DYYH-IT-SECM-05-T06
Informix数据库参数设置说明
本说明从INFORMIX数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。 1. 账号
INFORMIX应提供账号管理及认证授权功能,并应满足以下各项要求。 编号:安全要求-设备-INFORMIX-配置-1
要求内容 表1-1 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 2、补充操作说明 1、 1、判定条件 通过root帐号登录系统后查看/etc/passwd文件并询问管理员,确认是否按照用户分配帐号; 验证分配的用户是否正常使用,使用分配帐号登录,验证是否能成功登录和正常操作。 2、检测操作 使用不同的账号进行登录并进行一些常用操作; 3、补充说明 检测方法
编号:安全要求-设备-INFORMIX-配置-2
表1-2 要求内容 应删除或锁定与数据库运行、维护等工作无关的账号。 DYYH-IT-SECM-05-T06
操作指南 1、 参考配置操作 Informix数据库用户为操作系统帐号,因此删除或锁定与数据库运行、维护工作无关帐号的过程也就是删除或锁定系统用户的过程,以下以AIX和SOLARIS为例子说明: AIX: 查看/etc/passwd、/etc/group中informix组帐号和成员帐号 以root权限执行下面的命令; 删除用户:#rmuser username; 禁用帐号: chuser account_locked=true user1锁定user1用户 SOLARIS: 删除用户:#userdel username; 锁定用户: 1)修改/etc/shadow文件,用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。 2、 补充操作说明 AIX需要锁定的用户: deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd SOLARIS需要锁定的用户: listen、gdm、webservd、nobody、nobody4、noaccess 3、 检测方法 4、 判定条件 首先锁定不需要的用户 在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除 4、检测操作 5、补充说明 DYYH-IT-SECM-05-T06
2. 口令
编号:安全要求-设备-INFORMIX-配置-4
表1-3 要求内容 操作指南 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 1、 参考配置操作 Informix数据库用户为操作系统帐号,因此对于Informix数据库用户静态口令采用的强度要求也就是对操作系统帐号静态口令强度要求,以下以AIX和SOLARIS为例子说明: AIX: 编辑/etc/security/user,设置如下: minlen=8 口令最短为8个字符 minalpha=3 口令中最少包含3个字母字符 minother=1 口令中最少包含一个非字母数字字符 SOLARIS: vi /etc/default/passwd ,修改设置如下 PASSLENGTH = 6 #设定最小用户密码长度为6位 MINALPHA=2;MINNONALPHA=1 #表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。 当用root帐户给用户设定口令的时候不受任何限制,只要不超长。 2、 补充操作说明 Solaris10默认如下各行都被注释掉,并且数值设置和解释如下: MINDIFF=3 # Minimum differences required between an old and a new password. MINALPHA=2 # Minimum number of alpha character required. MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required. MINUPPER=0 # Minimum number of upper case letters required. MINLOWER=0 # Minimum number of lower case letters required. MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters. MINSPECIAL=0 # Minimum number of special (non-alpha and non-digit) characters required. MINDIGIT=0 # Minimum number of digits required. WHITESPACE=YES DYYH-IT-SECM-05-T06
Solaris8默认没有这部分的数值设置需要手工添加 NIS系统无法生效,非NIS系统或NIS+系统能够生效。 检测方法 3、 判定条件 AIX: 检查/etc/security/user是否设置如下参数 minlen=8 口令最短为8个字符 minalpha=3 口令中最少包含3个字母字符 minother=1 口令中最少包含一个非字母数字字符 SOLARIS: 检查/etc/default/passwd是否设置如下参数: PASSLENGTH = 6 #设定最小用户密码长度为6位 MINALPHA=2;MINNONALPHA=1 #表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。 4、 检测操作 使用弱密码进行测试 5、补充说明
编号:安全要求-设备-INFORMIX-配置-5
要求内容 表1-4 对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。 操作指南 1、 参考配置操作 Informix数据库用户为操作系统帐号,因此对于Informix数据库用户口令生存期要求也就是对操作系统帐号口令生存期要求,以下以AIX和SOLARIS为例子说明: AIX: 对于AIX系统,编辑/etc/security/user,设置如下: maxage=12 口令最长有效期为12周 SOLARIS: vi /etc/default/passwd文件: DYYH-IT-SECM-05-T06
MAXWEEKS=13密码的最大生存周期为13周;(Solaris 8&10) PWMAX= 90 #密码的最大生存周期;(Solaris 其它版本) 2、 补充操作说明 对于Solaris 8以前的版本,PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等,需根据/etc/default/passwd文件说明确定。 NIS系统无法生效,非NIS系统或NIS+系统能够生效。 检测方法 3、 判定条件 到期不修改密码,密码将会失效。连接数据库将不会成功 4、 检测操作 使用超过90天的帐户口令登录; 5、补充说明 编号:安全要求-设备-INFORMIX-配置-29-可选
要求内容 表1-5 对于采用静态口令认证技术的设备,设备间通信使用的账户口令的生存期不长于180天。 操作指南 1、 参考配置操作 Informix数据库用户为操作系统帐号,因此对于Informix数据库用户口令生存期要求也就是对操作系统帐号口令生存期要求,以下以AIX和SOLARIS为例子说明: AIX: 对于AIX系统,编辑/etc/security/user,设置如下: maxage=25 口令最长有效期为25周 SOLARIS: vi /etc/default/passwd文件: MAXWEEKS=25密码的最大生存周期为25周;(Solaris 8&10) PWMAX= 180 #密码的最大生存周期;(Solaris 其它版本) 2、 补充操作说明 对于Solaris 8以前的版本,PWMIN对应MINWEEKS,PWMAX对应MAXWEEKS等,需根据/etc/default/passwd文件说明确定。 NIS系统无法生效,非NIS系统或NIS+系统能够生效。