基線檢查參考模板

1、Informix數(shù)據(jù)庫(kù)安全基線檢查5-5-1應(yīng)按照用戶分配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享檢查方法1、符合性判定依據(jù)不同用戶具有不同的賬號(hào)，且與其他用戶、設(shè)備沒有賬號(hào)共享情況。2、 參考檢測(cè)方法通過(guò)root 賬號(hào)登錄系統(tǒng)后查看/etc/passwd、/etc/group 文件并詢問(wèn)管理員，確認(rèn)是否按照用戶分配賬號(hào)；驗(yàn)證分配的用戶是否正常使用，使用分配賬號(hào)登錄，驗(yàn)證是否能成功登錄和正常操作。5-5-2應(yīng)刪除與數(shù)據(jù)庫(kù)運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)，刪除過(guò)期賬號(hào)檢查方法：AIX查看 /etc/passwd ,/etc/group 中的informix 組賬戶和成員賬號(hào)

2、Solaris Cat /etc/shadow cat /etc/passwd檢查目的是：無(wú)關(guān)賬號(hào)被鎖定或者是不存在密碼相關(guān)的問(wèn)題5-5-3對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫(kù)，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫(kù)，賬戶口令的生存期不長(zhǎng)于90 天。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫(kù)，應(yīng)配置數(shù)據(jù)庫(kù)，使用戶不能重復(fù)使用最近5 次（含5 次）內(nèi)已使用的口令。檢查方法：Aix 系統(tǒng)查看 /etc/security/user,minlen=8 口令最短為8 個(gè)字符minalpha=3 口令中最少包含3 個(gè)字母字符minother=1 口令中最

3、少包含一個(gè)非字母數(shù)字字符編輯/etc/security/user,設(shè)置如下：maxage=12 口令最長(zhǎng)有效期為12 周1 / 3histsize=5 同一口令與前5 個(gè)口令不能重復(fù)solaris系統(tǒng)檢查/etc/default/passwd 是否設(shè)置如下參數(shù):PASSLENGTH = 8 #設(shè)定最小用戶密碼長(zhǎng)度為8 位MINALPHA=2；MINNONALPHA=1 #表示至少包括兩個(gè)字母和一個(gè)非字母；對(duì)于Solaris 8 以前的版本，PWMIN 對(duì)應(yīng)MINWEEKS,PWMAX 對(duì)應(yīng)MAXWEEKS 等，需根據(jù)/etc/default/passwd 文件說(shuō)明確定。HISTORY5 同一口

4、令與前5 個(gè)口令不能重復(fù)在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限目前數(shù)據(jù)庫(kù)的權(quán)限已經(jīng)根據(jù)業(yè)務(wù)需求是最小的了風(fēng)險(xiǎn) ，如果進(jìn)行收回權(quán)限的時(shí)候 ， 可能造成一些業(yè)務(wù)的權(quán)限不足， 因此不建議進(jìn)行變動(dòng)權(quán)限。 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫(kù)，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)6 次（不含6 次），鎖定該用戶使用的賬號(hào)。檢查方式：AIXvi /etc/security/userloginretries=6 連續(xù)6 次登錄失敗后鎖定用戶solarisSOLARIS:vi /etc/user_attrvi /etc/security/policy.conf設(shè)置LOCK_AFTER_RET

5、RIES=YES設(shè)置重試的次數(shù)：vi /etc/default/login在文件中將RETRIES 行前的#去掉，并將其值修改為RETRIES7。保存文件退出影響： 不建議進(jìn)行更改數(shù)據(jù)庫(kù)應(yīng)配置日志功能，記錄與數(shù)據(jù)庫(kù)相關(guān)的安全事件。Vi $INFORMIXDIR/aaodir/adtcfgADTMODE 7設(shè)備應(yīng)配置權(quán)限，控制對(duì)日志文件讀取、修改和刪除等操作Vi $INFORMIXDIR/aaodir/adtcfg ADTPATH = /opt/informix/aaodir -查看路徑2. 檢查日志文件權(quán)限是否為660(日志文件名的形式通常是主機(jī)名.數(shù)字)ls al /opt/informix/aaodir/*.*限制拒絕服務(wù)攻擊。檢查$INFORMIXDIR/etc/onconfig 文件中LISTEN_TIMEOUT 和MAX_INCOMPLETE_CONNECTIONS 參數(shù)值設(shè)