安全生產(chǎn)數(shù)據(jù)庫安全檢查報告

1、1.1數(shù)據(jù)庫編號生產(chǎn)廠商/型號12-5-4物理位置中心機房所在網(wǎng)絡(luò)檢查日期檢查人責任人審核人編號檢查項目檢查內(nèi)容操作方法結(jié)果檢查記錄1通 用 安 全 機 制操作系統(tǒng)檢查檢查數(shù)據(jù)庫安裝目錄的權(quán)限，確保只有系統(tǒng)管理員才能訪問該目錄對Windows操作系統(tǒng)而言，采用regedt32檢查HKLMSoftwareSybase 中的權(quán)限鍵值2服務(wù)器信息列舉網(wǎng)絡(luò)上的遠程服務(wù)器exec sp_helpserver檢查輸岀內(nèi)容：網(wǎng)絡(luò)密碼加密的部份可能如下："net password encryption"=true"net password encryption"= fa

2、lse安全機制部份可能如下："rpc security model A"是不提供安全機制"rpc security model B"是提供不同的安全服務(wù)，如互相認 證、消息加密、完整性校驗等。列舉特定服務(wù)器的信息exec sp_helpdb3登陸配置檢查認證模式是否開啟exec sp_loginconfig"loginmode"檢查默認登陸exec sp_loginconfig "default account"在集成認證模式中，確認默認登 陸角色不是sa ,設(shè)置為NULL或 者一個低權(quán)限的用戶。4補丁查看服務(wù)器版

3、本信息select VERSION5數(shù)據(jù)庫配置通用數(shù)據(jù)庫參數(shù)獲得當前Server的配置exec sp_configure6檢查輸出'allow updates to system tables'如果是“ on”狀態(tài)，DBA可以通 過存儲過程修改系統(tǒng)表。建議sso將其設(shè)置為“ off ”狀態(tài)。因為已經(jīng)建 立的存儲過程可以被執(zhí)行，建議審計數(shù)據(jù)庫的存儲過程列表。exec sp_configure"allowupdates to system tables"7檢查 并保證'allow resource limit'的值設(shè)為“ 1”exec sp_co

4、nfigure"allowresource limit"8保證 系統(tǒng)表'syscomments' 已 經(jīng)被保護該系統(tǒng)表非常重要，但 默認情況下被設(shè)置為"1"，確認 該值被設(shè)置為"0"。exec sp_configure "select onsyscomments.text"9錯誤日志配置檢查是否設(shè)置失敗登陸日志，確認該值設(shè)置為"0"exec sp_configure "log auditlogon failure"10檢查是否設(shè)置成功登陸日志，確認該數(shù)值設(shè)為&

5、quot;0"exec sp_configure "log auditlogon success"11用 戶 級 安 全組列舉某數(shù)據(jù)庫的所有組：use DBNameexec sp_helpgroup12列舉某組內(nèi)的用戶：use DBNameexec sp_helpgroup GroupName13角色檢查服務(wù)器角色和用戶定義的 角色：selectname,password,pwdate,statusfromsyssrvroles14檢查每個角色的詳細信息：execsp_displayroles"RoleName", expand_up15檢查每

6、個用戶的詳細信息：execsp_displayrolesUserName, expand_down16檢查角色中空口令用戶：select name from syssrvroleswhere password = NULL17用戶檢查某數(shù)據(jù)庫的所有用戶：exec sp_helpuser18檢查散列用戶口令：select name, password fromsyslogins19檢查每個數(shù)據(jù)庫的用戶權(quán)限：use DBNameexec sp_helprotect20口令安全參數(shù)檢查口令過期時間，建議設(shè)置為14天exec sp_configure "password expiration

7、 interval"'O'-密碼從不過期'n'-天數(shù).21檢查口令是否至少包含一位數(shù)字exec sp_configure"checkpassword for digit"'O'-強制用戶口令中至少包 含一個數(shù)字22檢查最小密碼長度，建議為8位以上exec sp_configure "minimumpassword length"23數(shù)據(jù)級安全權(quán)限檢查關(guān)鍵表、過程、觸發(fā)器的權(quán) 限，檢查賦予public組權(quán)限的 對象：use DBNameexecsp_helprotectObjectName輸出：1.

8、 用戶權(quán)限列表2. 所有對象的權(quán)限類型3.是否設(shè)置WITH GRAN取限24存儲過程列岀數(shù)據(jù)庫中所有擴展存儲過程：use sybsystemprocsselect name from sysobjectswhere type='XP'25刪除擴展存儲過程 xp_cmdshell,并刪 除sybsyesp.dllexecsp_dropextendedprocxp_cmdshell如果一定需要使用 xp_cmdshell ,則審核其權(quán)限分 配：use sybsystemprocsexecsp_helprotect“xp_cmdshell ”26檢查其它存儲過程女口sendmail,

9、freemail,readmail,deletemail,startmail, stopmail，刪除無用的存儲過程，并刪除mail帳號'sybmail'.27網(wǎng)絡(luò)層安全遠端服務(wù)器信息檢查遠端服務(wù)器是否允許訪問use masterexec sp_configure"allowremote access"'1'-允許遠程訪問'O'-不允許遠程訪問檢查信任用戶的存在情況exec sp_helpremoteserver28遠程連接機制檢查安全機制和其提供的安全服務(wù)select * from syssecmechsSyssecmech

10、表默認并不存在，僅在查詢的時候創(chuàng)建，它由以下 的列組成：sec_mech_name服務(wù)器 提供的安全機制名available_service安 全機制提供的安全服務(wù)舉例，Windows網(wǎng)絡(luò)管理員，其內(nèi)容將為：sec_mech_name = NT LAN MANAGERavailable_service= unifiedlogin29檢查libctl.cfg文件內(nèi)部包含了網(wǎng)絡(luò)驅(qū)動的信息，安全，目錄磁盤和其他初始化信 息。1. 如果LDAP密碼加密。2. 安全機制："dee" DCE 安全機制。"csfkrb5" CyberSAFE Kerberos安全機制。"LIBSMSSP" Windows NT 或 Windows 95（僅客戶端）上的 Windows網(wǎng)絡(luò)管理員。注意：libtcl.cfg 的位置：UNIX 模式：$SYBASE/config/ 桌面模式：SYBASE_hom