基线检查 

Informix数据库安全基线检查

5-5-1

应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享

检查方法

1、符合性判定依据

不同用户具有不同的账号,且与其他用户、设备没有账号共享情况。 2、参考检测方法

通过root 账号登录系统后查看/etc/passwd、/etc/group 文件并询问管理员,确 认是否按照用户分配账号;

验证分配的用户是否正常使用,使用分配账号登录,验证是否能成功登录和 正常操作。

5-5-2

应删除与数据库运行、维护等工作无关的账号,删除过期账号

检查方法: AIX

查看 /etc/passwd ,/etc/group 中的informix组账户和成员账号 Solaris

Cat /etc/shadow cat /etc/passwd 检查目的是:

无关账号被锁定或者是不存在

密码相关的问题 5-5-3

对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类

对于采用静态口令认证技术的数据库,账户口令的生存期不长于90 天。 对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用 最近5 次(含5 次)内已使用的口令。

检查方法: Aix 系统

查看/etc/security/user,

minlen=8 口令最短为8 个字符

minalpha=3 口令中最少包含3 个字母字符

minother=1 口令中最少包含一个非字母数字字符 编辑/etc/security/user,设置如下: maxage=12 口令最长有效期为12 周

histsize=5 同一口令与前5 个口令不能重复

solaris系统

检查/etc/default/passwd是否设置如下参数: PASSLENGTH = 8 #设定最小用户密码长度为8 位

MINALPHA=2;MINNONALPHA=1 #表示至少包括两个字母和一个非字母; 对于Solaris 8 以前的版本,PWMIN 对应MINWEEKS,PWMAX 对应 MAXWEEKS 等,需根据/etc/default/passwd文件说明确定。 HISTORY=5 同一口令与前5 个口令不能重复

在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限

目前数据库的权限已经根据业务需求是最小的了

风险 ,如果进行收回权限的时候 , 可能造成一些业务的权限不足, 因此不建议进行变动权限。

对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过6 次(不含6 次),锁定该用户使用的账号。

检查方式: AIX

vi /etc/security/user

loginretries=6 连续6 次登录失败后锁定用户

solaris

SOLARIS: vi /etc/user_attr

vi /etc/security/policy.conf

设置LOCK_AFTER_RETRIES=YES 设置重试的次数:

vi /etc/default/login

在文件中将RETRIES 行前的#去掉,并将其值修改为RETRIES=7。 保存文件退出

影响: 不建议进行更改

数据库应配置日志功能,记录与数据库相关的安全事件。

Vi $INFORMIXDIR/aaodir/adtcfg ADTMODE 7

设备应配置权限,控制对日志文件读取、修改和删除等操作

Vi$INFORMIXDIR/aaodir/adtcfg

ADTPATH = /opt/informix/aaodir ------查看路径

2. 检查日志文件权限是否为660(日志文件名的形式通常是主机名.数字) ls –al /opt/informix/aaodir/*.*

限制拒绝服务攻击。

检查$INFORMIXDIR/etc/onconfig文件中LISTEN_TIMEOUT 和

MAX_INCOMPLETE_CONNECTIONS 参数值设置是否为默认值。

禁止共享内存转储

可以编辑$INFORMIXDIR/etc/onconfig文件,设置: DUMPSHMEM 0、

Sql server 数据库安全基线检查



联系客服:cand57il.com