0x01 賬號口令

1 使用者賬號

應按照使用者分配賬號。避免不同使用者間共享賬號。避免使用者賬號和裝置間通訊使用的賬號共享。

操作：
為使用者建立賬號：
#useradd username #建立賬號
#passwd username #設定密碼
修改許可權：
#chmod 750 directory #其中 755 為設定的許可權，可根據實際情況設定相應的
許可權，directory 是要更改許可權的目錄)
使用該命令為不同的使用者分配不同的賬號，設定不同的口令及許可權資訊等。
補充說明：
username 為賬號名稱，可根據不同使用者，取不同的名稱；
判定：不同使用者具有不同的賬號，且與其他使用者、裝置沒有賬號共享情況。
檢測：通過 root 賬號登入系統後檢視/etc/passwd、/etc/group 檔案並詢問管理員，確認是否按照使用者分配賬號；驗證分配的使用者是否正常使用，使用分配賬號登入，驗證是否能成功登入和正常操作。

2  鎖定/刪除無關賬號

應刪除與資料庫執行、維護等工作無關的賬號，刪除過期賬號。

配置：
Informix 資料庫使用者為作業系統賬號，因此刪除或鎖定與資料庫執行、維護工作無關賬號的過程也就是刪除或鎖定系統使用者的過程，以下以 AIX 和SOLARIS 為例子說明：
AIX：
檢視/etc/passwd、/etc/group 中 informix 組賬號和成員賬號
以 root 許可權執行下面的命令;
刪除使用者：#rmuser username;
禁用賬號：
chuser account_locked=true user1 鎖定 user1 使用者
SOLARIS:
刪除使用者：#userdel username;

鎖定使用者：
1)修改/etc/shadow 檔案，使用者名稱後加*LK*
2)將/etc/passwd 檔案中的 shell 域設定成/bin/false
3)#passwd -l username
只有具備超級使用者許可權的使用者方可使用，#passwd -l username 鎖定使用者,用#passwd –d username 解鎖後原有密碼失效，登入需輸入新密碼，修改/etc/shadow 能保留原有密碼
2 、補充 說明
AIX 需要鎖定的使用者：
deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd
SOLARIS 需要鎖定的使用者：
listen、gdm、webservd、nobody、nobody4、noaccess

判定：無關賬號被鎖定，或不存在。
檢測：登入作業系統，檢視 passwd 等賬號口令檔案。
補充說明：首先鎖定不需要的使用者，在經過一段時間後，確認該使用者對業務確無影響的情況下，可以刪除

3  口令複雜度

對於採用靜態口令進行認證的資料庫，口令長度至少 8 位，幷包括數字、小寫字母、大寫字母和特殊符號 4 類中至少 3 類。

配置：Informix 資料庫使用者為作業系統賬號，因此對於 Informix 資料庫使用者靜態口令採用的強度要求也就是對作業系統賬號靜態口令強度要求，以下以 AIX 和SOLARIS 為例子說明：
AIX：
編輯/etc/security/user,設定如下：
minlen=8 口令最短為 8 個字元
minalpha=3 口令中最少包含 3 個字母字元
minother=1 口令中最少包含一個非字母數字字元
SOLARIS:
vi /etc/default/passwd ，修改設定如下
PASSLENGTH = 6 #設定最小使用者密碼長度為 6 位
MINALPHA=2；MINNONALPHA=1 #表示至少包括兩個字母和一個非字母；
具體設定可以參看補充說明。
當用 root 帳戶給使用者設定口令的時候不受任何限制，只要不超長。
Solaris10 預設如下各行都被註釋掉，並且數值設定和解釋如下：
MINDIFF=3 # Minimum differences required between an old and a new
password.
MINALPHA=2 # Minimum number of alpha character required.
MINNONALPHA=1 # Minimum number of non-alpha (including
numeric and special) required.
MINUPPER=0 # Minimum number of upper case letters required.
MINLOWER=0 # Minimum number of lower case letters required.
MAXREPEATS=0 # Maximum number of allowable consecutive
repeating characters.
MINSPECIAL=0 # Minimum number of special (non-alpha and
non-digit) characters required.
MINDIGIT=0 # Minimum number of digits required.
WHITESPACE=YES
Solaris8 預設沒有這部分的數值設定需要手工新增；NIS 系統無法生效，非 NIS 系統或 NIS+系統能夠生效。

判定：修改密碼為不符合要求的密碼，將失敗
檢測：檢視系統配置檔案，進行檢查。
AIX:
檢查/etc/security/user 是否設定如下引數
minlen=8 口令最短為 8 個字元
minalpha=3 口令中最少包含 3 個字母字元
minother=1 口令中最少包含一個非字母數字字元
SOLARIS:
檢查/etc/default/passwd 是否設定如下引數:
PASSLENGTH = 8 #設定最小使用者密碼長度為 8 位
MINALPHA=2；MINNONALPHA=1 #表示至少包括兩個字母和一個非字母；
具體設定可以參看補充說明。

4  口令生存期

對於採用靜態口令認證技術的資料庫，賬戶口令的生存期不長於 90 天。
配置：Informix 資料庫使用者為作業系統賬號，因此對於 Informix 資料庫使用者口令生存期要求也就是對作業系統賬號口令生存期要求，以下以 AIX 和 SOLARIS 為例子說明：
AIX:

對於 AIX 系統,編輯/etc/security/user,設定如下：
maxage=12 口令最長有效期為 12 周
SOLARIS:
vi /etc/default/passwd 檔案：
MAXWEEKS=13 密碼的最大生存週期為 13 周；（Solaris 8&10）
PWMAX= 90 #密碼的最大生存週期；（Solaris 其它版本）
2 、補充說明
對於 Solaris 8 以前的版本，PWMIN 對應 MINWEEKS,PWMAX 對應MAXWEEKS 等，需根據/etc/default/passwd 檔案說明確定。NIS 系統無法生效，非 NIS 系統或 NIS+系統能夠生效。

判定：到期不修改密碼，密碼將會失效。連線資料庫將不會成功
檢測：使用超過 90 天的帳戶口令登入；

5  口令歷史

對於採用靜態口令認證技術的資料庫，應配置資料庫，使使用者不能重複使用最近 5 次（含 5 次）內已使用的口令。

配置：Informix 資料庫使用者為作業系統賬號，因此對於 Informix 資料庫使用者口令設定要求也就是對作業系統賬號口令設定要求，以下以 AIX 和 SOLARIS 為例子說明：
AIX：
編輯/etc/security/user,設定如下：
histsize=5 同一口令與前 5 個口令不能重複
SOLARIS:
vi /etc/default/passwd ，修改設定如下
HISTORY＝5 同一口令與前 5 個口令不能重複
2 2 、 補充說明
當前使用的密碼，必需在密碼修改５次後才能再次被使用
判定：重用修改５次內的密碼，將不能成功
檢測：如果在５次修改密碼能被使用，該操作將不能成功

0x02 認證授權

1  配置賬戶最小授權

在資料庫許可權配置能力內，根據使用者的業務需要，配置其所需的最小許可權。
配置：以 DBA 使用者執行 dbaccess 命令，查詢 syscolauth、 systabauth 、sysusers 表，檢查使用者是否只配置了業務所需的最小許可權。建議使用資料庫角色進行資料庫許可權限制：
A 建立角色
Create Role role_name1 其中 role_name1 表示角色名。
B  劃分使用者角色
將相關使用者加入到角色中使之成為角色的成員。
Grant role_name1 to { User-List Role_List }
其中 Role_List 表示角色列表，因為一個角色可以是另外一個或一組角色的成員。
C 授權角色許可權
同授權使用者許可權的方法相同，但只能對錶級和欄位級許可權有效，不能授予資料庫級許可權給一個角色。
D 啟用角色
執行以下語句，使以上定義的角色成為可用狀態：
Set Role role_name1
2 、補充 說明
檢視資料庫特權命令：Select * from sysusers;
查看錶級別特權命令：
select systables.tabname, systabauth.*from systables, systabauth
where systables.tabid = systabauth.tabid and systables.tabid > 99
order by tabname;  ;
systabauth 表包含四列：
– grantor-授予這個特權的使用者
– grantee-獲得這個特權的使用者
– tabid-這個表在系統表中的編號
– tabauth -特權列
sysuser 表內容說明：
– username，連線資料庫的使用者的登入名
– usertype，指使用者的資料庫許可權型別
– priority ，指定級別
syscolauth 內容說明表：
– grantor-授予這個特權的使用者
– grantee-獲得這個特權的使用者
– tabid-這個表在系統表中的編號
– colno-列編號
– column-列描述
– colauth-列授權
授予和撤消表特權的語法如下：
grant [ all | [ select | insert | update | delete | index | alter | reference ]
on [ TABLE | VIEW | SYNONYM ] to [USERS ]
[ with grant option ][ as GRANTOR ];
revoke [ all | [ select | insert | update | delete | index | alter| reference ]
on [ TABLE | VIEW | SYNONYM ] from [USERS ];
Informix 資料庫級別許可權：DBA、Resource 和 Connect。Connect 特權允許使用者訪問資料庫以及新增、修改和刪除資料。Resource 特權授予使用者所有Connect 特權，還授予建立新的表、索引和過程的特權。DBA 特權包括Connect 和 Resource 特權，還授予使用者把 Resource、Connect 或 DBA 特權授予其他使用者的權力。

    具有 DBA 特權的使用者還可以刪除資料庫中的所有物件或完全刪除資料庫。 普通使用者授權 Connect 許可權即可，對於要建立新物件的程式設計師或開發人員可能需要Resource 特權。例子：
Revoke all from username; 收回使用者的所有許可權
grant select to username; 給使用者賦查詢的許可權
revoke select from username; 收回使用者查詢的許可權
判定：檢視 syscolauth、 systabauth 、sysusers 表中許可權設定是否僅授予使用者必要的最小許可權
檢測：檢視 syscolauth、 systabauth 、sysusers 表中許可權設定

2  賬戶鎖定策略

0x03 日誌審計

1  配置日誌功能

    預設的使用者掩碼(_default masks)。預設的使用者掩碼會被用在任何沒有單獨設定掩碼的使用者上。

   必須的使用者掩碼(_require masks)。必須的使用者掩碼會忽略單獨使用者掩碼和預設使用者掩碼中的內容。任何在_require 使用者掩碼中設定的事件都會被審計，而不管使用者的單獨掩碼中是否設定了這些事件。

     排它使用者掩碼（_exclusive masks)。排它使用者掩碼同樣會覆蓋單獨的使用者掩碼和預設使用者掩碼。其中包含的事件不會被審計，即使這些事件存在於單獨的使用者掩碼和預設使用者掩碼中。這些事件不會覆蓋_require 掩碼中的事件。
建立 user 掩碼：
onaudit -a -u username -e +CRDB,DRDB #審計特定使用者建立和刪除資料庫事件
建立_require 掩碼：
onaudit -a -u _require –e +OPDB,GRDB………………… #強制審計
     開啟資料庫、授權資料庫等操作，建議 inofrmix 配置必要的審計掩碼支援記錄使用者對裝置的操作，包括但不限於以下內容：賬號建立、刪除和許可權修改，口令修改，讀取和修改裝置配置，讀取和修改業務使用者的話費資料、身份資料、涉及通訊隱私資料等。
2 、補充說明
AUDIT 會有相應資源開消，請檢查系統資源是否充足。特別是 RAC 環境，資源消耗較大。
判定：對審計的物件進行一次資料庫操作，相應的操作應被記錄。
檢測：
1. 檢查$INFORMIXDIR/aaodir/adtcfg 檔案中的引數設定。
2. 檢查日誌檔案內容
3. 使用 onaudit 工具檢查審計 umask 掩碼設定

2  日誌檔案安全

0x04 其他

1  限制拒絕服務攻擊

2  禁止共享記憶體轉儲

歡迎大家分享更好的思路，熱切期待^^_^^ !