前言

眼下这年头，不上云就跟不上时代，可上了云又得提心吊胆。最近看到个扎心的数据：光是去年，全球网络攻击就暴涨了38%，每次数据泄露都得赔进去3000多万人民币。云上那些安全隐患更让人头疼——敞着门的接口、忘了打补丁的系统漏洞、挂在公网的敏感数据，活脱脱像是给黑客留了VIP通道。过去那套"出事再补"的安全策略，在云计算这种日新月异的环境里，真是越来越力不从心了。

如果没记错的话，其实在去年年底的话题活动中就已经试用过了【安全体检】功能，当时留给我的印象还是蛮深刻的。从系统漏洞到合规红线，配置隐患到暴露风险，都能用自动化引擎把云上资产里里外外查个遍，最实在的是不仅告诉你哪儿有病，连治疗方案都准备好了。相比传统方案要等安全专家上门把脉，这种自助式体检既不用折腾又省银子，对中小型企业特别友好。

免费安全体检

话题地址：使用安全体检功能，看看你有多少未修复的安全问题？

云产品评测｜安全体检

但是这次呢，我还是本着从真实用户的视角出发，通过实际体验与多维度对比，带着三个核心疑问实测了这项服务：

• 真能防患于未然？还是只能做表面文章？

• 检测结果靠谱吗？会不会误诊漏诊？

• 和同类产品比，到底值不值得入手？

阿里云安全体检

该产品是阿里云为用户提供的免费安全检测工具。安全体检服务调用云安全中心、配置审计中免费的安全检测能力，并汇总检测结果，涵盖病毒攻击、风险配置、服务器漏洞三方面。定期使用安全体检工具，可以帮助及时发现风险问题，提升云上安全水平。

实测报告

当我们首次登录时，点击【开启体检】，等待其体检完成。

在体检结束后，可以看到体检结果如下：

点击【安全体检详情】或者【待处理攻击告警】、【待处理风险漏洞】可进一步查看详情。

安全体检详情

基本使用

点击【安全体检详情】，跳转到如下界面：

上面的体检摘要处列着攻击告警、云服务器漏洞和云产品风险配置三个关键值，其中每个关键值的检查项如下表所示：

下面的则是具体每个检查项的事件日志和详细告警。

如果不需要此功能了，我们也可以点击右上角的【安全体检设置】，将其关闭即可。

下面，我们对这台服务器进行模拟攻击，判断该告警的判断是否准确及时。

模拟文件上传攻击告警测试

先回到服务器中，在没有占用的端口处部署一个web服务，切记不要与已有端口冲突，然后放入我们自己写的一个文件上传界面，现在是已知该界面是存在漏洞的。

index.php文件

基础环境配置

# 关闭防火墙和SELinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config

# 安装必要软件
yum install -y epel-release
yum install -y nginx php php-fpm

配置PHP危险设置（仅测试环境）

# 修改php.ini配置
sed -i 's/^upload_max_filesize =.*/upload_max_filesize = 100M/g' /etc/php.ini
sed -i 's/^post_max_size =.*/post_max_size = 100M/g' /etc/php.ini
sed -i 's/^disable_functions =.*/disable_functions =/g' /etc/php.ini
sed -i 's/^allow_url_include =.*/allow_url_include = On/g' /etc/php.ini

配置PHP-FPM

# 修改运行用户
sed -i 's/user = apache/user = nginx/g' /etc/php-fpm.d/www.conf
sed -i 's/group = apache/group = nginx/g' /etc/php-fpm.d/www.conf

# 启动服务
systemctl start php-fpm
systemctl enable php-fpm

配置Nginx

cat > /etc/nginx/conf.d/upload.conf <<EOF
server {
   
    listen       80;
    server_name  localhost;
    root         /var/www/upload;
    index        index.php;

    location / {
   
        try_files \$uri \$uri/ =404;
    }

    location ~ \.php$ {
   
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME \$document_root\$fastcgi_script_name;
        include        fastcgi_params;
    }

    # 危险配置：允许执行上传目录的PHP
    location ~ /uploads/.*\.php$ {
   
        fastcgi_pass   127.0.0.1:9000;
        include        fastcgi_params;
        fastcgi_param  SCRIPT_FILENAME \$document_root\$fastcgi_script_name;
    }
}
EOF

# 创建网站目录
mkdir -p /var/www/upload/uploads
chown -R nginx:nginx /var/www/upload
chmod 777 /var/www/upload/uploads  # 危险权限设置

# 重启服务
systemctl restart nginx php-fpm

部署测试文件

cp index.php /var/www/upload/

打开后界面如下，因为字符串设置有问题，所以有点乱码，这里重点测试shell识别能力，将就一下：

我们按照正常的步骤，写一句话木马，然后抓包上传一个shell.php文件，这里可以看到是上传成功了

返回可以在uploads下访问到，没有被杀

我们蚁剑直接连接，梭哈上线

离大谱的来了！！！究极离大谱的是，服务器都被拿下了，安全中心告警仍然是0？

我还以为是我的操作出现什么问题了，于是去翻了翻产品手册，这才看到云安全中心免费版和其他版本的天差地别。。。免费版仅仅支持四项最基础的监测。

我们进入到云安全中心，愣是一条告警也没有，给我整愣着了，一看左边，一堆功能都是锁着的，这下看懂了。

模拟云服务器漏洞测试

下面主要尝试模拟云服务器漏洞测试，这里我们点击更换一个镜像，使用有已知漏洞的centos7.5的操作系统

点击【资源变配】

依次选择【镜像配置】- 【更换操作系统】-【继续】

选择为7.5即可。

完成镜像更改后，我们点击【检测漏洞】或刷新按钮

可以发现能够检测到polkit pkexec 本地提权漏洞（CVE-2021-4034），我们点击去查看，直接跳转至云安全检测界面

点击漏洞详情，也可以查看到对应的修复措施

我们执行推荐措施如下：

chmod 0755 /usr/bin/pkexec

再次重新检测发现漏洞已经被解决，完美！

如果遇到复杂的，不会解决的漏洞，我们也可以领取漏洞修复资源包~

可以支持控制台一键修复所有漏洞哦，这个还是很有用的！

为了以防万一，我们再用漏扫过一遍，扫到了两个没啥影响的漏洞。

不过这也反应，阿里云的POC库也不是全收录的，总是会有一些漏网之鱼~

模拟云产品风险配置测试

这个就不算模拟了，本身就带了一堆的告警：

点击查看详情，可以直接定位到【文档链接】处，帮助改进风险配置。

测评结论、建议及总结

测评结论

经过此次测评，得出结论如上，对于第一点其实尚有疑惑，理论上说识别一句话木马其实并不难，难道是因为我把服务器的防火墙关掉了？但是也说不通啊，阿里云的攻击告警检测难道不是置于服务器外层的额外产品服务吗？我从外部都getshell了也没理由发现不了啊？所以这里是存疑的。在漏洞识别方面，中高危的识别是很准确的，但是一些低危可能没收录POC，所以也检测不出来。

云产品风险配置是基于阿里云自定义的规则来判断的，所以这里就不过多赘述了。

建议

第一，强调说明攻击告警的数据来源，并说明其与云安全的版本相关

经过实测，云安全中心免费版的检测能力比较少，所以极有可能被攻击了也没有对应的模块来提供告警信息？所以建议标注说明【当前免费版功能有限】。

第二，漏洞检测与漏洞修复可进一步完善

检测与修复都是基于现有POC的情况下进行的，目前收录漏洞约为5w个，其实已经比较全面了，但是目前Github能拿到的漏洞库差不多是11w个，相差还是几乎一倍左右，所以建议可以进一步完善POC库。

第三，云产品风险配置增加快捷跳转按钮

对于这种产品风险的能不能直接提供一个快捷跳转按钮，能够直接跳转到对应产品界面去解决对应的问题？

第四，建议云产品风险配置增加判定规则能自定义或者可自行屏蔽某些规则

在这一块其实有点“一刀切”的感觉了，有些配置对于我们来说就是需要的，所以非常建议能够增加自定义判定规则能或者可自行屏蔽某些规则不纳入检测项。

第五，缺少可视化元素

我这里就说的很直白了，管理层喜欢看什么？建议可以自行选择图形化展示和列表式展示，满足多方差异需求！

第六，建议增加CNVD上公开的最新漏洞作为告示栏

特别是最近很火的ollama漏洞，其实这里就可以增加一个风险提示及修复方案。

总结

因为我本身也是做网安方面的，所以在这方面的了解程度确实更深入一些。首先，我给出的结论是，这个产品对于完全不懂安全但又想在一定程度上提升自身服务器安全水平的个人和企业来说是非常非常有价值的！即使是最便宜的免费版，也能做到识别基础的漏洞并及时给出修复建议，不用在网上到处去找修复措施了，这个最大的价值就是缩短了用户和安全的最后一公里，让小白也能快速学会怎么修自己服务器的漏洞。

如果是愿意花钱的企业，确实也能得到更好的体验，比如【一键修复系统漏洞】、【监控配置态势感知】等，目前这两个服务也可以免费试用，大家可以体验一下。

但是经过一系列实测呢，发现这也并不是所谓的“安全银弹”，能力还是有限的，所以对于极其重视安全的企业，不建议完全依赖该产品的结果来指导安全生产工作，换句话说，我还是不会马上被下岗，哈哈哈

这里也顺便回答开头的几个问题吧

真能防患于未然？还是只能做表面文章？ —— 确实一定程度上可以防患于未然，并非仅限于表面虚浮。

检测结果靠谱吗？会不会误诊漏诊？ —— 比较靠谱，对于中高危漏洞识别都比较准确，但由于POC库数量有限，所以仍可能存在漏诊的情况。

和同类产品比，到底值不值得入手？ —— 该产品的主要针对对象是阿里云的ECS用户，如果想让自己的服务器更安全一些，请一定入手！如果你说你懂安全或者说不那么在意自己服务器的安全，也可以选择继续观望~