AIX數(shù)據(jù)庫服務器主機安全方案_第1頁
AIX數(shù)據(jù)庫服務器主機安全方案_第2頁
AIX數(shù)據(jù)庫服務器主機安全方案_第3頁
AIX數(shù)據(jù)庫服務器主機安全方案_第4頁
AIX數(shù)據(jù)庫服務器主機安全方案_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、數(shù)據(jù)庫服務器主機安全方案主機環(huán)境服務器類型:IBM P740(8205-E6B),2臺操作系統(tǒng):AIX 6.1本機磁盤:2路鏡像磁盤組,每個磁盤容量300GB(實際可用280G)內(nèi)存:32GB外接存儲:IBM 2076 FC Disk,1TB數(shù)據(jù)庫軟件:Oracle 11g R2 RAC方案描述# 安全性原則 #用戶被賦予唯一的用戶名、用戶ID(UID)和口令。用戶登陸后,對文件訪問的合法性取決于UID。文件創(chuàng)建時,UID自動成為文件屬主。只有文件屬主和root才能修改文件的訪問許可權(quán)。需要共享一組文件的用戶可以歸入同一個組中。每個用戶可屬于多個組。每個組被賦予唯一的組名和組ID(GID),G

2、ID也被賦予新創(chuàng)建的文件。# root特權(quán)的控制 #嚴格限制具有root特權(quán)的人數(shù)。如需獲得root特權(quán),需向主管方進行申請,說明緣由和要進行的操作以及使用時間。root口令應由系統(tǒng)管理員以不公開的周期進行更改。不同的機器采用不同的root口令。系統(tǒng)管理員應以未公開的用戶登錄,然后用su命令切換到root用戶root的PATH環(huán)境變量不要隨意更改。注意:為防止配置錯誤對系統(tǒng)造成影響,安全方案實施之前,請先對/etc目錄的內(nèi)容進行備份。數(shù)據(jù)庫服務器主機安全方案包括身份鑒別、訪問控制、安全審計、剩余信息保護、資源控制等5個方面的內(nèi)容。1.1 身份鑒別身份鑒別部分的內(nèi)容涉及密碼復雜度、密碼有效期、身

3、份驗證失敗處理、限制遠程連接用戶、鑒別信息加密等方面。1.1.1a) 是否對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng),均需要通過用戶名和密碼進行驗證檢查/etc/passwd文件,第二列值為!的用戶已經(jīng)設置密碼,為*的未設置密碼.用passwd命令為所有未設置密碼的用戶設置密碼# passwd username1.1.2b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識是否具有不易被冒用的特點,口令是否有復雜度要求并定期更換以下以wsj用戶為例,設置密碼的復雜度和有效期。# 創(chuàng)建賬戶 #mkuser wsjpaswwd wsjwsj用戶第一次登錄時,要求修改密碼# 口令

4、復雜度 # 口令必須具備采用3種以上字符、長度不少于8位并定期更換;記錄帳戶原來屬性:lsuser wsj密碼長度不小于8chuser minlen=8 wsj至少包含1個字母chuser minalpha=1 wsj至少包含1個非字母數(shù)字chuser minother=1 wsj# 口令有效期 # 口令最長有效期為12周chuser maxage=12 wsj# 設置口令與前面5個口令不能重復 # chuser histsize=5 wsj1.1.3c) 是否啟用登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施以下以wsj用戶為例,設置用戶登錄失敗鎖定。# 登錄失敗處理 #

5、 設置6次登陸失敗后鎖定帳戶chuser loginretries=6 wsj解除鎖定的方法:將/etc/security/lastlog文件中wsj用戶的unsuccessful_login_count值修改為01.1.4d) 當對服務器進行遠程管理時,是否采取必要措施,防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽# 遠程管理時應啟用SSH等管理方式,加密管理數(shù)據(jù),防止被網(wǎng)絡竊聽。# 查看sshd服務是否開啟:1.1.5e) 是否為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性操作系統(tǒng)的管理員用戶為rootOracle數(shù)據(jù)庫系統(tǒng)的用戶為oracle,cluster用戶為grid1

6、.2訪問控制1.2.1a) 是否啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問制定嚴格的訪問控制安全策略,根據(jù)策略控制用戶對應用系統(tǒng)的訪問,特別是文件操作、數(shù)據(jù)庫訪問等,控制粒度主體為用戶級、客體為文件級。1.2.2 b)是否根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限操作系統(tǒng)的管理員用戶為root(組為root),Oracle數(shù)據(jù)庫系統(tǒng)的用戶為oracle(組為oinstall等),cluster用戶為grid設置umask,系統(tǒng)缺省值為022。查看用戶的umask:# umask如需修改,在/etc/profile或用戶home目錄下的.profil

7、e中加入如下一行內(nèi)容(以027為例):umask 027檢查和系統(tǒng)安全相關(guān)的幾個配置文件的訪問權(quán)限。1.2.3c) 是否實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離區(qū)分root和oracle,grid用戶權(quán)限。1.2.4d) 是否限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令為每一個系統(tǒng)默認帳戶重設口令。方法詳見1.1.2節(jié)。1.2.5e) 是否及時刪除多余的、過期的帳戶,避免共享帳戶的存在檢查系統(tǒng)賬戶之外多余和過期的帳戶并刪除。以test用戶為例:# rmuser test1.3安全審計1.3.1a) 審計范圍是否覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶操作

8、系統(tǒng)用戶的審計由主機的審計服務進行管理,數(shù)據(jù)庫用戶的審計由Oracle數(shù)據(jù)庫系統(tǒng)來管理。1.3.2 b) 審計內(nèi)容是否包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件用# audit query命令查看系統(tǒng)的audit服務是否開啟,以及審計哪些事件和對象(如果audit服務未開啟,用# audit start命令開啟。)查看/etc/security/audit/conf文件是否包含子系統(tǒng)審計處理的事件用# auditpr v /audit/trail和# auditpr v /dev/console 2&1# touch /etc/rc.local# chm

9、od 700 /etc/rc.local在rc.local文件中加入audit start1.3.6f) 是否保護審計記錄,避免受到未預期的刪除、修改或覆蓋等嚴格控制審計記錄文件的讀寫權(quán)限1.4剩余信息保護1.4.1a) 是否保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中檢查/etc/passwd,/etc/group等系統(tǒng)配置文件,保證沒有已刪用戶的數(shù)據(jù)殘留,在刪除用戶后確認home目錄同時被刪除1.4.2b) 是否確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全

10、清除清理回收站,/tmp、/var/tmp等臨時目錄下的相關(guān)目錄和文件,刪除數(shù)據(jù)庫用戶的同時刪除其擁有的數(shù)據(jù)庫對象和表空間1.5資源控制1.5.1a) 是否通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄限制終端接入方式為經(jīng)過數(shù)據(jù)加密的ssh方式。關(guān)閉telnet,xdmcp,XVnc等連接方式。關(guān)閉telnet服務:stopsrc t telnetlssrc -t telnet清空 /etc/hosts.equiv禁止root遠程登錄# vi /etc/ssh/sshd_config : (修改下面兩條,需重啟sshd:service sshd restart)PermitRootLog

11、in noMaxAuthTries 6屏蔽banner信息# vi /etc/ssh/sshd_config :注釋掉banner的相關(guān)條目#Banner /some/path1.5.2b) 是否根據(jù)安全策略設置登錄終端的操作超時鎖定開啟屏幕保護,長時間無操作后鎖定屏幕。Ssh連接長時間無請求自動斷開連接:1.5.3c) 是否對重要服務器進行監(jiān)視,包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況可使用*stat命令查看服務器資源使用情況?;虬惭bnmon工具,對系統(tǒng)資源使用情況進行監(jiān)控和統(tǒng)計。nmon監(jiān)控命令:# /nmon/nmon12f_aix612將數(shù)據(jù)捕獲到文件,便于以后分析和繪制圖形:# /nmon/nmon12f_aix612 -fT -s 10 m /nmon(使用# /nmon/nmon12f_aix612 -h查看nmon命令的用法)可將生成的.mon文件ftp到windows主機,用nmon analyzer

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論