DB2业务安全加固通用操作指导书V10.docx

华为技术业务安全DB2安全加固通用操作指导书HUAWI华为技术有限公司商业机密版权声明©2023华为技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。作者信息拟制：钱冰斌日期：2010-3-10审核：日期：审核：日期：批准：日期：修订记录日期修订版本作者描述2010-3-10V1O钱冰斌Draft目录1文档使用说明51.1 适用范围51.1.1 适用版本51.1.2 适用人员52实施前准备62.1 系统检查62.2 业务检查62.3 备份73加固实施73.1 SEC-DB2-ACCT帐号力固73.1.1 SEC-DB2-ACCT-O1设置专用维护帐号73.1.2 SEC-DB2-ACCT-02锁定/删除无用帐号完成93.1.3 SEC-DB2-ACCT-03禁止在实例用户下安装应用软件一完成103.2 SEC-DB2-PWD口令加固103.2.1 SEC-DB2-PWD-01配置用户口令复杂度和系统重复，以系统为准.103.2.2 SEC-DB2-PWD-02配置用户口令期限建议不做113.2.3 SEC-DB2-PWD-03配置用户口令重复使用次数-系统中不做123.2.4 SEC-DB2-PWD-04配置用户认证失败锁定策略一系统部分不做123.3 SEC-DB2-AUTH访问控制133.3.1 SEC-DB2-AUTH-OI从PUB11C撤销隐式的权限和特权一需确认133.3.2 SEC-DB2-AUTH-02账号权限最小化-需确认143.4 SEC-DB2-OTHER其他力固153.4.1 SEC-DB2-OTHER-01设置身份验证类型一需确认，如何修改153.4.2 SEC-DB2-0THER-O2访问控制（可选）不做164实施后验证184.1 系统检查184.2 业务检查195风险回退195.1 故障信息收集：19195.2 对实施前备份的配置文件进行恢复1文档使用说明11适用范围1.1.1 适用版本操作系统适用所有操作系统，本文涉及到的操作均以1inUX操作系统为例，其他操作系统请自行参考相关资料。数据库DB2V8,V9,没有特别说明的，均以DB2V9为基准。1.1.2 适用人员一线维护工程师和安全专业服务工程师。要求使用人员熟悉UniX命令、熟练操作DB2数据库，熟悉安全加固流程。2实施前准备I、预计操作时间：30分钟，可提前完成2、操作人员：华为工程师或交付合作方3、操作影响：无影响注意 现网设备加固需要提前提交现网施工申请，一般要求凌晨0:00后才能开始实施。 加固前一定要对主机及数据库作健康检查，确认无软硬件故障、重启正常、双机切换正常和业务运行正常后，才能对数据库进行加固操作。否则建议修复后再加固。 双机加固时考虑到数据库重启时会自动切换，因此可以先停掉双机的自动切换,待加固完成后再启动双机的自动切换。2.1系统检查步骤1检查是否有异常日志步骤2系统启动信息，系统日志信息步骤3检查系统性能情况# top# vmstat510# sar510并把相关结果记录下来2.2业务检查根据业务加固策略要求，检查业务运行状态，详细请参考对应产品的数据库加固项目交付指导书。2.3备份步骤1对操作系统进行备份步骤2对数据库进行备份根据各业务特点补充要备份的内容和方法。3加固实施1、预计操作时间：60分钟2、操作人员：华为专业安全服务工程师或交付合作方3、操作影响：部分策略实施可能会造成业务中断，在双机系统中，实施时需先实施备机，确保备机没问题后，再实施主机。3.1 SEC-DB2-ACCT帐号加固3.1.1 SEC-DB2-ACCT-01设置专用维护帐号加固内容：应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。通用策略:建议按维护人员角色新增维护帐号，根据工号创建唯维护帐号即可。风险说明:操作方法：使用以下命令创建帐号：必须以管理员的身份登录创建用户DBJSER,密码为WaPgW5#123# useradd-mDB_USER# passwdDB_USER使用以下命令删除帐号（使用CASCADE参数可先删除所有对象再删除用户）：# userde1-r-fDBUSER以db2ins11登陆，使用以下命令赋予用户权限：根据实际需要为用户分配不同的权限# db2connecttosamp1euserdb2inst1usingWap5db2database# db2grantconnectondatabasetouserDBUSERc说明DB2用户登陆，密码区分大小写。操作验证:使用以下命令查看当前用户的权限:# db2getauthorizationsAdministrativeAuthorizationsforCurrentUserDirectSYSADMauthority=NODirectSYSCTR1authority=NODirectSYSMAINTauthority=NODirectDBADMauthority=YESDirectCREATETABauthority=YESDirectBINDADDauthority=YESDirectCONNECTauthority=YESDirectCREATE_N0T_FENCauthority=YESDirectIMP1ICITSCHEMAauthority=YESDirect1OADauthority=YESDirectQUIESCECONNECTauthority=YESDirectCREATE一EXTERA1_ROUT1NEauthority=YESIndirectSYSADMauthority=YESIndirectSYSCTR1authority=NOIndirectSYSMAINTauthority=NOIndirectDBADMauthority=NOIndirectCREATETABauthority=YESIndirectBINDADDauthority=YESIndirectCONNECTauthority=YESIndirectCREATE_NOT_FENCauthority=NOIndirectIMP1ICITSCHEMAauthority=YESIndirect1OADauthority=NOIndirectQUIESCE,CONNECTauthority=NOIndirectCREATE.EXTERNA1.ROUTINEauthority=NO也可以通过表SYSCAT.DBAUTH查看每个用户的权限。3.1.2 SEC-DB2-ACCT-02锁定/删除无用帐号完成加固内容：应删除或锁定与数据库运行、维护等工作无关的帐号。通用策略：业务加固策略中的相关项：说明：需研发确认用户列表，系统用户类，业务用户类，维护用户类。请现场将所有用户列表发回，确认需要锁定的用户列表。可以通过catetcpasswd命令获取。风险说明：删除用户需谨慎，建议不要删除内置用户，而使用锁定帐号的方式。操作方法：需要锁定的用户：Ipgamesnamedatiremysq1Idappostfixpostgreswwwrunmai1popsnortsquidmai1mannewsuucp锁定用户：# passwd-1username说明：只有具备超级用户权限的账号才能使用passwd-1username锁定账号，解除对帐号的锁定：# passwd-uusername操作验证:使用已经锁定的帐号尝试登陆3.1.3 SEC-DB2-ACCT-03禁止在实例用户下安装应用软件一完成加固内容：禁止在实例用户下安装应用软件。通用策略：实例用户是DB2所特有，实例用户有最高的SySadm权限。不能在该用户下安装应用软件，因为可能权限过大而超成一些安全隐患。风险说明：无操作方法：步骤1进入实例目录Cdoptibmdb2V9.1/instance步骤2以root用户执行$.db2i1ist>db2inst1操作验证：应用软件没有安装在db2inst1用户下3.2SEC-DB2-PWD口令加固3.2.1SEC-DB2-PWD-01配置用户口令复杂度和系统重复，以系统为准加固内容：对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、字母和特殊符号3类。修改密码为不符合要求的密码，将失败。通用策略:维护帐号和系统管理帐号都可以做“口令加固”，业务帐号，不能做“口令加固”。风险说明:操作方法：设置密码规则：至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9o修etcpam.dpasswd，添加如下行：#vietcpam.d/passwdpasswordrequiredpam_crack1ib.sodcredit=-1ucredit=1ocredit="1!credit=1min1en=6passwordrequiredpamunix.souseauthtoknu11okmd5操作验证：创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通登杂口令，查看系统是否可以成功设置。3.2.2SEC-DB2-PWD-02配置用户口令期限-建议不做加固内容：对于采用静态口令认证技术的数据库，帐号口令的生存期不长于90天，宽限期7天。通用策略：维护帐号和系统管理帐号都可以做“口令加固”，业务帐号，不能做“口令加固”。风险说明：如果在宽限期内没有修改口令，账户就会过期。如业务帐号采用口令期限设置，将导致以后业务连接不了数据库，严重影响业务。操作方法：设置密码最大有效期限为90天，最小有效期限为1天。修改etc1ogin.defs,添加或修改如下内容：Vietc1ogin.defsPASS-MAXDAYS90PASS_MIN_DAYS1PSSWARNAGE7说明:PASS_MAX_DAYS密码的最大有效期限，默认值是9999PASS_MIN_DAYS密码的最小有效期限，默认值是O操作验证：使用密码过期的帐户尝试登录系统。323SEC-DB2-PWD-03配置用户口令重复使用次数-系统部分不做加固内容：对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。通用策略：维护帐号和系统管理帐号都可以做“口令加固”，业务帐号，不能做“口令加固，风险说明：无