安服仔养成篇——基线检查

• 基线检查概念理解

先放白嫖来的解释：

“安全基线是保持信息系统安全的机密性、完整性、可用性的最小安全控制，是系统的最小安全保证，最基本的安全要求。”

啥意思呢，基线检查其实就是对操作系统、中间件、数据库、网络设备等多类进行配置检查，简单点讲就是看是否满足最小权限原则，举两个个例子，比如关键文件能给只读就不会给写的权限，不允许ssh到root权限用户等，一切以不影响系统运行的最小权限开放原则进行（所以完全进行整改的话有可能会出现影响业务运行的问题，大部分原因都是因为系统之间的调用或者系统建立之初就存在配置不规范、以及文件权限问题的问题）。

• 基线检查方式

先提一点，由于提供基线检查服务厂商的不同，使用方式也不尽相同，所采用的标准也存在差异，还是以实际为准，这里给大家一个参考。

①手工测试

这个就是一条条敲命令了，windows就是一个一个配置去查，然后截图告诉你哪里不合规。

②自动化测试

这里也小分一下两个主要的测试方式，一个是跑脚本（Linux比较多，Windows也有，见过，较少，基本是下一种方式多一点点）；第二种是用专用的工具进行，这里就看各位师傅造化了，up见识短浅，就见过ah、qax的用自己家的设备进行基线检查，lm的目前遇到的是用脚本，也没机会自己上手看看，我就是个只能看报告的。也有部分厂家自己的安全设备自带了基线检查的功能，比如某x服的edr就带有，但是都要装上agent，有操作系统的限制，以及吃性能的风险。

• 基线检查项

1.共享账号检查

2.多余账户锁定策略

3.root账户远程登录限制

4.口令复杂度策略

5.口令最长生存期策略

6.系统关键目录权限控制

7.用户缺省权限控制

8.安全日志完备性要求

9.统一远程日志服务器配置

10.设置history时间戳

11. SSH登录配置

12.关闭不必要的系统服务

13.禁止Control-Alt-Delete键盘关闭命令

14.安装操作系统更新补丁

↑不一定全，一样，因为提供服务厂家的不同会有些许差异，仅供大家参考。

• 总结：

基线检查是安服必备的一个重要知识点，包括检查内容、具体过程、加固方案等都是很好的加分项，尤其适合刚出来的愣头小子，基线检查本身需要的技能包不复杂，具体内容比较考验基本功，难点在于繁杂的检查项以及后期整改加固时需要考虑对业务的影响，需要从实际出发来完成加固工作。

​诚邀您关注一己之见安全团队公众号！我们会不定期发布网络安全技术分享和学习笔记，您的关注就是给予我们最大的动力！