Informix IDS数据库检查列表

informix 安全

Informix IDS数据库检查流程

操作手册

二〇一三年四月

北京安氏领信科技发展有限公司

Informix IDS数据库Security CheckList

第 1 页 共 6页

informix 安全

1 安全配置标准

1.1 安装数据库的主机要求

数据库主机一般应当专用于数据库的安装和使用；

数据库主机的操作系统层面应当保证安全： Informix数据库一般安装在

UNIX系统上，数据库软件安装之前，应当保证主机操作系统层面的安全，需要对主机进行安全设置，补丁更新。

1.2 数据库补丁安装标准

在新安装或者重新安装的数据库系统上，必须安装合适的补丁。

1.3 数据库帐号口令安全配置标准

1.3.1 帐户密码复杂性配置要求

必须为informix帐户和其他DBA帐户设置复杂的口令： 1. 口令长度最少为8位 2. 口令需包含如下字符：

英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9

非字母数字字符，如标点符号，@, #, $, %, &, *等

1.4 目录和文件安全标准

1.4.1 Informix目录属主及权限配置

Informix程序安装目录设置为环境变量$INFORMIXDIR，其子目录的安全设置如下表：

Informix IDS数据库Security CheckList

第 2 页 共 6页

informix 安全

1.4.2 sqlhost文件安全配置

sqlhosts文件权限设置，属主应该是informix，属组可以是informix，也可以是DBSA。对于其他帐户，不要设置对sqlhosts文件写的权限。

chown Informix:Informix sqlhosts chmod 744 sqlhosts

1.4.3 onconfig文件安全配置

onconfig文件权限设置，属主应该是informix，属组可以是informix，也可以是DBSA。对于其他帐户，不要设置对onconfig文件写的权限。

chown Informix:Informix onconfig chmod 744 onconfig

Informix IDS数据库Security CheckList 第 3 页 共 6页

informix 安全

1.4.4 数据库崩溃DUMP文件安全配置

Informix数据库缺省会在系统崩溃时，将共享内存的内容（DUMP）保存在磁盘中，因为DUMP中包含用户名和口令数据，往往成为攻击者的目标。可根据具体情况配置数据库系统在崩溃时不要进行内存转储。

编辑onconfig文件： DUMPPSHMEM＝0

注：数据库运行不稳定的公司可暂时不做本项配置。

1.5 数据库网络服务配置标准

1.5.1 数据库使用的网络协议

Informix可以使用以下方式进行连接：

共享内存(Shared-memory ) 流管道(Stream-pipe), 命名管道(named-pipe) TCP网络协议协议 IPX网络协议

网络协议在sqlhosts文件中进行配置。要求数据库只支持TCP Scoket网络连接或者共享内存(Shared-memory )方式。

1.5.2 防DOS攻击设置

为了限制拒绝服务（DOS）攻击，Dynamic Server 具有多个侦听器线程（listen_authenticate）。这些线程认证客户机请求，同时主侦听器线程只接受进入

的

请

求并

派

生用

于认

证

的新

线

程。

使

用

MAX_INCOMPLETE_CONNECTIONS 配置参数配置在任何时间点上的线程认证的数目。 使用 LISTEN_TIMEOUT 配置参数配置未完成连接的超时值。注：informix的9.x和7.x不支持LISTEN_TIMEOUT参数。

Informix IDS数据库Security CheckList 第 4 页 共 6页

informix 安全

根据机器运行线程的能力（按数目计算），可以将 MAX_INCOMPLETE_CONNECTIONS 配置为较高值，并且根据网络流量，可以将 LISTEN_TIMEOUT 设置为较低的值，以降低攻击可以达到最大限制的机会。

有两种方式设置参数： 1.6 数据库审计配置标准

数据库的默认不进行安全审核，审计需要考虑以下操作：

1. DBA避免使用informix帐户

设置单独的DBA帐户，不得使用informix帐户实施dba功能，也不得将dba设置在informix组。批作业采用DBA操作，不得采用informix帐户。

前台用户也不得属于informix组。

(这样避免了对dba和前台用户的全部活动都进行审计，对系统性能和空间造成较大的影响) 2. .配置审计功能的步骤

打开审计及设置审计级别 设置审计内容

Informix IDS数据库Security CheckList

第 5 页 共 6页

informix 安全

设置审计文件存放的目录

设置审计失败、错误后，数据库响应方式 设置审计文件的大小 保存审计配置到配置文件

3. 根据实际情况设置每个日志文件的大小，建议一天一个文件。根据

磁盘空间的大小，设置Crontab定期任务，对日志文件进行备份和删除。

Informix IDS数据库Security CheckList 第 6 页 共 6页