《数据库安全检查表》由会员分享,可在线阅读,更多相关《数据库安全检查表(15页珍藏版)》请在金锄头文库上搜索。
1、数据库安全检查表【精编版】1.1数据库编号生产厂商/型号12-5-4物理位置中心机房所在网络检查日期检查人责任人审核人编号检查项目检查内容操作方法结果检查记录1通 用 安 全 机 制操作系统检查检查数据库安装目录的权限,确保只有系统管理员才能访问该目录对 Windows操作系统而言,采用regedt32检查HKLMSoftwareSybase 中的权限键值2服务器信息列举网络上的远程服务器exec sp_helpserver检查输岀内容:网络密码加密的部份可能如下:net password encryption = truenet password encryption = false安全机制
2、部份可能如下:rpc security model A是不提供安全机制rpc security model B是提供不同的安全服务,如互相认证、消息加密、 完整性校验等。列举特定服务器的信息exec sp_helpdb3登陆配置检查认证模式是否开启exec sp_loginconfig login mode检查默认登陆execsp_loginconfigdefaultaccount在集成认证模式中,确认默认登陆角 色不是sa ,设置为NULL或者一个低 权限的用户。4补丁查看服务器版本信息select VERSION5数据库配置通用数据库参数获得当前Server的配置exec sp_confi
3、gure6检查输出 allow updates to system tables如果是“on”状态,DBA可以通过存储 过程修改系统表。建议sso将其设置为“off ”状态。因为已经建立的存储 过程可以被执行,建议审计数据库的 存储过程列表。exec sp_configure allow updatesto system tables7检查并保证 allow resource limit的值设为“1”exec sp_configure allow resource limit8保证系统表syscomments已经被保护该系统表非常重要,但默认情况下 被设置为1,确认该值被设置为0。exec s
4、p_configureselectonsyscomments.text9错误日志配置检查是否设置失败登陆日志,确认该值设置为0exec sp_configure log audit logon failure10检查是否设置成功登陆日志,确认该数值设为0exec sp_configure log audit logon success11用 户 级 安 全组列举某数据库的所有组:use DBNameexec sp_helpgroup12列举某组内的用户:use DBNameexec sp_helpgroup GroupName13角色检查服务器角色和用户定义的角色:select name, p
5、assword, pwdate,status from syssrvroles14检查每个角色的详细信息:exec sp_displayroles RoleName,expand_up15检查每个用户的详细信息:exec sp_displayrolesUserName,expand_down16检查角色中空口令用户:select namefrom syssrvroles wherepassword = NULL17用户检查某数据库的所有用户:exec sp_helpuser18检查散列用户口令:selectname,passwordfromsyslogins19检查每个数据库的用户权限:use
6、 DBNameexec sp_helprotect20口令安全参数检查口令过期时间,建议设置为14天execsp_configurepasswordexpiration intervalO-密码从不过期n-天数.21检查口令是否至少包含一位数字exec sp_configure check password for digitO-强制用户口令中至少包含一 个数字22检查最小密码长度,建议为 8位以上 execsp_configureminimumpassword length23数据级安全权限检查关键表、过程、触发器的权限, 检查赋予public组权限的对象: use DBNameexec s
7、p_helprotect ObjectName输出:1. 用户权限列表2. 所有对象的权限类型3. 是否设置WITH GRAN权限24存储过程列岀数据库中所有扩展存储过程:use sybsystemprocsselect name from sysobjects where type=XP25删除扩展存储过程xp_cmdshell ,并删除 sybsyesp.dllexecsp_dropextendedprocxp_cmdshell如果一定需要使用xp_cmdshell ,则审核其权限分配:use sybsystemprocsexecsp_helprotect“xp_cmdshell ”26检
8、查其它存储过程女口 sendmail, freemail, readmail,deletemail, startmail, stopmail,删除无用的存储过程,并删除mail帐号sybmail.27网络层安全远端服务器信息检查远端服务器是否允许访问use masterexec sp_configure allow remote access1- 允许远程访问O- 不允许远程访问检查信任用户的存在情况exec sp_helpremoteserver28远程连接机制检查安全机制和其提供的安全服务select * from syssecmechsSyssecmech表默认并不存在,仅在查 询的时候
9、创建,它由以下的列组成: sec_mech_name服务器提供的安全机 制名available_service安全机制提供的安全服务举例,Windows网络管理员,其内容 将为:sec_mech_name = NT LAN MANAGER available_service = unified login29检查libctl.cfg文件内部包含了网络驱动的信息,安全, 目录磁盘和其他初始化信息。1. 如果LDAP 密码加密。2. 安全机制:dee DCE 安全机制。csfkrb5 CyberSAFE Kerberos 安 全机制。LIBSMSSPWindowsNT 或Windows 95(仅客
10、户端)上的 Windows网络管理员。注意:libtcl.cfg 的位置:UNIX 模式:$SYBASE/config/桌面模式:SYBASE_homeini30检查统一登陆需要的参数exec sp_configure unified login required如果网络安全被设置为启用,则保证 其设置为1。设置为0,将会 允许传统的用户密码方式登陆到ASE这样跟信任连接一样会对网络的 安全性造成影响。数据库安全检查表【精编版】数据库编号生产厂商/型号12-5-4物理位置中心机房所在网络检查日期检查人责任人审核人编号检查项目检查内容操作方法结果检查记录1通 用 安 全 机 制操作系统检查检查数
11、据库安装目录的权限,确保只有系统管理员才能访问该目录对 Windows操作系统而言,采用regedt32检查HKLMSoftwareSybase 中的权限键值2服务器信息列举网络上的远程服务器exec sp_helpserver检查输岀内容:网络密码加密的部份可能如下:net password encryption = truenet password encryption = false安全机制部份可能如下:rpc security model A是不提供安全机制rpc security model B是提供不同的安全服务,如互相认证、消息加密、 完整性校验等。9错误日志配置检查是否设置失败
12、登陆日志,确认该值设置为0exec sp_configure log audit logon failure10检查是否设置成功登陆日志,确认该数值设为0exec sp_configure log audit logon success11用 户 级 安 全组列举某数据库的所有组:use DBNameexec sp_helpgroup12列举某组内的用户:use DBNameexec sp_helpgroup GroupName13角色检查服务器角色和用户定义的角色:select name, password, pwdate,status from syssrvroles14检查每个角色的详细信息:exec sp_displayroles RoleName,expand_up15检查每个用户的详细信息:exec sp_displayrolesUserName,expand_down16检查角色中空口令用户:select namefrom syssrvroles wherepassword = NULL17用户检查某数据库的所有用户:exec sp_helpuser18检查散列用户口令:selectname,passwordfromsyslogins19检查每个
