DB2数据库安全基线检查指导文件.docx

Db2 connect to 数据库名 user 用户名 using 密码 1、 检查内容：检查是否配置SYSMON_GROUP的缺省值 配置要求：为SYSCTRL_GROUP参数使用显式值 检查方法：检测步骤: 一、查询默认数据库管理器配置,确认参数SYSMON_GROUP的设置. #db2 get dbm cfg 判定依据: SYSMON_GROUP的值不为空则合规,否则不合规 系统现状： 2、 检查内容：检查是否配置SYSMAINT_GROUP的缺省值 配置要求：为SYSMAINT_GROUP参数使用显式值 检查方法：检测步骤: 一、查询默认数据库管理器配置,确认参数SYSMAINT_GROUP的设置. #db2 get dbm cfg 判定依据: SYSMAINT_GROUP的值不为空则合规,否则不合规 系统现状： 3、 检查内容：检查是否配置SYSCTRL_GROUP的缺省值 配置要求：为SYSCTRL_GROUP参数使用显式值 检查方法：检测步骤: 一、查询默认数据库管理器配置,确认参数SYSCTRL_GROUP的设置. #db2 get dbm cfg 判定依据: SYSCTRL_GROUP的值不为空则合规,否则不合规 系统现状： 4、 检查内容：检查是否配置SYSADM_GROUP的缺省值 配置要求：为SYSADM_GROUP 参数使用显式值 检查方法：一、查询默认数据库管理器配置,确认参数SYSADM_GROUP的设置. #db2 get dbm cfg 判定依据: SYSADM_GROUPL的值不为空则合规,否则不合规 系统现状： 5、 检查内容：检查是否配置DAS组角色 配置要求：严格设置DAS组的角色 检查方法：检测步骤: 一、查询默认数据库管理器配置,确认参数DASADM_GROUP的设置. #db2 get admin configuration 判定依据: DASADM_GROUP的值不为空则合规,否则不合规 系统现状： 6、 检查内容：检查数据库备份数量设置 配置要求：设置保留的数据库备份的数量 检查方法： 检测步骤: 一、查询默认数据库管理器配置,确认参数NUM_DB_BACKUPS的设置. #db2 connect to 数据库名称 #db2 get db cfg 判定依据: NUM_DB_BACKUPS的值大于等于12则合规,否则不合规 系统现状： 7、 检查内容：检查是否配置随机安全审计 配置要求：要求开始随机安全审计 检查方法：检测步骤: 一、执行以下命令查看db2audit状态 #db2audit describe 判定依据: db2audit状态为TRUE则合规,否则不合规. 系统现状： 8、 检查内容：检查是否撤销public的特权 配置要求：从PUBLIC撤销隐式的权限和特权 检查方法：检测步骤: 一、连接数据库 二、使用以下查询语句查询public的隐式的权限和特权 #select bindaddauth from syscat.dbauth where grantee=PUBLIC #select connectauth from syscat.dbauth where grantee=PUBLIC #select implschemaauth from syscat.dbauth where grantee=PUBLIC #select createtabauth from syscat.dbauth where grantee=PUBLIC 判定依据: public没有BINDADD、CONNECT、IMPL、CREATETAB权限则合规,否则不合规. 系统现状： 9、 检查内容：检查是否配置加密的认证模式 配置要求：使用加密的 AUTHENTICATION 模式 检查方法：检测步骤: 一、查询默认数据库管理器配置,确认参数AUTHENTICATION的设置. #db2 get dbm cfg 判定依据: DISCOVER_INST的值为DATA_ENCRYPT则合规,否则不合规 系统现状： 10、 检查内容：检查是否配置用户对当前目录的访问权限 配置要求：限制远程用户等的权限,可访问目录 检查方法：检测步骤: 一、查询默认数据库管理器配置,确认参数catalog_noauth的设置. #db2 get dbm cfg 判定依据: catalog_noauth的值为no则合规,否则不合规 系统现状： 11、 检查内容：检查诊断日志级别设置 配置要求：诊断日志至少包括错误和警告信息 检查方法：一、查询默认数据库管理器配置,确认参数DIAGLEVEL的设置. #db2 get dbm cfg 判定依据: DIAGLEVEL的值大于等于3则合规,否则不合规 系统现状： 12、