DB2 数据库安全配置规范
DB2 数据库安全配置规范
Page 1 of 6
1. 概述
1.1. 目的
本规范明确了 DB2 数据库安全配置方面的基本要求。为了提高 DB2 数据库的
安全性而提出的。
1.2. 范围
本规范适用于 XXXX 使用的 DB2 数据库版本。
DB2 数据库安全配置规范
Page 2 of 6
2. 配置
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
2.1. 补丁
2.1.1. 检查数据库补丁安装情况
【具体配置】
1、以 DB2 用户登陆
2、运行 db2level,输出格式为:
DB21085I Instance " " uses DB2 code release " " with level identifier " " and
informational tokens " ", " " and " ".
用最后一位去 IBM 网站判断数据库当前所安装的 FixPak
2.1.2. 补丁下载
【具体配置】
1、如果安装的是 DB2 7.2 数据库, 需要安装 FixPak 9 ,下载地址:
http://www-4.ibm.com/cgi-
bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V7
2、如果运行的是 DB2 7.1 数据库, 需要安装 FixPak 3 升级到 DB2 7.2.升级
后需要安装 FixPak 9,下载地址:
http://www-4.ibm.com/cgi-
bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V7.
3、如果安装的是 DB2 6.x 版本的数据库, 需要安装 FixPak 11,下载地址:
http://www-4.ibm.com/cgi-
bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V6
4、如果安装的是 DB2 5.x 版本的数据库, 需要先安装 FixPak 6,再安装
FixPak 17,下载地址:
http://www-4.ibm.com/cgi-
bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V5
2.1.3. 补丁安装
【具体配置】
用 root 身份登陆安装,在安装之前必须以 db2 用户停止所有的 instance 和
应用,详细操作见 readme 之类的文件。
DB2 数据库安全配置规范
Page 3 of 6
2.2. 实例
【具体配置】
1、db2 用户登陆
2、db2ilist 列出当前系统上创建的所有实例
2.3. 数据库运行状态
【具体配置】
$db2 list database directory ---取当前实例中所存在的数据库
$db2 get db cfg for databasename|grep "LOGRETAIN"
Log retain for recovery enabled (LOGRETAIN) = OFF ---此状态说明
数据库为非归档模式
2.4. 默认用户状态及口令更改情况
【具体配置】
1、以 root 身份登陆
2、lsuser db2inst1;lsuser db2fenc1;lsuser db2as
3、unix 上 DB2 用户默认的口令为 ibmdb2;NT 上为 db2admin
4、口令策略以及口令的更改同操作系统用户。
2.5. 数据库配置文件权限
【具体配置】
$ ls -al ~/sqllib/security/db2ckpw
-r-s--x--x 1 root db2iadm1 19972 Jun 12 11:36
/db2/db2inst1/sqllib/security/db2ckpw
chomd 700 db2as;chmod g-s db2as
chmod 700 db2inst1;chmod g-s db2inst1
chmod 700 db2fenc1;chmod g-s db2fenc1
2.6. 数据库配置文件权限
【具体配置】
$ ls -al ~/sqllib/security/db2ckpw
-r-s--x--x 1 root db2iadm1 19972 Jun 12 11:36
/db2/db2inst1/sqllib/security/db2ckpw
chomd 700 db2as;chmod g-s db2as
DB2 数据库安全配置规范
Page 4 of 6
chmod 700 db2inst1;chmod g-s db2inst1
chmod 700 db2fenc1;chmod g-s db2fenc1
2.7. 检查是否有 DBA或其他帐号的密码写于应用程序或者脚本中
【具体配置】
1、数据库备份脚本
2、一些.sh 或.sql 文件
2.8. 数据库权限
【具体配置】
1、查看数据库系统权限,以 DB2 用户身份登陆
$db2 get dbm cfg|grep "GROUP" # 输出结果类似:
SYSADM group name (SYSADM_GROUP) =
DB2IADM1
SYSCTRL group name (SYSCTRL_GROUP) =
SYSMAINT group name (SYSMAINT_GROUP) =
2、取消过多的拥有数据库系统劝限的用户
$db2 update dbm cfg using
SYSCTRL_GROUP|SYSCTRL_GROUP|SYSMAINT_GROUP grp1 # grp1 代
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
类似
db2iadm1 的组
$ db2 terminate
$db2stop
$db2start
3、查看数据库特权,以 DB2 用户身份登陆
$ db2
db2 => connect to database_aliase
db2 => select * from syscat.dbauth
db2 => revoke … # 取消数据库特权
Revoke Syntax
.-,----------------------.
V |
>>-REVOKE------+-BINDADD-----------+--+--ON DATABASE------------>
+-CONNECT-----------+
+-CREATETAB---------+
+-CREATE_NOT_FENCED-+
+-IMPLICIT_SCHEMA---+
+-DBADM-------------+
'-LOAD--------------'
DB2 数据库安全配置规范
Page 5 of 6
.-,------------------------------------.
V |
>----FROM----+-+-------+---authorization-name--+--+------------><
| +-USER--+ |
| '-GROUP-' |
'-PUBLIC--------------------------'
2.9. 认证
【具体配置】
$db2 get dbm cfg|grep "AUTH" # 输出结果类似:
Database manager authentication (AUTHENTICATION) = SERVER
Cataloging allowed without authority (CATALOG_NOAUTH) = NO
Trusted client authentication (TRUST_CLNTAUTH) = CLIENT
Db2 认证方式:
SERVER
SERVER_ENCRYPT
CLIENT
DCS
DCS_ENCRYPT
DCE
DCE_SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
2.10. 审计
【具体配置】
查看审计开启情况,以 DB2 用户登陆
$db2 get dbm cfg|grep "MON" # 输出结果类似
Transaction processor monitor name (TP_MON_NAME) =
Buffer pool (DFT_MON_BUFPOOL) = OFF
Lock (DFT_MON_LOCK) = OFF
Sort (DFT_MON_SORT) = OFF
Statement (DFT_MON_STMT) = OFF
Table (DFT_MON_TABLE) = OFF
Unit of work (DFT_MON_UOW) = OFF
Database monitor heap size (4KB) (MON_HEAP_SZ) = 56
DB2 数据库安全配置规范
Page 6 of 6
2.11. 日志管理
【具体配置】
DB2 错误信息的主要来源是 db2diag.log 文件,可为用户在失败和故障时
提供诊断信息。DB2 错误日志默认存放位置是:
$HOME/sqllib/db2dump/db2diag.log