等保測評整改過程遇到的問題及解決方案
1.達夢資料庫服務啟動不起來
解決:啟動服務之前先停止服務 systemctl stop DmServiceDMSRVER.service 然後再
systemctl start DmServiceDMSRVER.service
注意:啟停的指令不要混用,要統一。
另一種指令:
資料庫服務的啟動和停止:
啟動資料庫服務:
cd /home/dmdba/dmdbms/bin
./DmServiceDMSERVER start
關閉資料庫服務:
./DmServiceDMSERVER stop
檢視資料庫服務程序:
ps -ef|grep dmserver
2.登入DM管理工具報錯:“初始化SSL環境失敗”
解決:資料庫執行:SP_SET_PARA_STRING_VALUE(2,'COMM_ENCRYPT_NAME','DES_CFB'); sp_set_para_value(2,'ENABLE_ENCRYPT',0);重啟資料庫服務即可開啟通訊加密
因為之前為了開啟SSL連線,將ENABLE_ENCRYPT屬性設定為1了,需要關閉,所以改回來連線就好了,如果需要設定為1估計還需要做別的操作。
3.達夢資料庫管理員SYSDBA IP訪問許可權被限制了,如何更改?
解決:登入資料庫伺服器進行修改,
- su - dmdba
- cd /home/dmdba/dmdbms/bin/
- 執行 ./disql SYSDBA/'"密碼"'@localhost:5236 進入輸入SQL的介面
- 取消黑白名單:
alter user "SYSDBA" allow_ip null not_allow_ip null;
- commit;
- 查詢:
SELECT DBA_USERS.USERNAME, SYSUSERS.ALLOW_ADDR, SYSUSERS.NOT_ALLOW_ADDR
FROM SYSUSERS,DBA_USERS WHERE SYSUSERS.ID=DBA_USERS.USER_ID AND DBA_USERS.ACCOUNT_STATUS='OPEN';
4.達夢資料庫SSL加密通訊如何測試?
參考:https://eco.dameng.com/community/article/34eaf01bfe463c12f6fc0a8734b26942
解決:根據上面提供的網址,需要用到抓包工具去測試,但是現場沒這個條件,所以只能想辦法找到另一個遠端工具去訪問資料庫推送資料
1.先開啟資料庫伺服器,執行命令為:tcpdump -i lo port 5236 -XX -vvv
2.遠端工具中輸入 select ‘ABCDFE’;(引號內隨便輸),然後執行,看看伺服器那邊是否有推送加密的字元
5.沒有configure檔案時如何編譯安裝軟體包?
在安裝一些依賴包的時候有時候會發現沒有configure這個檔案,不知道如何去安裝。
解決:使用autoconf與automake命令生成configure檔案。
1.yum install -y automake
2.aclocal
3.yum install -y autoconf
4.autoconf
參考:https://www.jianshu.com/p/b97db7c9c915
6.Linunx離線安裝防毒軟體ClamAV
教程:https://blog.csdn.net/qq_43080265/article/details/116491495
https://zhuanlan.zhihu.com/p/266731354
安裝過程中會遇到的一些問題及解決方案:
-
類似“OpenSSL library not found”報錯問題
https://blog.csdn.net/qq_37960324/article/details/93589049
-
“configure: error: cannot find install-sh, install.sh, or shtool in "." "./.." "./../.."”
參考:https://www.cnblogs.com/Rainingday/p/12616235.html
-
Libcurl缺失
參考:https://blog.csdn.net/isunLt/article/details/114553159
https://blog.csdn.net/u010832551/article/details/79022372
-
掃描病毒時clamscan指令找不到
解決: yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
(clamav-server 、clamav-data 應該跟這個指令有關係,如果一次性執行還是提示找不到指令,這兩個分開install)
7.等保測評常見問題和整改建議
https://www.modb.pro/db/111050
https://blog.csdn.net/weixin_43029005/article/details/123126285
8.等保測評-達夢資料庫查詢sql
1、口令複雜度策略及口令有效期:select DBA_USERS.USERNAME, SYSUSERS.PWD_POLICY,SYSUSERS.LIFE_TIME from SYSUSERS,DBA_USERS where SYSUSERS.ID=DBA_USERS.USER_ID and DBA_USERS.ACCOUNT_STATUS='OPEN';
(PWD_POLICY=31、LIFE_TIME=90天)
2、登入失敗策略:select DBA_USERS.USERNAME ,SYSUSERS.FAILED_NUM,SYSUSERS. LOCK_TIME from SYSUSERS,DBA_USERS where SYSUSERS.ID=DBA_USERS.USER_ID and ACCOUNT_STATUS='OPEN';
(FAILED_NUM=5(一般建議不大於10次),鎖定時間LOCK_TIME=3(一般建議不小於3分鐘))
3、空閒會話超時策略:select DBA_USERS.USERNAME ,SYSUSERS.CONN_IDLE_TIME from SYSUSERS,DBA_USERS where SYSUSERS.ID=DBA_USERS.USER_ID and ACCOUNT_STATUS='OPEN';
(CONN_IDLE_TIME=5(一般建議不大於30分鐘))
4、遠端連線是否加密:SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_ENCRYPT' OR NAME='COMM_ENCRYPT_NAME';
(取值 0、1 和 2 分別代表不加密、SSL加密、SSL 認證)
5、是否開啟日誌審計策略:SELECT * FROM V$DM_INI WHERE PARA_NAME='ENABLE_AUDIT';
(PARA_NAME=0及SESS_VALUE=0表示未開啟審計開關)
6、是否開啟日誌審計規則:SELECT * FROM SYSAUDITOR.SYSAUDIT;
(檢視資料庫是否配置語句級或物件級的審計規則(一條查詢結果代表一個審計規則,LEVEL=1表示語句級審計規則,LEVEL=2表示物件級審計規則))
7、是否對遠端管理的網路地址進行限制:select DBA_USERS.USERNAME, SYSUSERS.ALLOW_ADDR from SYSUSERS,DBA_USERS where SYSUSERS.ID=DBA_USERS.USER_ID and DBA_USERS.ACCOUNT_STATUS='OPEN';
8、剩餘資訊保護:SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_OBJ_REUSE';
(FILE_VALUE=1表示啟用,FILE_VALUE=0表示不啟用)
(有些的不對的地方歡迎指正)