公司InformixIDS数据库检查流程模板.doc

1、 更多资料请访问.(.....) 更多企业学院：...../Shop/ 《中小企业管理全能版》 183套讲座+89700份资料 ...../Shop/40.shtml 《总经理、高层管理》 49套讲座+16388份资料 ...../Shop/38.shtml 《中层管理学院》 46套讲座+6020份资料  ...../Shop/39.shtml 《国学智慧、易经》 46套讲座 ...../Shop/41.shtml 《人力资源学院》 56套讲座+27123份资料 ...../Shop/44.shtml 《各阶段职员培训学院》 77套讲座+ 32

2、4份资料 ...../Shop/49.shtml 《职员管理企业学院》 67套讲座+ 8720份资料 ...../Shop/42.shtml 《工厂生产管理学院》 52套讲座+ 13920份资料 ...../Shop/43.shtml 《财务管理学院》 53套讲座+ 17945份资料  ...../Shop/45.shtml 《销售经理学院》 56套讲座+ 14350份资料 ...../Shop/46.shtml 《销售人员培训学院》 72套讲座+ 4879份资料 ...../Shop/47.shtml Informix IDS数据库检验步骤 操

3、作手册 二〇二四年五月 北京安氏领信科技发展 1 安全配置标准 1.1 安装数据库主机要求 l 数据库主机通常应该专用于数据库安装和使用； l 数据库主机操作系统层面应该确保安全： Informix数据库通常安装在UNIX系统上，数据库软件安装之前，应该确保主机操作系统层面安全，需要对主机进行安全设置，补丁更新。 1.2 数据库补丁安装标准 在新安装或重新安装数据库系统上，必需安装适宜补丁。 1.3 数据库帐号口令安全配置标准 1.3.1 帐户密码复杂性配置要求 必需为informix

4、帐户和其它DBA帐户设置复杂口令： 1. 口令长度最少为8位 2. 口令需包含以下字符： n 英语大写字母 A, B, C, … Z n 英语小写字母 a, b, c, … z n 西方阿拉伯数字 0, 1, 2, … 9 n 非字母数字字符，如标点符号，@, #, $, %, &, *等 1.4 目录和文件安全标准 1.4.1 Informix目录属主及权限配置 Informix程序安装目录设置为环境变量$INFORMIXDIR，其子目录安全设置以下表： 目录 属主 属组 权限设置 .($INFORMIXDIR) informix informix 7

5、55 bin informix Informix 755 lib informix nformix 755 gls informix nformix 755 msg informix nformix 755 etc informix DBSA 755 aaodir informix AAO 755 dbssodir informix DBSSO 755 1.4.2 sqlhost文件安全配置 sqlhosts文件权限设置，属主应该是informix，属组能够是informix，也能够是DBSA。对于其它帐户，不要设置对sqlhos

6、ts文件写权限。 chown Informix:Informix sqlhosts chmod 744 sqlhosts 1.4.3 onconfig文件安全配置 onconfig文件权限设置，属主应该是informix，属组能够是informix，也能够是DBSA。对于其它帐户，不要设置对onconfig文件写权限。 chown Informix:Informix onconfig chmod 744 onconfig 1.4.4 数据库瓦解DUMP文件安全配置 Informix数据库缺省会在系统瓦解时，将共享内存内容（DUMP）保留在磁盘中，因为DUMP中包含用户名和口令数

7、据，往往成为攻击者目标。可依据具体情况配置数据库系统在瓦解时不要进行内存转储。 编辑onconfig文件： DUMPPSHMEM＝0 注：数据库运行不稳定企业可临时不做本项配置。 1.5 数据库网络服务配置标准 1.5.1 数据库使用网络协议 Informix能够使用以下方法进行连接： 共享内存(Shared-memory ) 流管道(Stream-pipe), 命名管道(named-pipe) TCP网络协议协议 IPX网络协议 网络协议在sqlhosts文件中进行配置。要求数据库只支持TCP Scoket网络连接或共享内存(Shared-memory )方法。

8、1.5.2 防DOS攻击设置 为了限制拒绝服务（DOS）攻击，Dynamic Server 含有多个侦听器线程（listen_authenticate）。这些线程认证用户机请求，同时主侦听器线程只接收进入请求并派生用于认证新线程。使用 MAX_INCOMPLETE_CONNECTIONS 配置参数配置在任何时间点上线程认证数目。 使用 LISTEN_TIMEOUT 配置参数配置未完成连接超时值。注：informix9.x和7.x不支持LISTEN_TIMEOUT参数。 参数 缺省值 说明 LISTEN_TIMEOUT 10秒 未完成连接超时设置。 MAX_INCOMPLETE_

9、CONNECTIONS 1024 限制未完成连接请求数目 依据机器运行线程能力（按数目计算），能够将 MAX_INCOMPLETE_CONNECTIONS 配置为较高值，而且依据网络流量，能够将 LISTEN_TIMEOUT 设置为较低值，以降低攻击能够达成最大限制机会。 有两种方法设置参数： 设置方法 设置命令 目前会话 onmode –wm configuration_parameter=value 开启文件ONCONFIG onmode -wf configuration_parameter=value 1.6 数据库审计配置标准 数据库默认不进行安全审核，审计需

10、要考虑以下操作： 1. DBA避免使用informix帐户 设置单独DBA帐户，不得使用informix帐户实施dba功效，也不得将dba设置在informix组。批作业采取DBA操作，不得采取informix帐户。 前台用户也不得属于informix组。 (这么避免了对dba和前台用户全部活动全部进行审计，对系统性能和空间造成较大影响) 2. .配置审计功效步骤 n 打开审计及设置审计等级 n 设置审计内容 n 设置审计文件存放目录 n 设置审计失败、错误后，数据库响应方法 n 设置审计文件大小 n 保留审计配置到配置文件 3. 依据实际情况设置每个日志文件大小，提议

11、一天一个文件。依据磁盘空间大小，设置Crontab定时任务，对日志文件进行备份和删除。 步骤 命令 命令含义 开启审计及设置审计等级 onaudit -l 5 开启审计，并把审计等级设置为5 设置审计内容 onaudit -m -u _default -e +UPRW,DRDB,DLRW,CLDB,GRDB 审计对rowupdate操作，drop database操作，delete row操作，close database操作 设置审计目录 onaudit -p /work/audit 审计文件放在 /work/audit 设置审计错误 onaudit -e 0 审计失败后系统，数据库继续运行 设置审计文件大小 onaudit －s 2M 设置审计文件大小，举例为2M 保留审计配置 onaudit –f /work/audit_up 写到配置文件