安全基线检查自动化工具推荐

前段时间帮一个朋友做安全巡检，他公司上了好几百台服务器，运维团队每个人手里都拿着一个Excel，里面列了几十条“安全基线”，像是要手工检查每台机器。结果搞了一周，眼睛都看花了，漏掉的可能比检查到的还多。我当时就感慨，这事要是没有自动化工具，简直就是人力堆出来的“面子工程”。

其实安全基线检查这个事，说白了就是把CIS Benchmarks、等级保护要求、等保合规那几百条规则，让它自动跑一遍，然后告诉你“哪里没达标”。我之前推过几款工具，踩了不少坑，也尝到了甜头，今天干脆把几个我觉得靠谱的列一列。

首选：CIS-CAT Pro——土豪专属，但真的省心

如果你预算够，CIS-CAT Pro是真正的“一键检查”。它直接对标CIS的基准，你只需要选好操作系统或中间件（比如MySQL、Nginx），它就能自动运行，生成详细的合规报告。我去年用它检查一套linux服务器集群，原本需要运维组三个人忙活三天，结果它跑了一小时就全部搞定，连高风险的“未弃用root密码登录”这种问题都标记出来了。唯一的缺点是贵，小公司可能买不起。

穷人版：OpenSCAP——开源界的良心

如果你跟我一样预算有限，OpenSCAP绝对是第一选择。这玩意是RedHat家里的小弟，支持对所有主流linux发行版做SCAP（安全内容自动化协议）检查。我常用它做“基线快速扫描”，命令大概长这样：

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis --results-arf results.xml --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

跑完之后会在当前目录生成一个的 HTML 报告，里面会把“失败项”、“通过项”、“未检查项”按严重程度列出来。我一般用这个去找那些真·高危配置（比如 SSH 配置没禁用 root 远程、默认的 umask 没改）。

配置即代码利器：prowler（AWS）和Checkov（多云）

对于云原生环境，传统工具有点水土不服。我推荐两个：Prowler 是专攻AWS的，它会长出81个AWS服务的700多条检查规则，包括IAM策略是否过松、S3桶是否公开、CloudTrail是否开启。Checkov 则是 Terraform/CloudFormation 部署前的“合规门禁”，能在代码上线前自动拦截不符合基线配置的资源。简单说，就是“代码部署前先检查”。

自己动手：Ansible的大杀器——ansible-hardening

如果你们内部是用 Ansible 管理的大规模集群，那我强烈推荐 ansible-hardening 这个角色。它里面预置了 Linux、Windows 和 Network 的基线配置脚本，你只需把 roles/ansible-hardening 拉下来，在 playbook.yml 里引用一下，跑个 ansible-playbook，就能批量修正一批机器的配置。

我去年负责的一个数据中心环境，就是用这个批量把几百台服务器上 PasswordAuthentication 改成 no，修复了弱口令问题。关键是它还能帮你生成变更日志，方便后续审计。

踩过的坑和真心话

工具选对了，剩下的就是执行力。有些朋友用OpenSCAP扫了一轮，发现几百个问题，然后就崩溃了。我建议还是回到我上次说的那个原则：先搞定高风险项。比如弱口令、公网端口暴露、备份遗漏这些，优先级拉到最高。至于像“终端历史记录保留时间”这种低风险项，完全可以排到下个版本再处理。

工具再好，也只是辅助。真正能让你睡安稳觉的，是每天都有人在盯着这些基线，而不是每次出了事才去匆忙“补作业”。所以，选个顺手工具，然后坚持跑下去。别让检查变成一次性的表演。