIS合規基準

Oracle等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

5

等保二級-Windows 2008 R2合規基準

Windows 2008 R2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

12

等保二級-Windows 2012 R2合規基準

Windows 2012 R2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

12

等保二級-Windows 2016/2019合規基準

Windows 2016/2019 R2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

12

弱口令

弱口令-Windows系統登入弱口令檢查

弱口令檢測基準。

1

弱口令-Mysql資料庫登入弱口令檢查(Windows版)

Windows版MySQL資料庫登入帳號弱口令檢測基準。

1

弱口令-SQL Server資料庫登入弱口令檢查

Microsoft SQL Server資料庫登入帳號弱口令檢測基準。

1

弱口令-Redis資料庫登入弱口令檢查(Windows版)

Redis資料庫登入弱口令檢測基準。

1

最佳安全實踐

阿里雲標準-Windows 2008 R2安全基準檢查

阿里雲Windows 2008 R2基準標準。

12

阿里雲標準-Windows 2012 R2安全基準檢查

阿里雲Windows 2012 R2基準檢查。

12

阿里雲標準-Windows 2016/2019安全基準檢查

阿里雲Windows Server 2016、Windows Server 2019基準檢查。

12

阿里雲標準-Windows Server 2022 安全基準檢查

阿里雲 Windows Server 2022 基準標準。

12

阿里雲標準-Redis安全基準檢查(Windows版)

阿里雲Redis(Windows版)基準標準。

6

阿里雲標準-SQL server安全基準檢查

阿里雲SQL Server 2012安全基準檢查。

17

阿里雲標準-IIS 8安全基準檢查

阿里雲Internet Information Services 8基準標準。

8

阿里雲標準-Apache Tomcat安全基準檢查(windows環境)

參考國際通用安全最佳實務及阿里雲基準標準進行中介軟體層面基準檢測。

8

阿里雲標準-Windows SMB安全基準檢查

阿里雲Windows SMB基準標準。

2

自訂策略

Windows自訂基準

全量Windows自訂基準模板,可通過模板選擇檢查項及配置檢查項參數,滿足自訂基準需要。

63

Linux基準

基準分類

基準名稱

基準描述

包含的檢查項的數量

國際通用安全最佳實務

Alibaba Cloud Linux 2/3國際通用安全最佳實務基準

國際通用安全最佳實務基準適用於具有專業安全水準的企業使用者,可以根據業務情境和安全需求,從國際通用安全最佳實務基準提供的豐富的檢查項規則中依據業務情境和安全需求針對性的對系統進行安全強化。

176

Rocky 8國際通用安全最佳實務基準

161

CentOS Linux 6國際通用安全最佳實務基準

194

CentOS Linux 7國際通用安全最佳實務基準

195

CentOS Linux 8國際通用安全最佳實務基準

162

Debian Linux 8國際通用安全最佳實務基準

155

Ubuntu 14國際通用安全最佳實務基準

175

Ubuntu 16/18/20國際通用安全最佳實務基準

174

Ubuntu 22國際通用安全最佳實務基準

148

未授權訪問

Influxdb未授權訪問高危風險

Influxdb未授權訪問高危風險基準。

1

Redis未授權訪問高危風險

Redis未授權訪問高危風險基準。

1

Jboss未授權訪問高危風險

Jboss未授權訪問高危風險基準。

1

ActiveMQ未授權訪問高危風險

ActiveMQ未授權訪問高危風險基準。

1

RabbitMQ未授權訪問高危風險

RabbitMQ未授權訪問高危風險基準。

1

openLDAP未授權訪問高危風險(Linux環境)

openLDAP未授權訪問漏洞基準。

1

Rsync未授權訪問高危風險

Rsync未授權訪問漏洞基準。

1

Mongodb未授權訪問高危風險

Mongodb未授權訪問高危風險基準。

1

PostgreSQL未授權訪問高危風險基準

PostgreSQL未授權訪問高危風險基準。

1

Jenkins未授權訪問高危風險

Jenkins未授權訪問高危風險基準。

1

Hadoop未授權訪問高危風險

Hadoop未授權訪問高危風險基準。

1

CouchDB未授權訪問高危風險

CouchDB未授權訪問高危風險利用基準。

1

ZooKeeper未授權訪問高危風險

ZooKeeper未授權訪問高危風險基準。

1

Memcached未授權訪問高危風險

Memcached未授權訪問高危風險基準。

1

Elasticsearch未授權訪問高危風險

Elasticsearch未授權訪問高危風險基準。

1

等保合規

等保三級-SUSE 15合規基準

SUSE 15等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

18

等保三級-Alibaba Cloud Linux 3合規基準

Alibaba Cloud Linux 3等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Alibaba Cloud Linux 2合規基準檢查

Alibaba Cloud Linux 2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Bind合規基準

Bind等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

4

等保三級-CentOS Linux 6合規基準

CentOS Linux 6等保合規基準檢查,支援中國等保2.0三級等保標準,對標權威測評機構的安全計算環境測評標準和要求。

19

等保三級-CentOS Linux 7合規基準

CentOS Linux 7等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-CentOS Linux 8合規基準

CentOS Linux 8等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Informix合規基準

Informix等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

6

等保三級-Jboss6/7合規基準

Jboss6/7等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

5

等保三級-MongoDB合規基準

MongoDB等保合規基準檢查,支援中國等保2.0三級等保標準,對標權威測評機構的安全計算環境測評標準和要求。

6

等保三級-MySQL合規基準

MySQL等保合規基準檢查,支援中國等保2.0三級等保標準,對標權威測評機構的安全計算環境測評標準和要求。

5

等保三級-Nginx合規基準

Nginx等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

3

等保三級-Oracle合規基準

Oracle等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

12

等保三級-PostgreSQL合規基準

PostgreSQL等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

4

等保三級-Redhat Linux 6合規基準

Redhat Linux 6等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Redhat Linux 7合規基準

Redhat Linux 7等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Redis合規基準

Redis等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

4

等保三級-SUSE 10合規基準

SUSE 10等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-SUSE 12合規基準

SUSE 12等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-SUSE 11合規基準

SUSE 11等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Ubuntu 14合規基準

Ubuntu14等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Ubuntu 16/18/20合規基準

Ubuntu16/18/20等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Ubuntu 22合規基準

Ubuntu 22等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Websphere Application Server合規基準

Websphere Application Server等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

7

等保三級-TongWeb合規基準

TongWeb等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

4

等保三級-Weblogic合規基準

Weblogic等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

5

等保二級-Alibaba Cloud Linux 2合規基準

Alibaba Cloud Linux 2等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

15

等保二級-CentOS Linux 6合規基準

CentOS Linux 6等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

15

等保二級-CentOS Linux 7合規基準

CentOS Linux 7等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

15

等保二級-Debian Linux 8合規基準

Debian Linux 8等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

12

等保二級-Redhat Linux 7合規基準

Redhat Linux 7等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

15

等保二級-Ubuntu16/18合規基準

Ubuntu16/18等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Debian Linux 8/9/10/11/12合規基準

Debian Linux 8/9/10/11/12等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-麒麟合規基準

麒麟等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Uos合規基準

Uos等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

等保三級-Anolis 8合規基準

Anolis 8等保合規基準檢查,對標權威測評機構安全計算環境測評標準和要求。

19

弱口令

Zabbix登入弱口令檢查

Zabbix登入弱口令檢測基準。

1

Elasticsearch服務登入弱口令檢查

Elasticsearch伺服器登入弱口令檢測基準。

1

Activemq登入弱口令檢查

Activemq登入弱口令檢查。

1

RabbitMQ登入弱口令檢查

RabbitMQ登入弱口令檢查

1

Linux系統OpenVpn弱口令檢測

檢測Linux系統OpenVPN帳號常見弱口令。

1

Jboss6/7登入弱口令檢查

Jboss6/7登入弱口令檢測基準。

1

Jenkins登入弱口令檢查

弱口令檢測基準。

1

Proftpd登入弱口令檢查

弱口令檢測基準。

1

Weblogic 12c登入弱口令檢測

檢查Weblogic 12c使用者是否存在弱口令風險。

1

Openldap登入弱口令檢查

Openldap登入帳號弱口令檢測基準。

1

VncServer弱口令檢查

檢測Vnc服務端登入帳號常見弱口令。

1

pptpd服務登入弱口令檢查

pptp伺服器登入弱口令檢測基準。

1

Oracle登入弱口令檢測

檢查Oracle資料庫使用者是否存在弱口令風險。

1

SVN服務登入弱口令檢查

SVN伺服器登入弱口令檢測基準

1

Rsync服務登入弱口令檢查

Rsync伺服器登入弱口令檢測基準

1

MongoDB登入弱口令檢測

檢查MongoDB服務是否存在弱口令風險,支援3.X和4.X版本。

1

PostgreSQL資料庫登入弱口令檢查

PostgreSQL資料庫登入帳號弱口令檢測基準。

1

Apache Tomcat控制台弱口令檢查

Apache Tomcat控制台登入弱口令檢查,支援Tomcat 7/8/9版本。

1

FTP登入弱口令檢查

檢查FTP服務是否存在登入弱口令和匿名登入。

1

Redis資料庫登入弱口令檢查

Redis資料庫登入弱口令檢測基準。

1

Linux系統登入弱口令檢查

弱口令檢測基準。

1

MySQL資料庫登入弱口令檢查(不支援8.x版本)

弱口令檢測基準。

1

MongoDB登入弱口令檢測(支援2.X版本)

檢查MongoDB服務是否存在弱口令使用者。

1

容器安全

未授權訪問-Redis容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問Redis服務。

1

未授權訪問-MongoDB容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問MongoDB。

1

未授權訪問-Jboss容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問Jboss服務。

1

未授權訪問-ActiveMQ容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問ActiveMQ服務。

1

未授權訪問-Rsync容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問Rsync服務。

1

未授權訪問-Memcached容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問Memcached服務。

1

未授權訪問-RabbitMQ容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問RabbitMQ服務。

1

未授權訪問-ES容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問Elasticsearch服務。

1

未授權訪問-Jenkins容器運行時未授權訪問風險

在容器運行時通過嘗試串連或讀取設定檔,檢測是否可以未經授權訪問Jenkins服務。

1

Kubernetes (ACK) Master國際通用安全最佳實務

適用於有專業安全水準的企業使用者,可根據業務情境和安全需求針對性地對系統進行安全強化。

52

Kubernetes (ACK) Node國際通用安全最佳實務

9

弱口令-Proftpd容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查ProFTPD容器運行時是否使用弱口令。

1

弱口令-Redis容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查Redis容器運行時是否使用弱口令。

1

弱口令-MongoDB容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查MongoDB容器運行時是否使用弱口令。

1

弱口令-Jboss容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查Jboss容器運行時是否使用弱口令。

1

弱口令-ActiveMQ容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查ActiveMQ容器運行時是否使用弱口令。

1

弱口令-Rsync容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查Rsync容器運行時是否使用弱口令。

1

弱口令-SVN容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查SVN容器運行時是否使用弱口令。

1

弱口令-ES容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查Elasticsearch容器運行時是否使用弱口令。

1

弱口令-MySQL容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查MySQL服務在容器運行時是否使用弱口令。

1

弱口令-Tomcat容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查Tomcat容器運行時是否使用弱口令。

1

弱口令-Jenkins容器運行時弱口令風險

通過讀取設定檔擷取認證資訊,結合弱口令字典嘗試本地串連,檢查Jenkins容器運行時是否使用弱口令。

1

阿里雲標準-Docker容器組件安全基準

阿里雲Docker容器基準標準。

8

阿里雲標準-Kubernetes-Node安全基準檢查

阿里雲K8s基準檢測。

7

阿里雲標準-Kubernetes-Master安全基準檢查

阿里雲K8s基準檢測。

18

阿里雲標準-Docker主機安全基準檢查

阿里雲Docker主機基準標準。

10

Docker未授權訪問高危風險

Docker未授權訪問高危風險基準。

1

Kubernetes-Apiserver未授權訪問高危風險

Kubernetes-apiserver未授權訪問高危風險基準。

1

Kubernetes(K8s) Pod國際通用安全最佳實務

Kubernetes(K8s)Pod 節點安全基準標準。

12

Kubernetes(ACK) Pod國際通用安全最佳實務

Kubernetes(ACK)Pod 節點安全基準標準。

7

Kubernetes(ECI) Pod國際通用安全最佳實務

Kubernetes(ECI)Pod 節點安全基準標準。

2

Kubernetes(K8s) Master國際通用安全最佳實務

Kubernetes(K8s)Master 節點安全基準標準。

55

Kubernetes(K8s)安全性原則-國際通用安全最佳實務

Kubernetes(K8s)節點安全基準標準。

34

Kubernetes(K8s) Worker國際通用安全最佳實務

Kubernetes(K8s)Worker 節點安全基準標準。

16

Dockerd容器-國際通用安全最佳實務基準

適用於有專業安全水準的企業使用者,可根據業務情境和安全需求針對性地對系統進行安全強化。

91

Dockerd主機-國際通用安全最佳實務基準

25

Containerd容器-國際通用安全最佳實務

25

Containerd主機-國際通用安全最佳實務

22

最佳安全實踐

阿里雲標準-Alibaba Cloud Linux 2/3安全基準

阿里雲Alibaba Cloud Linux 2/3基準標準。

16

阿里雲標準-CentOS Linux 6安全基準檢查

阿里雲CentOS Linux 6基準標準。

15

阿里雲標準-CentOS Linux 7/8安全基準檢查

阿里雲CentOS Linux 7/8基準標準。

15

阿里雲標準-Debian Linux 8/9/10/11/12安全基準檢查

阿里雲Debian Linux 8/9/10/11/12基準檢查標準。

15

阿里雲標準-Redhat Linux 6安全基準檢查

阿里雲Redhat Linux 6基準標準。

15

阿里雲標準-Redhat Linux 7/8安全基準檢查

阿里雲Redhat Linux 7/8基準標準。

15

阿里雲標準-Ubuntu安全基準檢查

阿里雲Ubuntu基準檢查。

15

阿里雲標準-Memcached安全基準檢查

阿里雲Memcache基準標準。

5

阿里雲標準-MongoDB安全基準檢查(支援3.X版本)

阿里雲MongoDB基準標準。

9

阿里雲標準-MySQL安全基準檢查

阿里雲MySQL基準標準,支援版本:MySQL5.1~MySQL5.7。

12

阿里雲標準-Oracle安全基準檢查

阿里雲Oracle 11g基準標準。

14

阿里雲標準-PostgreSQL安全基準檢查

阿里雲PostgreSQL基準標準。

11

阿里雲標準-Redis安全基準檢查

阿里雲Redis基準標準。

7

阿里雲標準-Anolis 7/8安全基準檢查

阿里雲Anolis 7/8基準標準。

16

阿里雲標準-Apache安全基準檢查

參考國際通用安全最佳實務及阿里雲基準標準進行中介軟體層面基準檢測。

19

阿里雲標準-CouchDB安全基準檢查

阿里雲標準-CouchDB安全基準檢查。

5

阿里雲標準-Elasticsearch安全基準檢查

阿里雲Elasticsearch基準標準。

3

阿里雲標準-Hadoop安全基準檢查

阿里雲Hadoop安全基準檢查。

3

阿里雲標準-Influxdb安全基準檢查

阿里雲Influxdb基準標準。

5

阿里雲標準-Jboss6/7安全基準檢查

阿里雲Jboss6/7安全基準檢查。

11

阿里雲標準-Kibana安全基準檢查

阿里雲Kibana基準標準。

4

阿里雲標準-麒麟安全基準檢查

阿里雲標準-麒麟安全基準檢查。

15

阿里雲標準-Activemq安全基準檢查

阿里雲Activemq安全基準檢查。

7

阿里雲標準-Jenkins安全基準檢查

阿里雲Jenkins基準標準。

6

阿里雲標準-RabbitMQ安全基準檢查

阿里雲RabbitMQ安全基準檢查。

4

阿里雲標準-Nginx安全基準檢查

阿里雲Nginx基準檢測。

13

阿里雲標準-SUSE Linux 15安全基準檢查

阿里雲SUSE Linux 15基準標準。

15

阿里雲標準-Uos安全基準檢查

阿里雲Uos基準標準。

15

阿里雲標準-Zabbix安全基準檢查

阿里雲Zabbix安全基準檢查。

6

阿里雲標準-Apache Tomcat安全基準檢查

參考國際通用安全最佳實務及阿里雲基準標準進行中介軟體層面的基準檢測。

13

平安普惠標準-CentOS Linux 7安全基準檢查

基於平安普惠的CentOS Linux 7基準標準。

31

平安普惠風險監控

基於平安普惠的風險監控基準標準。

7

阿里雲標準-SVN安全基準檢查

阿里雲SVN基準標準。

2

阿里雲標準-Alma Linux 8安全基準檢查

阿里雲Alma Linux 8基準標準。

16

阿里雲標準-Rocky Linux 8安全基準檢查

阿里雲Rocky Linux 8基準標準。

16

阿里雲標準-TencentOS安全基準檢查

阿里雲TencentOS基準標準。

16

自訂策略

CentOS Linux 7/8自訂安全基準檢查

全量CentOS Linux 7/8自訂基準模板,可通過模板選擇檢查項及配置檢查項參數,滿足自訂基準需要。

53

CentOS Linux 6自訂基準

全量CentOS Linux 6自訂基準模板,可通過模板選擇檢查項及配置檢查項參數,滿足自訂基準需要。

47

Ubuntu自訂安全基準檢查

阿里雲Ubuntu 14/16/18/20自訂基準標準。

62

Redhat7/8自訂安全基準檢查

Redhat7/8自訂安全基準檢查。

53

密碼安全最佳實務

基準檢查功能可檢測弱口令風險,發現弱口令後,可參考以下最佳實務配置密碼複雜度策略,以提升伺服器安全水位。

密碼複雜度要求

安全的密碼應滿足以下要求:

  • 長度至少為8位字元,建議12位以上。

  • 包含至少三種字元類型:大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字元(如!@#$%^&*)。

  • 避免使用使用者名稱、生日、手機號等個人資訊作為密碼,避免使用常見字典密碼(如admin123、password等)。

  • 不同系統和服務使用不同的密碼,避免多處複用同一密碼。

Linux 系統密碼原則配置

在Linux系統中,可以通過修改PAM(Pluggable Authentication Modules)配置來設定密碼複雜度策略:

  1. 編輯PAM密碼配置。以CentOS/RedHat為例,編輯/etc/security/pwquality.conf檔案,或使用authconfig命令:

    authconfig --passminlen=8 --passminclass=3 --update

  2. 配置密碼到期策略,編輯/etc/login.defs檔案,設定以下參數:

    • PASS_MAX_DAYS:密碼最長使用天數,建議90天。

    • PASS_MIN_DAYS:密碼修改最小間隔天數,建議0天。

    • PASS_WARN_AGE:密碼到期前警告天數,建議7天。

  3. 修改密碼可使用passwd命令:

    passwd 使用者名稱

說明

不同Linux發行版的PAM配置方式可能有所不同,請根據實際情況調整。修改密碼原則前請確認不會影響現有業務的正常運行。

Windows 系統密碼原則配置

在Windows系統中,可以通過本地安全性原則或組策略配置密碼複雜度:

  1. 開啟本地安全性原則(運行secpol.msc)。

  2. 導航至賬戶策略 > 密碼原則

  3. 配置以下策略項:

    • 密碼必須符合複雜性要求:設定為已啟用

    • 密碼長度最小值:建議設定為8個字元或更多。

    • 密碼最長使用到期日:建議設定為90天。

    • 密碼最短使用到期日:建議設定為0天。

    • 強制密碼歷史:建議設定為5個或更多,防止使用者重複使用舊密碼。

說明

如果伺服器已加入域,則密碼原則由網域控制站統一管理,需在網域控制站上配置組策略(GPO)。

通用安全建議

  • 定期修改伺服器密碼和各類服務密碼,降低密碼泄露帶來的風險。

  • 對於SSH遠程登入,建議優先使用密鑰認證替代密碼認證。

  • 利用Security Center基準檢查功能定期掃描弱口令,及時發現並修複密碼安全風險。

  • 如檢測到弱口令警示,請儘快修改為符合複雜度要求的強密碼,並檢查是否存在異常登入行為。

常見問題