基线检查是依据预定义安全标准核查系统配置,确保满足最低安全要求;核心在于持续闭环验证,涵盖策略匹配、关键配置人工核验、扫描—修复—再验证流程及CI/CD卡点嵌入。
定期用漏洞评估工具检查 Web 环境安全基线是否达标,核心不是“扫完就完”,而是把扫描动作变成可重复、可验证、可归档的运维习惯。重点在于:用对策略、盯住配置、闭环验证。
不要直接跑默认全量扫描。先明确你用的是什么技术栈——比如 Nginx + PHP + MySQL + Redis,就应在工具中启用对应组件的基线模板(如 CIS Nginx 1.18 Benchmark、MySQL 8.0 CIS Level 1)。主流工具如 OpenVAS、Nessus、Tenable.sc 都内置了等保2.0、CIS、PCI DSS 等合规基线包。操作时注意:
工具只能比对已知规则,但基线是否真达标,得看它能不能反映真实运行态。以下 4 类配置必须人工核验或加脚本辅助验证:
Strict-Transport-Security、X-Content-Type-Options: nosniff、Content-Security-Policy
.env、config.php.bak、backup/ 等敏感路径可被直接访问(可用 curl -I http://yoursite.com/.env 快速试)127.0.0.1 而非 0.0.0.0
SELECT, INSERT, UPDATE,而非 GRANT ALL 或 DROP
单次扫描结果只是快照,真正体现基线持续达标的是趋势。建议按周执行固定节奏:
openvas-cli --scan config-baseline.yaml)/phpinfo.php 应返回 404,而非页面内容)在 CI/CD 流水线中嵌入轻量级基线校验,比上线后再扫更有效。例如:
docker run --rm -v $(pwd):/app aquasec/kube-bench:latest install 检查容器镜像是否符合 CIS Docker Benchmarknginx -t && nginx -T | grep -E "(ssl|listen|autoindex)" 自动校验关键指令curl -s http://localhost:8080/actuator/env | grep -q "dev" && exit 1,防止测试配置误入生产