DB2数据库系统安全配置基线检查指导文件

DB2数据库系统安全配置基线

目录1 概述 31.1 目的 31.2 适用范围 31.3 适用版本 31.4 安全基线说明 32 账号管理、认证授权 42.1 使用加密的AUTHENTICATION模式 42.2 限制帐户权限 62.3 检查用户对象特权的使用情况 72.4 为SYSxxx_GROUP参数使用显式值 82.5 从PUBLIC撤销隐式的权限和特权 93 日志配置 123.1 审计日志功能 123.2 日志文件大小 133.3 配置审计缓冲区 144 设备其他安全要求 164.1 检查数据库版本 16DB2数据库系统安全配置基线概述目的本文档旨在指导系统管理人员或安全检查人员进行DB2数据库的安全合规性检查和配置。适用范围本配置标准的使用者包括：数据库管理员本配置标准适用的范围包括：维护管理DB2数据库。适用版本DB2安全基线说明此安全基线主要包括帐户管理、认证授权、日志配置、其他安全要求等几方面内容，基线内容包含9项安全基线。DB2数据库系统安全配置基线账号管理、认证授权使用加密的AUTHENTICATION模式安全基线项目名称使用加密的AUTHENTICATION模式安全基线编号DB2-01安全基线项说明身份验证是指使用一种安全机制对用户ID和密码进行验证的过程。用户和组的身份验证是在DB2外部的一个设施中，例如操作系统、域控制器或Kerberos安全系统中进行管理的。实际的身份验证位置由实例参数AUTHENTICATION的值来决定。有很多不同的身份验证模式，包括在DB2服务器上（使用服务器的安全设施）、在客户机上（允许“单点”访问）、在一个Kerberos安全设施上或者通过一个用户定义的GenericSecurityService（GSS）插件对用户进行身份验证。其他身份验证选项还包括当用户名和密码以及数据通过网络在客户机与服务器之间传输的时候，对它们进行加密。对它们进行加密，有以下几种加密身份验证选项：SERVER_ENCRYPT：规定在服务器上定义的安全设施上进行身份验证。KRB_SERVER_ENCRYPT：规定服务器接受KERBEROS认证或加密的SERVER身份验证模式。DATA_ENCRYPT：规定服务器接受加密的SERVER身份验证模式和对用户数据的加密。DATA_ENCRYPT_CMP ：规定服务器接受SERVER身份验证模式和对用户数据的加密。GSS_SERVER_ENCRYPT ：规定服务器接受基于GSSAPI插件的身份验证或加密的服务器身份验证模式。检测操作步骤getdbcfgforsample(数据库名)基线符合性判定依据通过：getdbmcfg查看参数AUTHENTICATION的值。加固标准updatedbmcfgusingAUTHENTICATIONDATA_ENCRYPTdb2stopdb2start等级保护基本要求7.1.3.1主机：身份鉴别（S3），b）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；检查结果□符合□不符合整改结果备注限制帐户权限安全基线项目名称限制帐户权限安全基线编号DB2-02安全基线项说明防止数据库权限的滥用，减少安全隐患。检测操作步骤通过：getdbmcfg查看参数SYSMAINT_GROUP的值。基线符合性判定依据确认修改已经生效，可以通过执行以下命令来查看参数的值：getdbmcfg加固标准将SYSMAINT_GROUP参数的值改为MAINT，可以在命令行上执行以下命令：updatedbmcfgusingSYSADM_GROUPMAINT要让修改生效，必须重新启动数据库实例：db2stopdb2start等级保护基本要求7.1.3.2主机：访问控制（S3），b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。检查结果□符合□不符合整改结果备注检查用户对象特权的使用情况安全基线项目名称检查用户对象特权的使用情况安全基线编号DB2-03安全基线项说明检查当前用户权限，合理管理权限检测操作步骤运行getauthorizations查看状态基线符合性判定依据权限合理，即符合。加固标准删除权限：revoke增加权限：grant从用户JEN撤消STAFF表上的ALTER特权，可以发出以下语句：REVOKEALTERONTABLEstaffFROMUSERjen要从JEN撤消STAFF表上的所有特权，可以发出以下语句：REVOKEALLPRIVILEGESONTABLEstaffFROMUSERjen等级保护基本要求7.1.3.2主机：访问控制（S3），a)应启用访问控制功能，依据安全策略控制用户对资源的访问。检查结果□符合□不符合整改结果备注为SYSxxx_GROUP参数使用显式值安全基线项目名称为SYSxxx_GROUP参数使用显式值安全基线编号DB2-04安全基线项说明DB2定义了一个超级用户权限层次结构（SYSADM、SYSCTRL、SYSMAINT和SYSMON），每个权限可以执行一个子集的管理操作。将每个实例级权限参数的缺省值改为一个显式的组名，以防止意料之外的超级用户访问。检测操作步骤运行getdbmcfg查看状态基线符合性判定依据设置了用户组权限所对应的数据库实例，即为符合。加固标准运行getdbmcfg查看状态，并记录。1、参考配置操作如果有一个名为DBAGRP1的操作系统组，所有DBA用户都是这个组的成员，使用以下所示的命令将SYSADM_GROUP实例参数的值设为DBAGRP1，那么这个组中的所有用户都将继承SYSADM权限。UPDATEDBMCFGUSINGSYSADM_GROUPdbagrp1db2stopdb2start2、补充操作说明在Windows上进行缺省的DB2安装时，这些参数的值被缺省地设置为NULL。这意味着超级用户权限被授给属于本地Administrators组的所有有效用户账户。在Linux和UNIX平台上，NULL值被缺省地赋给实例所有者的主组，完成安装后，缺省情况下这个组只包含用户ID和实例所有者。等级保护基本要求7.1.3.2主机：访问控制（S3），d)应严格限制默认帐户的访问权限，重命名系统默认帐户，并修改这些帐户的默认口令。检查结果□符合□不符合整改结果备注从PUBLIC撤销隐式的权限和特权安全基线项目名称从PUBLIC撤销隐式的权限和特权安全基线编号DB2-05安全基线项说明DB2在内部使用一个名为PUBLIC的伪组，对于PUBLIC来说，可以为之授予特权，也可以撤销它的特权。PUBLIC实际上不是在外部安全设施中定义的一个组，但通过它可以为通过DB2认证的用户授予特权。检测操作步骤通过：SELECTDISTINCTOBJECTSCHEMAFROMSYSIBMADM.PRIVILEGESWHEREAUTHID='PUBLIC'，查看当前public，有哪些权限或者特权。基线符合性判定依据public不存在权限和特权，即为符合。加固标准连接数据库，这里以testdb为例：CONNECTTOtestdb;执行下面命令取消PUBLIC的隐式的权限和特权：REVOKEBINDADDONDATABASEFROMPUBLIC;REVOKECREATETABONDATABASEFROMPUBLIC;REVOKECONNECTONDATABASEFROMPUBLIC;REVOKEIMPLICIT_SCHEMAONDATABASEFROMPUBLIC;REVOKEUSEOFTABLESPACEUSERSPACE1FROMPUBLIC;REVOKESELECTONTABLESYSCAT.COLAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.DBAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.INDEXAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PACKAGEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PASSTHRUAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.ROUTINEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SCHEMAAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SECURITYLABELACCESSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SECURITYPOLICYEXEMPTIONSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SEQUENCEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SURROGATEAUTHIDSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.TABAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.TBSPACEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.XSROBJECTAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.AUTHORIZATIONIDSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.OBJECTOWNERSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PRIVILEGESFROMPUBLIC;等级保护基本要求7.1.3.2主机：访问控制（S3），b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。检查结果□符合□不符合整改结果备注日志配置审计日志功能安全基线项目名称审计日志功能安全基线编号DB2-06安全基线项说明实现联机备份和恢复，日志的缺省模式是循环日志。缺省模式下，只能实现数据库的脱机备份和恢复。检测操作步骤getdbmcfg查看状态基线符合性判定依据getdbmcfg查看状态，logretainon加固标准运行getdbmcfg查看状态。参考配置操作db2updatedbcfgforusinglogretainon注：改为on后，查看数据库配置参数logretain的值时，实际显示的是recovery。改变此参数后，再次连接数据库会显示数据库处于备份暂挂（BACKUPPENDING）状态。这时，需要做一次对数据库的脱机备份（db2backupdb），才能使数据库状态变为正常。注：确保将所有仍然缓冲在内存中的审计记录写到磁盘上：db2auditflush等级保护基本要求7.1.3.3主机：安全审计（G3），a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。检查结果□符合□不符合整改结果备注日志文件大小安全基线项目名称日志文件大小安全基线编号DB2-07安全基线项说明增加日志文件空间。检测操作步骤通过：getdbmcfg，查看当前日志空间大小。基线符合性判定依据日志空间大小满足业务需求，即符合。加固标准运行getdbmcfg查看状态。参考配置操作updatedbcfgforsampleusingLOGFILSIZ50000DB20000IUPDATEDATABASECONFIGURATIONupdatedbcfgforsampleusingLOGFILSIZ1000DB20000IUPDATEDATABASECONFIGURATION。(返回到默认值)等级保护基本要求7.1.3.3主机：安全审计（G3），f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。检查结果□符合□不符合整改结果备注配置审计缓冲区安全基线项目名称配置审计缓冲区安全基线编号DB2-08安全基线项说明如果将缓冲区大小设置为0，那么将发生同步写日志操作，而不使用审计缓冲区。在这种配置中，生成审计记录的事件必须等到记录被写到磁盘上，才能返回它的状态。由于对于每条记录都要进行这样的等待，DB2的性能将有所降低。如果缓冲区的大小大于0，那么审计记录是异步写的。也就是说，审计记录在被刷新到磁盘之前，是先存放在审计缓冲区中的。检测操