数据库安全检查表精编版.docx

1、数据库安全检查表精编版数据库安全检查表【精编版】1.1 数据库编号生产厂商/型号12-5-4物理位置中心机房所在网络检查日期检查人责任人审核人编号检查项目检查内容操作方法结果检查记录1通用安全机制操作系统检查检查数据库安装目录的权限，,确保只有系统管理员才能访问该目录对Windows 操作系统而言，采用regedt32 检查HKLMSoftwareSybase中的权限键值2服务器信息列举网络上的远程服务器exec sp_helpserver检查输出内容：网络密码加密的部份可能如下：net password encryption = truenet password encryption = f

2、alse安全机制部份可能如下：rpc security model A 是不提供安全机制rpc security model B 是提供不同的安全服务，如互相认证、消息加密、完整性校验等。列举特定服务器的信息exec sp_helpdb3登陆配置检查认证模式是否开启exec sp_loginconfig login mode检查默认登陆exec sp_loginconfig default account在集成认证模式中,确认默认登陆角色不是sa ,设置为NULL 或者一个低权限的用户。4补丁查看服务器版本信息select VERSION5数据库配置通用数据库参数获得当前Server 的配置e

3、xec sp_configure6检查输出 allow updates to system tables如果是“on”状态，DBA 可以通过存储过程修改系统表。建议sso 将其设置为“off”状态。因为已经建立的存储过程可以被执行，建议审计数据库的存储过程列表。exec sp_configure allow updates to system tables7检查并保证allow resource limit的值设为“1”exec sp_configure allow resource limit8保证系统表syscomments 已经被保护该系统表非常重要，但默认情况下被设置为1，确认该值被设

4、置为0。exec sp_configure select on syscomments.text9错误日志配置检查是否设置失败登陆日志，确认该值设置为0exec sp_configure log audit logon failure10检查是否设置成功登陆日志，确认该数值设为0exec sp_configure log audit logon success11用户级安全组列举某数据库的所有组:use DBNameexec sp_helpgroup12列举某组内的用户：use DBNameexec sp_helpgroup GroupName13角色检查服务器角色和用户定义的角色：selec

5、t name, password, pwdate, status from syssrvroles14检查每个角色的详细信息：exec sp_displayroles RoleName, expand_up15检查每个用户的详细信息：exec sp_displayroles UserName, expand_down16检查角色中空口令用户：select name from syssrvroles where password = NULL17用户检查某数据库的所有用户：exec sp_helpuser18检查散列用户口令：select name, password from syslogin

6、s19检查每个数据库的用户权限：use DBNameexec sp_helprotect20口令安全参数检查口令过期时间，建议设置为14天exec sp_configure password expiration interval0 密码从不过期n 天数.21检查口令是否至少包含一位数字exec sp_configure check password for digit0 强制用户口令中至少包含一个数字22检查最小密码长度，建议为8位以上exec sp_configure minimum password length23数据级安全权限检查关键表、过程、触发器的权限，检查赋予public组权限

7、的对象：use DBNameexec sp_helprotect ObjectName输出：1. 用户权限列表2. 所有对象的权限类型3. 是否设置WITH GRANT权限24存储过程列出数据库中所有扩展存储过程：use sybsystemprocsselect name from sysobjects where type=XP25删除扩展存储过程xp_cmdshell，并删除sybsyesp.dllexec sp_dropextendedproc xp_cmdshell如果一定需要使用xp_cmdshell，则审核其权限分配：use sybsystemprocsexec sp_helpro

8、tect “xp_cmdshell”26检查其它存储过程如sendmail, freemail, readmail, deletemail, startmail, stopmail，删除无用的存储过程，并删除mail 帐号sybmail. 27网络层安全远端服务器信息检查远端服务器是否允许访问use masterexec sp_configure allow remote access1 - 允许远程访问0 - 不允许远程访问检查信任用户的存在情况exec sp_helpremoteserver28远程连接机制检查安全机制和其提供的安全服务select * from syssecmechsSy

9、ssecmech 表默认并不存在，仅在查询的时候创建，它由以下的列组成：sec_mech_name 服务器提供的安全机制名available_service 安全机制提供的安全服务举例，Windows 网络管理员，其内容将为：sec_mech_name = NT LAN MANAGERavailable_service = unified login29检查libctl.cfg文件内部包含了网络驱动的信息，安全，目录磁盘和其他初始化信息。1. 如果LDAP 密码加密。2. 安全机制：dce DCE 安全机制。csfkrb5 CyberSAFE Kerberos 安全机制。LIBSMSSP Wi

10、ndows NT 或Windows 95(仅客户端)上的Windows网络管理员。注意：libtcl.cfg 的位置：UNIX 模式：$SYBASE/config/桌面模式：SYBASE_homeini30检查统一登陆需要的参数exec sp_configure unified login required如果网络安全被设置为启用，则保证其设置为1。设置为0，将会允许传统的用户密码方式登陆到ASE，这样跟信任连接一样会对网络的安全性造成影响。. 数据库安全检查表【精编版】 数据库编号生产厂商/型号12-5-4物理位置中心机房所在网络检查日期检查人责任人审核人编号检查项目检查内容操作方法结果检查

11、记录1通用安全机制操作系统检查检查数据库安装目录的权限，,确保只有系统管理员才能访问该目录对Windows 操作系统而言，采用regedt32 检查HKLMSoftwareSybase中的权限键值2服务器信息列举网络上的远程服务器exec sp_helpserver检查输出内容：网络密码加密的部份可能如下：net password encryption = truenet password encryption = false安全机制部份可能如下：rpc security model A 是不提供安全机制rpc security model B 是提供不同的安全服务，如互相认证、消息加密、完整

12、性校验等。9错误日志配置检查是否设置失败登陆日志，确认该值设置为0exec sp_configure log audit logon failure10检查是否设置成功登陆日志，确认该数值设为0exec sp_configure log audit logon success11用户级安全组列举某数据库的所有组:use DBNameexec sp_helpgroup12列举某组内的用户：use DBNameexec sp_helpgroup GroupName13角色检查服务器角色和用户定义的角色：select name, password, pwdate, status from syssr

13、vroles14检查每个角色的详细信息：exec sp_displayroles RoleName, expand_up15检查每个用户的详细信息：exec sp_displayroles UserName, expand_down16检查角色中空口令用户：select name from syssrvroles where password = NULL17用户检查某数据库的所有用户：exec sp_helpuser18检查散列用户口令：select name, password from syslogins19检查每个数据库的用户权限：use DBNameexec sp_helprotec

14、t20口令安全参数检查口令过期时间，建议设置为14天exec sp_configure password expiration interval0 密码从不过期n 天数.21检查口令是否至少包含一位数字exec sp_configure check password for digit0 强制用户口令中至少包含一个数字22检查最小密码长度，建议为8位以上exec sp_configure minimum password length23数据级安全权限检查关键表、过程、触发器的权限，检查赋予public组权限的对象：use DBNameexec sp_helprotect ObjectName

15、输出：1. 用户权限列表2. 所有对象的权限类型3. 是否设置WITH GRANT权限24存储过程列出数据库中所有扩展存储过程：use sybsystemprocsselect name from sysobjects where type=XP25删除扩展存储过程xp_cmdshell，并删除sybsyesp.dllexec sp_dropextendedproc xp_cmdshell如果一定需要使用xp_cmdshell，则审核其权限分配：use sybsystemprocsexec sp_helprotect “xp_cmdshell”26检查其它存储过程如sendmail, free

16、mail, readmail, deletemail, startmail, stopmail，删除无用的存储过程，并删除mail 帐号sybmail. 27网络层安全远端服务器信息检查远端服务器是否允许访问use masterexec sp_configure allow remote access1 - 允许远程访问0 - 不允许远程访问检查信任用户的存在情况exec sp_helpremoteserver28远程连接机制检查安全机制和其提供的安全服务select * from syssecmechsSyssecmech 表默认并不存在，仅在查询的时候创建，它由以下的列组成：sec_mec

17、h_name 服务器提供的安全机制名available_service 安全机制提供的安全服务举例，Windows 网络管理员，其内容将为：sec_mech_name = NT LAN MANAGERavailable_service = unified login29检查libctl.cfg文件内部包含了网络驱动的信息，安全，目录磁盘和其他初始化信息。1. 如果LDAP 密码加密。2. 安全机制：dce DCE 安全机制。csfkrb5 CyberSAFE Kerberos 安全机制。LIBSMSSP Windows NT 或Windows 95(仅客户端)上的Windows网络管理员。注意：libtcl.cfg 的位置：UNIX 模式：$SYBASE/config/桌面模式：SYBASE_homeini30检查统一登陆需要的参数exec sp_configure unified login required如果网络安全被设置为启用，则保证其设置为1。设置为0，将会允许传统的用户密码方式登陆到ASE，这样跟信任连接一样会对网络的安全性造成影响。.