數(shù)據(jù)庫(kù)安全檢查報(bào)告

1、1.1數(shù)據(jù)庫(kù)編號(hào)生產(chǎn)廠商/型號(hào)12-5-4物理位置中心機(jī)房所在網(wǎng)絡(luò)檢查日期檢查人責(zé)任人審核人編號(hào)檢查項(xiàng)目檢查內(nèi)容操作方法結(jié)果檢查記錄1通 用 安 全 機(jī) 制操作系統(tǒng)檢查檢查數(shù)據(jù)庫(kù)安裝目錄的權(quán)限，確保只有系統(tǒng)管理員才能訪問(wèn)該目錄對(duì)Windows操作系統(tǒng)而言，采用regedt32檢查HKLMSoftwareSybase 中的權(quán)限鍵值2服務(wù)器信息列舉網(wǎng)絡(luò)上的遠(yuǎn)程服務(wù)器exec sp_helpserver檢查輸岀內(nèi)容：網(wǎng)絡(luò)密碼加密的部份可能如下：net password encryption=truenet password encryption= false安全機(jī)制部份可能如下：rpc securi

2、ty model A是不提供安全機(jī)制rpc security model B是提供不同的安全服務(wù)，如互相認(rèn) 證、消息加密、完整性校驗(yàn)等。列舉特定服務(wù)器的信息exec sp_helpdb3登陸配置檢查認(rèn)證模式是否開啟exec sp_loginconfigloginmode檢查默認(rèn)登陸exec sp_loginconfig default account在集成認(rèn)證模式中，確認(rèn)默認(rèn)登 陸角色不是sa ,設(shè)置為NULL或 者一個(gè)低權(quán)限的用戶。4補(bǔ)丁查看服務(wù)器版本信息select VERSION5數(shù)據(jù)庫(kù)配置通用數(shù)據(jù)庫(kù)參數(shù)獲得當(dāng)前Server的配置exec sp_configure6檢查輸出allow u

3、pdates to system tables如果是“ on”狀態(tài)，DBA可以通 過(guò)存儲(chǔ)過(guò)程修改系統(tǒng)表。建議sso將其設(shè)置為“ off ”狀態(tài)。因?yàn)橐呀?jīng)建 立的存儲(chǔ)過(guò)程可以被執(zhí)行，建議審計(jì)數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程列表。exec sp_configureallowupdates to system tables7檢查 并保證allow resource limit的值設(shè)為“ 1”exec sp_configureallowresource limit8保證 系統(tǒng)表syscomments 已 經(jīng)被保護(hù)該系統(tǒng)表非常重要，但 默認(rèn)情況下被設(shè)置為1，確認(rèn) 該值被設(shè)置為0。exec sp_configure se

4、lect onsyscomments.text9錯(cuò)誤日志配置檢查是否設(shè)置失敗登陸日志，確認(rèn)該值設(shè)置為0exec sp_configure log auditlogon failure10檢查是否設(shè)置成功登陸日志，確認(rèn)該數(shù)值設(shè)為0exec sp_configure log auditlogon success11用 戶 級(jí) 安 全組列舉某數(shù)據(jù)庫(kù)的所有組：use DBNameexec sp_helpgroup12列舉某組內(nèi)的用戶：use DBNameexec sp_helpgroup GroupName13角色檢查服務(wù)器角色和用戶定義的 角色：selectname,password,pwdate,

5、statusfromsyssrvroles14檢查每個(gè)角色的詳細(xì)信息：execsp_displayrolesRoleName, expand_up15檢查每個(gè)用戶的詳細(xì)信息：execsp_displayrolesUserName, expand_down16檢查角色中空口令用戶：select name from syssrvroleswhere password = NULL17用戶檢查某數(shù)據(jù)庫(kù)的所有用戶：exec sp_helpuser18檢查散列用戶口令：select name, password fromsyslogins19檢查每個(gè)數(shù)據(jù)庫(kù)的用戶權(quán)限：use DBNameexec sp_

6、helprotect20口令安全參數(shù)檢查口令過(guò)期時(shí)間，建議設(shè)置為14天exec sp_configure password expiration intervalO-密碼從不過(guò)期n-天數(shù).21檢查口令是否至少包含一位數(shù)字exec sp_configurecheckpassword for digitO-強(qiáng)制用戶口令中至少包 含一個(gè)數(shù)字22檢查最小密碼長(zhǎng)度，建議為8位以上exec sp_configure minimumpassword length23數(shù)據(jù)級(jí)安全權(quán)限檢查關(guān)鍵表、過(guò)程、觸發(fā)器的權(quán) 限，檢查賦予public組權(quán)限的 對(duì)象：use DBNameexecsp_helprotectObj

7、ectName輸出：1. 用戶權(quán)限列表2. 所有對(duì)象的權(quán)限類型3.是否設(shè)置WITH GRAN取限24存儲(chǔ)過(guò)程列岀數(shù)據(jù)庫(kù)中所有擴(kuò)展存儲(chǔ)過(guò)程：use sybsystemprocsselect name from sysobjectswhere type=XP25刪除擴(kuò)展存儲(chǔ)過(guò)程 xp_cmdshell,并刪 除sybsyesp.dllexecsp_dropextendedprocxp_cmdshell如果一定需要使用 xp_cmdshell ,則審核其權(quán)限分 配：use sybsystemprocsexecsp_helprotect“xp_cmdshell ”26檢查其它存儲(chǔ)過(guò)程女口sendmai

8、l,freemail,readmail,deletemail,startmail, stopmail，刪除無(wú)用的存儲(chǔ)過(guò)程，并刪除mail帳號(hào)sybmail.27網(wǎng)絡(luò)層安全遠(yuǎn)端服務(wù)器信息檢查遠(yuǎn)端服務(wù)器是否允許訪問(wèn)use masterexec sp_configureallowremote access1-允許遠(yuǎn)程訪問(wèn)O-不允許遠(yuǎn)程訪問(wèn)檢查信任用戶的存在情況exec sp_helpremoteserver28遠(yuǎn)程連接機(jī)制檢查安全機(jī)制和其提供的安全服務(wù)select * from syssecmechsSyssecmech表默認(rèn)并不存在，僅在查詢的時(shí)候創(chuàng)建，它由以下 的列組成：sec_mech_nam

9、e服務(wù)器 提供的安全機(jī)制名available_service安 全機(jī)制提供的安全服務(wù)舉例，Windows網(wǎng)絡(luò)管理員，其內(nèi)容將為：sec_mech_name = NT LAN MANAGERavailable_service= unifiedlogin29檢查libctl.cfg文件內(nèi)部包含了網(wǎng)絡(luò)驅(qū)動(dòng)的信息，安全，目錄磁盤和其他初始化信 息。1. 如果LDAP密碼加密。2. 安全機(jī)制：dee DCE 安全機(jī)制。csfkrb5 CyberSAFE Kerberos安全機(jī)制。LIBSMSSP Windows NT 或 Windows 95（僅客戶端）上的 Windows網(wǎng)絡(luò)管理員。注意：libtcl.cfg 的位置：UNIX 模式：$SYBASE/config/