精华内容
下载资源
问答
  • 中间件基线配置扫描脚本,里面包括了linux windows aix hpunix redhat等操作系统上的安全扫描脚本。都是window环境下的脚本。
  • [K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描 简介 关于CIS “CIS(Center for Internet Security) 是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决...

    简介

    关于CIS

    “CIS(Center for Internet Security) 是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),他们遵循一致的决策制定模型。

    CIS 基准是安全配置系统的配置基线和最佳做法。 每则指导建议都参考了一个或多个 CIS 控制措施,可帮助组织改进其网络防御能力。 CIS 控制措施与许多已建立的标准和规章框架对应,包括 NIST 网络安全框架 (CSF) 和 NIST SP 800-53、ISO 27000 系列标准、PCI DSS、HIPAA 等等。

    每个基准都经历了两个阶段的共识评审。 第一个阶段属于初始开发过程,专家聚集在一起,讨论、创建和测试工作草案,直到就基准达成一致。 在第二阶段中,在发布基准后,共识团队将审核 Internet 社区中的反馈,以纳入基准中。”

    对于安全从业人员来说,CIS提供了很好地最佳实践模型和基准,几乎涵盖了IT基础架构中的方方面面,包括常见的,Benchmark for Windows, Benchmark for Linux, Benchmark for Oracle, Benchmark for Cisco, Benchmark for Docker, Benchmark for Kubernetes, 等等(https://www.cisecurity.org/cis-benchmarks/)。

    很多漏洞扫描工具也有集成基于CIS Benchmark 的扫描基线,以满足IT安全人员日常审计的需求。

    关于Kube-Bench

    在这里插入图片描述

    Kube-Bench是Aqua发布的一款开源的K8s安全审计工具,基于CIS Benchmark for Kubernetes用Go语言开发。该工具会检查你是否根据CIS定义的Kubernetes安全基线部署了Kubernetes集群。(https://github.com/aquasecurity/kube-bench)。Kube-Bench的更新版本并不与Kubernetes的版本号一一对应,所以在部署Kube-bench前你要了解你要审计的k8s环境的具体版本是什么。
    在这里插入图片描述

    Kube-bench 安装

    有四种方法安装Kube-Bench

    1.在容器中运行kube-bench

    2.在宿主机上运行一个单独的容器安装kube-bench

    3.下载release文件

    4.源码编译安装

    本文中笔者选用第二种安装方法。

    安装命令: docker run --rm -v pwd:/host aquasec/kube-bench:latest install

    [root@master ~]# mkdir /opt/kube-bench &&  cd /opt/kube-bench
    
    [root@master kube-bench]# docker run --rm -v `pwd`:/host aquasec/kube-bench:latest install
    

    等待安装,镜像大小约19M

    [root@master kube-bench]# docker images
    
    REPOSITORY                                                      TAG                            IMAGE ID            CREATED            SIZE
    
    aquasec/kube-bench                                              latest                        65a956464fd7        5 days ago          19.3MB
    

    安装完成后,会在安装路径下出现一个kube-bench可执行文件

    [root@master kube-bench]# ll
    
    total 11126
    
    drwxr-xr-x 8 root root    1024 Aug 18 15:36 cfg
    
    -rwxr-xr-x 1 root root 11391798 Aug 18 15:36 kube-bench
    

    常用命令:

    [root@master kube-bench]# ./kube-bench -help      ---->查看使用帮助
    
    [root@master kube-bench]# ./kube-bench master    ---->扫描master节点
    
    [root@master kube-bench]# ./kube-bench node       ---->扫描node节点
    
    [root@master kube-bench]# ./kube-bench node  --version 1.17    ---->扫描node节点,并指定k8s版本
    

    配置自动化扫描
    因为kube-bench工具进行k8s扫描操作比较简单,所以可以使用shell脚本来实现定期定时的自动化k8s集群安全基线扫描。并且将扫描报告以邮件方式发送出来。

    前期准备:

    1.K8s集群的各节点已经安装了kube-bench

    2.各节点可以免密ssh登录(可以用ssh-keygen实现)

    脚本如下:具体路径可以按需更改

    root@master kube-bench]#cat k8s_scan.sh
    
    #! /bin/bash
    
    ## get date
    
    strDate=$( date +%Y-%m-%d )
    
    ## get k8s cluster machines info
    
    hostlist=($( kubectl get nodes --show-labels | awk 'NR == 1 {next} {print $1}') )
    
    ##create report path
    
    mkdir -p /tmp/Kube-bench-scanreports/$strDate
    
    path=/tmp/Kube-bench-scanreports/$strDate
    
    ##get currenthost 
    
    curhost=$( hostname ) 
    
    ## run kube-bench scan for each node
    
    i=0
    
    for host in ${hostlist[@]}
    
    do
    
    hostname=${hostlist[i]}
    
    role=$( kubectl get nodes $hostname --show-labels | awk '{getline}{print $3}' )
    
    {  
    
      if [ $role == "worker" ]
    
      then
    
      r="node"
    
      ssh root@$hostname -tt << EOF 
    
      mkdir -p /tmp/Kube-bench-scanreports/$strDate/ 
    
      cd /opt/kube-bench  
    
       ./kube-bench $r > $path/K8s-scanreport-node-$hostname-$strDate.csv
    
       scp $path/K8s-scanreport-node-$hostname-$strDate.csv root@$curhost:$path/
    
       exit
    
    EOF
    
    
    
      elif [ $role == "master" ]
    
      then
    
      ssh root@$hostname -tt << EOF
    
      mkdir -p /tmp/Kube-bench-scanreports/$strDate/
    
      cd /opt/kube-bench 
    
      ./kube-bench $role > $path/K8s-scanreport-master-$hostname-$strDate.csv  
    
      scp $path/K8s-scanreport-master-$hostname-$strDate.csv root@$curhost:$path/
    
      exit
    
    EOF
    
      fi
    
    i=$i+1
    
    }
    
    done
    
    echo "Kubernetes Security Baseline Scan Report for below cluster:" > $path/K8sstatus
    
    kubectl get nodes -o wide >> $path/K8sstatus
    
    ##send email with reports as attachment
    
    cd $path 
    
    cat $path/K8sstatus | mail -s "Kubernetes Security Baseline Scan Report @$strDate"   $( printf -- '-a %q ' *.csv )  -c bolide24@test.com bolide25@test.cn 
    

    然后可以使用crontab 设置定时任务跑脚本,定期发送报告邮件出来

    收到邮件的格式:
    在这里插入图片描述

    写在后边:

    目前一些Kubernetes的管理平台 Rancher, Kubeoperator等已经支持集成kube-bench,如果已经在使用这些平台的话也可以使用平台上的相应功能来完成扫描。

    展开全文
  • 脚本语言实现的mysql,linux,nginx配置信息规范基线检查工具
  • 中国移动大数据平台安全基线要求规范及明细,精心整理发布版
  • 安全加固基线大全

    2018-02-07 12:18:07
    共33份基线文件,包括,主流操作系统安全加固基线,主流网络设备安全加固基线,主流中间件安全加固基线,主流数据库安全加固基线
  • 主机安全基线检查表

    2018-06-29 15:32:55
    2018年主机基线安全检查表,可根据该表对主机和服务器进行安全加固检测!
  • 非常全面的基线检查脚本,包括:各类数据库、网络设备、中间件、操作系统等,非常全面的基线检查脚本
  • 主机基线扫描脚本

    2017-09-30 09:36:47
    linux,windows主机安全基线脚本,完善主机配置,避免入侵。
  • 当前在服务上线前,安全部门都会对服务基线配置进行把关,整个流程可以分为扫描、生成报告、修复三步。 在执行这一流程时当前普遍的做法是半自动化的,扫描和生成报告是自动化的,执行扫描、执行生成报告和修复都是...

    一、背景说明

    当前在服务上线前,安全部门都会对服务基线配置进行把关,整个流程可以分为扫描、生成报告、修复三步。

    在执行这一流程时当前普遍的做法是半自动化的,扫描和生成报告是自动化的,执行扫描、执行生成报告和修复都是手动的。

    这里我们要讲的,一是扫描脚本和生成报告脚本实现,二是执行扫描、执行生成报告和修复自动化实现。

     

    二、项目说明

    2.1 检测项

    1. 删除示例文档
    删除webapps/docs、examples、manager、ROOT、host-manager
    禁用tomcat默认帐号
    如下所示,将conf/tomcat-user.xml中的所有用户的注释掉(tomcat默认已不启用账号,如果启用请修改用户名及密码)
    <!--
    <role rolename="tomcat"/>
    <role rolename="role1"/>
    <user username="tomcat" password="tomcat" roles="tomcat"/>
    <user username="both" password="tomcat" roles="tomcat,role1"/>
    <user username="role1" password="tomcat" roles="role1"/>
    -->
    
    2. 禁止列目录
    编缉conf/web.xml,确认serlet标签内是否已存在以下内容
    <init-param>
    <param-name>listings</param-name>
    <param-value>false</param-value>
    </init-param>
    
    3. 自定义错误页面
    编缉conf/web.xml在倒数第1行之前加
    <error-page>
    <error-code>401</error-code>
    <location>/401.htm</location>
    </error-page>
    <error-page>
    <error-code>404</error-code>
    <location>/404.htm</location>
    </error-page>
    <error-page>
    <error-code>500</error-code>
    <location>/500.htm</location>
    </error-page>
    然后在webapps目录中创建相应的401.html\404.htm\500.htm文件;当然也可以修改成其他任意自定义错误文件。
    
    4. 开启访问日志
    修改conf/server.xml,取消注释
    <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
    启用access_log后,重启tomcat,在tomcat_home/logs中可以看到访问日志。
    隐藏版本号
    使用winrar等工具打开lib/catalina.jar,编缉其中的org/apache/catalina/util/ServerInfo.properties,将server.info和server.number两项的版本号都去掉,改成如下形式然后保存
    server.info=Apache Tomcat
    server.number=
    
    5. 修改默认监听端口 编缉conf
    /server.xml把8080改成其他端口 6. 不以root/admin用户运行程序 如非必要不要以root/admin账号运行tomcat。另外注意非root用户默认不能使用1024以下端口。

     

    2.2 总体设计思路

    分扫描、生成报告、生成修复脚本、修复脚本四个部分。

    扫描直接使用shell脚本做,因为如果使用python等语言,一是要确保目标机装有python二是即使用python最终很多还是使用os模块执行shell命令。

    扫描只获取大致结果,不做具体合规分析,因为shell判断合规比较复杂。

    生成报告使用python,其读取扫描返回的结果,进行合规分析并生成html报告

    生成修复脚本使用python,其解析上步生成的html报告,针对不合规项生成修复脚本。

    修复脚本使用shell,修复脚本还会生成简单日志,供修复出问题时排查使用。

    为了简化修复脚本完全根据html报告生成,而不自己再去判断当前是否合规需要修复(不然python部分就没什么意义了)

    任务语言说明输出
    扫描shellshell只获取大体信息并不进行判断是否合规 $IP_tomcat_info.xml
    生成报告python解析$IP_tomcat_info.xml生成html报告 $IP_tomcat_report.html
    生成修复脚本python根据$IP_tomcat_report.html对不合规项生成修复脚本 $IP_tomcat_fix.sh
    修复shell对不合规项进行修复$IP_tomcat_fix.log

     

     

     

     

     

     

     

     

    三、具体实现

    目录结构如下图

     

    3.1 手动执行过程

    第一步,将1_scanner/tomcat_baseline_scanner.sh上传到要扫描的主机上执行(修改其中CATALINA_HOME为要扫描的tomcat的主目录)

    第二步,将1_scanner/tomcat_baseline_scanner.sh在生成的/tmp/$IP_tomcat_info.xml取回放到2_info目录下

    第三步,执行3_parse/tomcat_baseline_parse.py其会自动解析2_info目录下的所有$IP_tomcat_info.xml并在4_report目录下生成各自对应的$IP_tomcat_report.html

    第四步,点开4_parse即可看到各$IP_tomcat_info.xml对应的$IP_tomcat_report.html

    第五步,执行5_parse/tomcat_baseline_fix.py其会根据4_report/$IP_tomcat_report.html在6_fix目录下生成修复脚本$IP_tomcat_fix.sh

    第六步,将$IP_tomcat_fix.sh上传到对应主机执行,并将生成的/tmp/$IP_tomcat_fix.log取回放到7_log

     

    3.2 全自动化

    我们前面说的是全自动化,但上面明显有很多手动操作。

    其实整个流程的自动化可以分为两类,一类是扫描、生成报告、修复本身的自动化,二是扫描、生成报告、修复串联的自动化。

    我们2.1已将扫描、生成报告、修复本身实现自动化,串联本质是一串shell命令其自动化我们使用ansible实现。

    (很多人都说ansible好用但要我觉得很复杂,比如下面使用用户名密码方式我都指定了ssh用户名密码,传文件还要我手动输用户名密码是智障吧而且找了半天找不到解决办法)

     

    四、操作演示

    演示机器----192.168.220.136(ansible、操作系统Kali)、192.168.220.143(目标机、操作系统Ubuntu16.04)

    以下操作都是在ansible机器上操作,目标机的工作就只是保证在待扫描目录(现在是/opt/apache-tomcat-8.5.35)下装有tomcat。

     

    4.1 上传程序及安装miniconda

    我们这里上传到/opt/sec。

    另外由于报告解析和修复脚本生成是python写的,所以需要安装python。

    默认ubuntu安装有python,在实验中发现使用apt直接装的python一直运行报错,使用miniconda装的才成功运行(而且python命令一定要使用绝对路径),原因不清楚。

    miniconda我装到了/opt/miniconda3,下载地址:https://conda.io/en/latest/miniconda.html

    额外需要安装库:pip install lxml requests-file requests-html

     

    4.2 ansible及相关配置

    第一步,安装sshpass。ansible本质还是通过ssh登录的,一般的做法是配置免密登录但这比较危险我们这里使用sshpass通过密码登录。

    apt-get install sshpass -y

    第二步,安装配置ansible。

    apt-get install ansible -y

    编缉/etc/ansible/hosts在其末尾追加以下内容

    [sec_control]
    192.168.220.136 ansible_ssh_user=root ansible_ssh_port=22 ansible_ssh_pass=toor
    [sec_control:vars]
    xml_parse_path=/opt/sec/tomcat/3_parse
    html_parse_path=/opt/sec/tomcat/5_parse
    
    [sec_target]
    # ip后如果有变量则这些变量是该ip的私有变量
    192.168.220.143 ip=192.168.220.143 ansible_ssh_user=ls ansible_ssh_port=22 ansible_ssh_pass=toor
    # 以下是本节所有机器的共用变量  
    [sec_target:vars]
    # 脚本上传的目录  
    tmp_path=/tmp/ansible
    # 扫描脚本在本地的目录  
    scanner_path=/opt/sec/tomcat/1_scanner
    # 扫描报告下载到的目录  
    info_path=/opt/sec/tomcat/2_info
    # 修复脚本在本地的目录  
    fix_path=/opt/sec/tomcat/6_fix
    # 日志文件下载到的目录  
    log_path=/opt/sec/tomcat/7_log

    编缉/etc/ansible/ansible.cfg,将以下项前的#号去掉

    host_key_checking = False

     

    4.3 执行扫描并修复

    进入ansible目录,执行命令直接完成扫描、生成报告和加固:

    ansible-playbook sec.yml 

    报告部分截图如下:

     二次扫描结果如下:

     

    五、源代码

    github:https://github.com/PrettyUp/Security-Baseline

     

    参考:

    http://blog.51cto.com/wujianwei/2082880

    转载于:https://www.cnblogs.com/lsdb/p/10305139.html

    展开全文
  • 这种类似于安全扫描类似于安全基线检查,对相应的项进行逐条核查,可以有效地规避一些安全风险。他的github地址:https://github.com/docker/docker-bench-security使用方法如下:docker run --rm --...
      docker官方提供安全扫描工具用于检查有关在生产中部署Docker容器的安全问题。 这种类似于安全扫描类似于安全基线检查,对相应的项进行逐条核查,可以有效地规避一些安全风险。

    他的github地址https://github.com/docker/docker-bench-security

    使用方法如下:

    docker run --rm --net host --pid host --userns host --cap-add audit_control     -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST     -v /etc:/etc:ro     -v /usr/bin/containerd:/usr/bin/containerd:ro     -v /usr/bin/runc:/usr/bin/runc:ro     -v /usr/lib/systemd:/usr/lib/systemd:ro     -v /var/lib:/var/lib:ro     -v /var/run/docker.sock:/var/run/docker.sock:ro     --label docker_bench_security     docker/docker-bench-security

    如图所示:

    79609bbf4bf8a2afabb4b435ec317256.png

    执行完成之后可以看到下面的结果

    [root@kali.org ~]# docker run --rm --net host --pid host --userns host --cap-add audit_control     -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST     -v /etc:/etc:ro     -v /usr/bin/containerd:/usr/bin/containerd:ro     -v /usr/bin/runc:/usr/bin/runc:ro     -v /usr/lib/systemd:/usr/lib/systemd:ro     -v /var/lib:/var/lib:ro     -v /var/run/docker.sock:/var/run/docker.sock:ro     --label docker_bench_security     docker/docker-bench-security# ------------------------------------------------------------------------------# Docker Bench for Security v1.3.4## Docker, Inc. (c) 2015-## Checks for dozens of common best-practices around deploying Docker containers in production.# Inspired by the CIS Docker Community Edition Benchmark v1.1.0.# ------------------------------------------------------------------------------Initializing Sat Nov 21 13:20:07 UTC 2020[INFO] 1 - Host Configuration[WARN] 1.1  - Ensure a separate partition for containers has been created[NOTE] 1.2  - Ensure the container host has been Hardened[INFO] 1.3  - Ensure Docker is up to date[INFO]      * Using 1.13.1, verify is it up to date as deemed necessary[INFO]      * Your operating system vendor may provide support and security maintenance for Docker[INFO] 1.4  - Ensure only trusted users are allowed to control Docker daemon[WARN] 1.5  - Ensure auditing is configured for the Docker daemon[WARN] 1.6  - Ensure auditing is configured for Docker files and directories - /var/lib/docker[WARN] 1.7  - Ensure auditing is configured for Docker files and directories - /etc/docker[WARN] 1.8  - Ensure auditing is configured for Docker files and directories - docker.service[INFO] 1.9  - Ensure auditing is configured for Docker files and directories - docker.socket[INFO]      * File not found[INFO] 1.10  - Ensure auditing is configured for Docker files and directories - /etc/default/docker[INFO]      * File not found[WARN] 1.11  - Ensure auditing is configured for Docker files and directories - /etc/docker/daemon.json[INFO] 1.12  - Ensure auditing is configured for Docker files and directories - /usr/bin/docker-containerd[INFO]      * File not found[INFO] 1.13  - Ensure auditing is configured for Docker files and directories - /usr/bin/docker-runc[INFO]      * File not found[INFO] 2 - Docker daemon configuration[WARN] 2.1  - Ensure network traffic is restricted between containers on the default bridge[PASS] 2.2  - Ensure the logging level is set to 'info'[PASS] 2.3  - Ensure Docker is allowed to make changes to iptables[PASS] 2.4  - Ensure insecure registries are not used[PASS] 2.5  - Ensure aufs storage driver is not used[INFO] 2.6  - Ensure TLS authentication for Docker daemon is configured[INFO]      * Docker daemon not listening on TCP[INFO] 2.7  - Ensure the default ulimit is configured appropriately[INFO]      * Default ulimit doesn't appear to be set[WARN] 2.8  - Enable user namespace support[PASS] 2.9  - Ensure the default cgroup usage has been confirmed[PASS] 2.10  - Ensure base device size is not changed until needed[WARN] 2.11  - Ensure that authorization for Docker client commands is enabled[PASS] 2.12  - Ensure centralized and remote logging is configured[WARN] 2.13  - Ensure operations on legacy registry (v1) are Disabled[WARN] 2.14  - Ensure live restore is Enabled[WARN] 2.15  - Ensure Userland Proxy is Disabled[INFO] 2.16  - Ensure daemon-wide custom seccomp profile is applied, if needed[PASS] 2.17  - Ensure experimental features are avoided in production[WARN] 2.18  - Ensure containers are restricted from acquiring new privileges[INFO] 3 - Docker daemon configuration files[PASS] 3.1  - Ensure that docker.service file ownership is set to root:root[PASS] 3.2  - Ensure that docker.service file permissions are set to 644 or more restrictive[INFO] 3.3  - Ensure that docker.socket file ownership is set to root:root[INFO]      * File not found[INFO] 3.4  - Ensure that docker.socket file permissions are set to 644 or more restrictive[INFO]      * File not found[PASS] 3.5  - Ensure that /etc/docker directory ownership is set to root:root[PASS] 3.6  - Ensure that /etc/docker directory permissions are set to 755 or more restrictive[PASS] 3.7  - Ensure that registry certificate file ownership is set to root:root[PASS] 3.8  - Ensure that registry certificate file permissions are set to 444 or more restrictive[INFO] 3.9  - Ensure that TLS CA certificate file ownership is set to root:root[INFO]      * No TLS CA certificate found[INFO] 3.10  - Ensure that TLS CA certificate file permissions are set to 444 or more restrictive[INFO]      * No TLS CA certificate found[INFO] 3.11  - Ensure that Docker server certificate file ownership is set to root:root[INFO]      * No TLS Server certificate found[INFO] 3.12  - Ensure that Docker server certificate file permissions are set to 444 or more restrictive[INFO]      * No TLS Server certificate found[INFO] 3.13  - Ensure that Docker server certificate key file ownership is set to root:root[INFO]      * No TLS Key found[INFO] 3.14  - Ensure that Docker server certificate key file permissions are set to 400[INFO]      * No TLS Key found[WARN] 3.15  - Ensure that Docker socket file ownership is set to root:docker[WARN]      * Wrong ownership for /var/run/docker.sock[PASS] 3.16  - Ensure that Docker socket file permissions are set to 660 or more restrictive[PASS] 3.17  - Ensure that daemon.json file ownership is set to root:root[PASS] 3.18  - Ensure that daemon.json file permissions are set to 644 or more restrictive[INFO] 3.19  - Ensure that /etc/default/docker file ownership is set to root:root[INFO]      * File not found[INFO] 3.20  - Ensure that /etc/default/docker file permissions are set to 644 or more restrictive[INFO]      * File not found[INFO] 4 - Container Images and Build File[INFO] 4.1  - Ensure a user for the container has been created[INFO]      * No containers running[NOTE] 4.2  - Ensure that containers use trusted base images[NOTE] 4.3  - Ensure unnecessary packages are not installed in the container[NOTE] 4.4  - Ensure images are scanned and rebuilt to include security patches[WARN] 4.5  - Ensure Content trust for Docker is Enabled[WARN] 4.6  - Ensure HEALTHCHECK instructions have been added to the container image[WARN]      * No Healthcheck found: [docker.io/elfgzp/gortal:latest][PASS] 4.7  - Ensure update instructions are not use alone in the Dockerfile[NOTE] 4.8  - Ensure setuid and setgid permissions are removed in the images[INFO] 4.9  - Ensure COPY is used instead of ADD in Dockerfile[INFO]      * ADD in image history: [docker.io/elfgzp/gortal:latest][INFO]      * ADD in image history: [docker.io/docker/docker-bench-security:latest][INFO]      * ADD in image history: [registry.cn-hangzhou.aliyuncs.com/arpet/docker-dd-agent:release][NOTE] 4.10  - Ensure secrets are not stored in Dockerfiles[NOTE] 4.11  - Ensure verified packages are only Installed[INFO] 5 - Container Runtime[INFO]      * No containers running, skipping Section 5[INFO] 6 - Docker Security Operations[INFO] 6.1  - Avoid image sprawl[INFO]      * There are currently: 3 images[INFO] 6.2  - Avoid container sprawl[INFO]      * There are currently a total of 1 containers, with 1 of them currently running[INFO] 7 - Docker Swarm Configuration[PASS] 7.1  - Ensure swarm mode is not Enabled, if not needed[PASS] 7.2  - Ensure the minimum number of manager nodes have been created in a swarm (Swarm mode not enabled)[PASS] 7.3  - Ensure swarm services are binded to a specific host interface (Swarm mode not enabled)[PASS] 7.4  - Ensure data exchanged between containers are encrypted on different nodes on the overlay network[PASS] 7.5  - Ensure Docker's secret management commands are used for managing secrets in a Swarm cluster (Swarm mode not enabled)[PASS] 7.6  - Ensure swarm manager is run in auto-lock mode (Swarm mode not enabled)[PASS] 7.7  - Ensure swarm manager auto-lock key is rotated periodically (Swarm mode not enabled)[PASS] 7.8  - Ensure node certificates are rotated as appropriate (Swarm mode not enabled)[PASS] 7.9  - Ensure CA certificates are rotated as appropriate (Swarm mode not enabled)[PASS] 7.10  - Ensure management plane traffic has been separated from data plane traffic (Swarm mode not enabled)

    723b063b1c345422dd18bf9e1ab1e12f.png

    从上图结果可以看到其中标红【WARN】是需要改进的,标绿【PASS】表示通过检测,【INFO】项的话,看需要是否进行调整,如调整完成,可在重新检测规避风险。

    关注我让你成为云端最靓的builder

    f1ac7b8c106443a03d15775257ce9ec8.gif

    展开全文
  • 怎么对服务器进行基线和漏洞扫描 内容精选换一换如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以...

    怎么对服务器进行基线和漏洞扫描 内容精选

    换一换

    c8a5a5028d2cabfeeee0907ef5119e7e.png

    如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。有关对主机进行授权的详细操作,请参见如何对主机进行授权?。

    北京时间1月3日,Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞,漏洞详情如下:漏洞名称:Intel处理器存在严重芯片级漏洞漏洞编号:CVE-2017-5753、CVE-2017-5715、CVE-2017-5754严重程度:高危漏洞描述:CPU内核高危漏洞Meltdown(CVE-2017-5754)和Sp

    怎么对服务器进行基线和漏洞扫描 相关内容

    容器安全服务提供基础版、企业版以及按需防护三个版本供您选择。用户同意服务授权后,即可免费体验基础版。基础版仅提供检测私有镜像仓库漏洞、官方镜像仓库漏洞的漏洞详情和解决方案。了解集群镜像安全和容器运行时安全,可选择按需防护。按需防护版本开启集群防护功能即可使用。按需防护暂不提供恶意检测、基线检测、软件信息以及文件信息检测。为及时和深入了解资

    华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。

    怎么对服务器进行基线和漏洞扫描 更多内容

    3534dd170a545b94273de228dc486b40.png

    华为云漏洞扫描服务不同于一般的扫描工具,因为VSS的扫描原理是基于自动化渗透测试(对被扫描的对象发送非恶意的攻击报文),因此需要确保用户扫描的网站的所有权是用户自己。下载鉴权文件上传到网站根目录的文件认证方式。华为云租户一键认证 。没有将认证时使用的IP加入到网站访问白名单中。文件认证时,如果网站有访问限制,请您将以下IP添加至网站访问的

    293f5c3a9815ee95e4ed79a7f04b8f18.png

    对于Web站点及关键主机,建议定期进行安全评估(安全体检服务-专业安全评估),以及时发现、规避安全风险。服务测试范围包括:网站类:SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。主机类:远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。网站类:SQL注入、XSS跨站、文件包含、任意文件

    631651361fa2e5698f6a9d681fb5668c.png

    对于每一个需要授权访问的页面或Servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作。对用户的最终认证处理过程放在服务器上执行。用户产生的数据在服务端进行校验,数据在输出到客户端前必须先进行HTML编码,以防止执行恶意代码、跨站脚本攻击。使用Web安全扫描软件扫描Web服务器和Web应用,不存在高级别的漏洞。

    a4c4c5b28481f97f2139da8bb7c47c58.png

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    0a0ca88b94963916c79cc35f28e2f501.png

    对于Web站点及关键主机,建议定期进行安全评估(安全体检服务-专业安全评估),以及时发现、规避安全风险。服务测试范围包括:网站类:SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。主机类:远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。网站类:SQL注入、XSS跨站、文件包含、任意文件

    39119fac39059b64817699818002d26a.png

    发布SaaS类商品如涉及为用户提供网站服务(包括业务前台,管理后台portal等),您需确保您的应用不存在恶意内容,高危漏洞等。请您先对应用完成安全漏洞扫描自测试,具体操作流程如下:一次最多同时支持5个扫描服务。同一域名不可同时存在多处扫描,如域名已在其他账号或已在VSS服务进行扫描,请先将其扫描任务删除,再返回云市场卖家中心进行扫描。同

    55a2638139d68369d49b3058cd5d88e8.png

    企业主机安全(Host Security Service,HSS)是提升主机整体安全性的服务,为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能,降低主机被入侵的风险。

    b80c406dd1bff1336ad2b20072f4b1ca.png

    华为云CCI团队已经于7月22日识别 Kubernetes 安全漏洞CVE-2020-13401并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。Kubernetes官方发布安全漏洞CVE-2020-13401,CVSS Rating: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/

    bde960fb156614c03a124ff840e10cb0.png

    企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版供您选择,具体差异请参见表1。详细的功能介绍请参见功能特性。企业主机安全服务包含基础版、企业版、旗舰版和网页防篡改版四个版本,支持版本间升级。请根据您已购买的配额版本,选择升级后的配额版本。若已购买包周期基础版,可以升级为企业版、旗舰版或者网页防篡改版。若已购买包周期企业版,可以升级为

    9bf196c9a2e0b7b0bc69748c838418a5.png

    华为云Web应用防火墙服务帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用Web应用防火墙服务。

    359866fbd3d89c6b4b0a93acc1fa4c87.png

    当您的物理服务器为Linux操作系统,且满足以下版本要求时,如果您的物理服务器可以远程登录,则可以通过添加跳板机的方式使用漏洞扫描服务。EulerOS:支持的最低系统版本为EulerOS 2.2。CentOS:支持的最低系统版本为CentOS 6.3。RedHat:支持的最低系统版本为Red Hat Enterprise Linux 6.

    展开全文
  • windows10 1803版本,安全基线检查规则及说明文档。
  • 自动化安全基线检查脚本

    千次阅读 2020-04-21 08:21:38
    ***** linux基线检查脚本 ***** ***** Author gohb ***** ************************************************************************************* ***** linux基线配置规范设计 ***** ***** 输出结果"/tmp/${ip...
  • Mysql安全基线检查

    2021-01-28 04:26:47
    links:是否支持符号链接,即数据库或表可以存储在my.cnf中指定datadir之外的分区或目录,为0不开启 禁用符号链接以防止各种安全风险加固建议 编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置symbolic-links=0,...
  • 内含各主流交换机的安全基线检测脚本或命令,包括Cisco、Fortigate、H3C、华为、Juniper、ZTE、力腾、锐捷等交换机及路由器配置规范
  • 山石网科通信技术有限公司Hillstone Networks 成立于2006年,专注于网络安全领域的前沿技术创新,为企业级和运营商用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。Hillstone以网络安全的需求变化为...
  • 各大主流交换机的安全基线检测脚本或命令 包括Cisco、Fortigate、H3C、华为、Juniper、ZTE、力腾、锐捷等交换机及路由器配置规范
  • linux自动化安全基线检查脚本

    千次阅读 2020-03-18 20:57:42
    2.基线扫描 使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告的形式体现出扫描结果 有的工具将配置采集和配置对比分开,通过自动化脚本采集配置...
  • 这个脚本主要是用于检查Linux系统的一些基础配置是否存在危险,能够快速的发现问题...# Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod u+x check.sh # 如提示找不到文件 在vi编辑模式下 set
  • linux下安全基线配置

    2021-03-09 17:05:37
    2.基线扫描 3.基线加固自动化脚本的编写 1.检查是否设置口令更改最小间隔天数 2.检查是否设置口令过期前警告天数 3.检查口令生存周期 4.检查口令最小长度 5.检查是否设置grub,lilo密码 6.检查是否设置core ...
  • 整理的一些mysql数据库安全规范,解决数据库部分安全问题。
  • 近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。 只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比...
  • 介绍主要是没找到一款比较好的数据库基线检查工具DB_BASE...检查数据库的文件的权限,是否只归属数据库账户所有,其他程序是否可读可写,网络连接主要用于检查数据库的端口,对外的开放的程度,连接的安全性等等危险...
  • CIS-Microsoft-Windows-Server-2012安全基线
  • 指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。 指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和配置。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,794
精华内容 1,517
关键字:

安全基线扫描