某公司InformixIDS数据库检查流程

1、Informix IDS 数据库检查流程操作手册二二0年六月北京安氏领信科技发展有限公司1 安全配置标准1.1 安装数据库的主机要求数据库主机一般应当专用于数据库的安装和使用； 数据库主机的操作系统层面应当保证安全： Informix 数据库一般安装在 UNIX 系统上，数据库软件安装之前，应当保证主机操作系统层面的安 全，需要对主机进行安全设置，补丁更新。1.2 数据库补丁安装标准在新安装或者重新安装的数据库系统上，必须安装合适的补丁。1.3 数据库帐号口令安全配置标准帐户密码复杂性配置要求必须为 informix 帐户和其他 DBA 帐户设置复杂的口令：1. 口令长度最少为 8 位2. 口

2、令需包含如下字符：英语大写字母A, B, C,Z英语小写字母a, b, c,z西方阿拉伯数字 0, 1, 2, 9非字母数字字符，如标点符号， , #, $, %, &, * 等1.4 目录和文件安全标准目录属主及权限配置Informix 程序安装目录设置为环境变量 $INFORMIXDIR ，其子目录的安全 设置如下表：目录属主属组权限设置.($INFORMIXDIR)in formixin formix755binin formixIn formix755libin formixn formix755glsin formixn formix755msgin formixn formix75

3、5etcin formixDBSA755aaodirin formixAAO755dbssodirin formixDBSSO755142 sqlhost 文件安全配置sqlhosts文件权限设置，属主应该是informix，属组可以是informix，也可 以是DBSA。对于其他帐户，不要设置对 sqlhosts文件写的权限。chow n In formix:I nformix sqlhostschmod 744 sqlhosts143 on co nfig文件安全配置onconfig文件权限设置，属主应该是 以是DBSA。对于其他帐户，不要设置对informix，属组可以是informix

4、，也可 on co nfig文件写的权限。chow n In formix:I nformix onconfigchmod 744 onconfig144数据库崩溃DUMP文件安全配置Informix数据库缺省会在系统崩溃时，将共享内存的内容(DUMP )保存在 磁盘中，因为DUMP中包含用户名和口令数据，往往成为攻击者的目标。可根 据具体情况配置数据库系统在崩溃时不要进行内存转储。编辑onconfig文件：DUMPPSHMEM = 0注：数据库运行不稳定的公司可暂时不做本项配置。1.5数据库网络服务配置标准数据库使用的网络协议Informix可以使用以下方式进行连接：共享内存(Shared-

5、memory )流管道(Stream-pipe),命名管道(named-pipe)TCP网络协议协议IPX网络协议网络协议在sqlhosts文件中进行配置。要求数据库只支持TCP Scoket网络连接或者共享内存(Shared-memory )方式。防DOS攻击设置为了限制拒绝服务(DOS )攻击，Dynamic Server具有多个侦听器线程(listen_authenticate )。这些线程认证客户机请求，同时主侦听器线程只接受进 入的请求并派生用于认证的新线程。使用MAX_INCOMPLETE_CONNECTIONS配置参数配置在任何时间点上的线程认证的数目。使用LISTEN_TIME

6、OUT配置参数配置未完成连接的超时值。注: informix 的 9.x 和 7.x 不支持 LISTEN_TIMEOUT 参数。参数缺省值说明LISTEN_TIMEOUT10秒未完成连接的超时设置。MAX_INCOMPLETE_CONNECTIONS1024限制未完成连接的请求数目根据机器运行线程的能力（按数目计算），可以将 MAX_INCOMPLETE_CONNECTIONS配置为较高值，并且根据网络流量，可以将LISTEN_TIMEOUT 设置为较低的值，以降低攻击可以达到最大限制的机 会。有两种方式设置参数:设置方式设置命令当前会话onm ode-wmcon figurati on_

7、parameter=value启动文件ONCONFIGonm ode -wf con figurati on _parameter=value1.6数据库审计配置标准数据库的默认不进行安全审核，审计需要考虑以下操作：1. DBA避免使用informix帐户设置单独的DBA帐户，不得使用informix帐户实施dba功能，也 不得将dba设置在informix组。批作业采用DBA操作，不得采用informix 帐户。前台用户也不得属于informix组。（这样避免了对dba和前台用户的全部活动都进行审计，对系统性 能和空间造成较大的影响）2.配置审计功能的步骤打开审计及设置审计级别 设置审计内容

8、设置审计文件存放的目录 设置审计失败、错误后，数据库响应方式设置审计文件的大小 保存审计配置到配置文件3. 根据实际情况设置每个日志文件的大小，建议一天一个文件。根据磁盘空间的大小，设置 Cron tab定期任务，对日志文件进行备份和 删除。步骤命令命令含义启动审计及设置审计级别on audit -l 5开启审计，并把审计级别设置为5设置审计内容on audit -m -u _default -e+UPRW,DRDB,DLRW,CLDB,GRDB审计对 row 的 update 操作,drop database 操作, delete row 操作, close database 的操 作设置审计目录on audit -p /work/a