DB2数据库安全配置规范

DB2 数据库安全配置规范 DB2 数据库安全配置规范 Page 1 of 6 1. 概述 1.1. 目的 本规范明确了 DB2 数据库安全配置方面的基本要求。为了提高 DB2 数据库的 安全性而提出的。 1.2. 范围 本规范适用于 XXXX 使用的 DB2 数据库版本。 DB2 数据库安全配置规范 Page 2 of 6 2. 配置 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 2.1. 补丁 2.1.1. 检查数据库补丁安装情况 【具体配置】 1、以 DB2 用户登陆 2、运行 db2level,输出格式为： DB21085I Instance " " uses DB2 code release " " with level identifier " " and informational tokens " ", " " and " ". 用最后一位去 IBM 网站判断数据库当前所安装的 FixPak 2.1.2. 补丁下载 【具体配置】 1、如果安装的是 DB2 7.2 数据库, 需要安装 FixPak 9 ，下载地址： http://www-4.ibm.com/cgi- bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V7 2、如果运行的是 DB2 7.1 数据库, 需要安装 FixPak 3 升级到 DB2 7.2.升级 后需要安装 FixPak 9，下载地址： http://www-4.ibm.com/cgi- bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V7. 3、如果安装的是 DB2 6.x 版本的数据库, 需要安装 FixPak 11，下载地址： http://www-4.ibm.com/cgi- bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V6 4、如果安装的是 DB2 5.x 版本的数据库, 需要先安装 FixPak 6，再安装 FixPak 17，下载地址： http://www-4.ibm.com/cgi- bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report#V5 2.1.3. 补丁安装 【具体配置】 用 root 身份登陆安装，在安装之前必须以 db2 用户停止所有的 instance 和 应用，详细操作见 readme 之类的文件。 DB2 数据库安全配置规范 Page 3 of 6 2.2. 实例 【具体配置】 1、db2 用户登陆 2、db2ilist 列出当前系统上创建的所有实例 2.3. 数据库运行状态 【具体配置】 $db2 list database directory ---取当前实例中所存在的数据库 $db2 get db cfg for databasename|grep "LOGRETAIN" Log retain for recovery enabled (LOGRETAIN) = OFF ---此状态说明 数据库为非归档模式 2.4. 默认用户状态及口令更改情况 【具体配置】 1、以 root 身份登陆 2、lsuser db2inst1;lsuser db2fenc1;lsuser db2as 3、unix 上 DB2 用户默认的口令为 ibmdb2;NT 上为 db2admin 4、口令策略以及口令的更改同操作系统用户。 2.5. 数据库配置文件权限 【具体配置】 $ ls -al ~/sqllib/security/db2ckpw -r-s--x--x 1 root db2iadm1 19972 Jun 12 11:36 /db2/db2inst1/sqllib/security/db2ckpw chomd 700 db2as;chmod g-s db2as chmod 700 db2inst1;chmod g-s db2inst1 chmod 700 db2fenc1;chmod g-s db2fenc1 2.6. 数据库配置文件权限 【具体配置】 $ ls -al ~/sqllib/security/db2ckpw -r-s--x--x 1 root db2iadm1 19972 Jun 12 11:36 /db2/db2inst1/sqllib/security/db2ckpw chomd 700 db2as;chmod g-s db2as DB2 数据库安全配置规范 Page 4 of 6 chmod 700 db2inst1;chmod g-s db2inst1 chmod 700 db2fenc1;chmod g-s db2fenc1 2.7. 检查是否有 DBA或其他帐号的密码写于应用程序或者脚本中 【具体配置】 1、数据库备份脚本 2、一些.sh 或.sql 文件 2.8. 数据库权限 【具体配置】 1、查看数据库系统权限，以 DB2 用户身份登陆 $db2 get dbm cfg|grep "GROUP" # 输出结果类似： SYSADM group name (SYSADM_GROUP) = DB2IADM1 SYSCTRL group name (SYSCTRL_GROUP) = SYSMAINT group name (SYSMAINT_GROUP) = 2、取消过多的拥有数据库系统劝限的用户 $db2 update dbm cfg using SYSCTRL_GROUP|SYSCTRL_GROUP|SYSMAINT_GROUP grp1 # grp1 代 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 类似 db2iadm1 的组 $ db2 terminate $db2stop $db2start 3、查看数据库特权，以 DB2 用户身份登陆 $ db2 db2 => connect to database_aliase db2 => select * from syscat.dbauth db2 => revoke … # 取消数据库特权 Revoke Syntax .-,----------------------. V | >>-REVOKE------+-BINDADD-----------+--+--ON DATABASE------------> +-CONNECT-----------+ +-CREATETAB---------+ +-CREATE_NOT_FENCED-+ +-IMPLICIT_SCHEMA---+ +-DBADM-------------+ '-LOAD--------------' DB2 数据库安全配置规范 Page 5 of 6 .-,------------------------------------. V | >----FROM----+-+-------+---authorization-name--+--+------------>< | +-USER--+ | | '-GROUP-' | '-PUBLIC--------------------------' 2.9. 认证 【具体配置】 $db2 get dbm cfg|grep "AUTH" # 输出结果类似： Database manager authentication (AUTHENTICATION) = SERVER Cataloging allowed without authority (CATALOG_NOAUTH) = NO Trusted client authentication (TRUST_CLNTAUTH) = CLIENT Db2 认证方式： SERVER SERVER_ENCRYPT CLIENT DCS DCS_ENCRYPT DCE DCE_SERVER_ENCRYPT KERBEROS KRB_SERVER_ENCRYPT 2.10. 审计 【具体配置】 查看审计开启情况，以 DB2 用户登陆 $db2 get dbm cfg|grep "MON" # 输出结果类似 Transaction processor monitor name (TP_MON_NAME) = Buffer pool (DFT_MON_BUFPOOL) = OFF Lock (DFT_MON_LOCK) = OFF Sort (DFT_MON_SORT) = OFF Statement (DFT_MON_STMT) = OFF Table (DFT_MON_TABLE) = OFF Unit of work (DFT_MON_UOW) = OFF Database monitor heap size (4KB) (MON_HEAP_SZ) = 56 DB2 数据库安全配置规范 Page 6 of 6 2.11. 日志管理 【具体配置】 DB2 错误信息的主要来源是 db2diag.log 文件，可为用户在失败和故障时 提供诊断信息。DB2 错误日志默认存放位置是： $HOME/sqllib/db2dump/db2diag.log