安骑士基线检查误查，还发短信不安全

1.弱口令并不仅限于限制访问源IP，这是其中的一种场景，如果内网这台访问的机器从代码漏洞获取其他渠道被入侵了，黑客就可以利用这台机器去内网漫游猜解或尝试你的mysql等其他服务的漏洞，而这个风险是直接dump数据库；
2.基线是安全的最佳实践，基线的产出是在实际运维过程中不断总结改善的出来的结论，安全是一个补短板的过程，遵循水桶原理，看到了任何一个短板都需要去关注，这里买的复杂场景比较多，所以我们要关注每一个细节；
3.安骑士现在还在发育改良中，不好的体验我们将会积极改善，感谢您的建议。

-------------------------

安全风险=资产重要性*威胁*弱点*人员安全意识的综合评价，数据库在整个业务资产体系来说是最高级别的，加上威胁，高风险的弱点，从这个逻辑评估，这个风险就很高，我们讨论的场景是在讨论威胁利用条件，综合评价，这个风险是比较中，但是结合人员的安全意识（变成了习惯？），这里面的风险就会大大增加。

-------------------------

1.在业务之间调用通信的需求下，限定内网是尽力而为的安全策略了，这样比全部放开的宽松策略要提升了安全能力；
2.安骑士现在是基于主机的检测，没有去综合判断威胁条件，已经规划中了未来会支持，感谢您的建议。

没毛病，正常的基线检查出的弱口令。不会因为你限制了本机访问，而去调整整个的基线检查策略，去忽略这种场景下的弱口令问题。弱口令问题的确很严重。更换密码或许会增加您维护系统的工作量。但是，从安全的角度来说，指标要治本，建议依旧是更换为强度更高的密码策略。

-------------------------

引用第6楼正禾于2017-09-07 09:08发表的 回 5楼(凌风认证) 的帖子 :
1.弱口令并不仅限于限制访问源IP，这是其中的一种场景，如果内网这台访问的机器从代码漏洞获取其他渠道被入侵了，黑客就可以利用这台机器去内网漫游猜解或尝试你的mysql等其他服务的漏洞，而这个风险是直接dump数据库；
2.基线是安全的最佳实践，基线的产出是在实际运维过程中不断总结改善的出来的结论，安全是一个补短板的过程，遵循水桶原理，看到了任何一个短板都需要去关注，这里买的复杂场景比较多，所以我们要关注每一个细节；
3.安骑士现在还在发育改良中，不好的体验我们将会积极改善，感谢您的建议。 [url=https://bbs.aliyun.com/job.php?action=topost&tid=534838&pid=1742999][/url]

学习了，谢谢。

可笑的回复，安骑士并不知道您的环境只是对内的

不知道还发短信 不安全？靠猜测的也行吗？

-------------------------

就是说我们自己做的安全限制，你们安骑士就可以不认可了，从安全的角度来讲，限制仅本机访问并不安全？

-------------------------

什么时候安骑士的指导就成了“最高指导方针”了？漏洞提醒假如有20个，他列出20个修复方式以显得自己专业，他们为什么不指导ubuntu系统请用 apt-get upgrade或apt-get dist-upgrade呢？

-------------------------

mysql 限制本机访问本身就有安全措施可以限制只允许 127.0.0.1 访问，他为什么不检测 my.cnf 文件呢，他凭什么就这么认为高危就直接吓唬别人了，而且不断的短信，邮件。

-------------------------

你这是转移话题，我们谈的目前就是说限定内网是否安全，你却扯到其余代码方式，那其余代码方式有问题，你强口令又有何用？
其余是其余的考虑拜托，一事归一事。

-------------------------

第1点是转移话题我不认同
第2和第3你也说了还不完善，结果也并不可靠，不可靠的结果让别人怎么想呢。

-------------------------

第1点有点勉为其难的自圆其说，按你这么想如果root口令完了，你认为mysql口令强就安全了，文件全复制走，一样可以拿到所有数据