Ubuntu系统上Informix数据库安全设置策略
/etc/pam.d/common-password文件,追加password requisite pam_cracklib.so retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10(minlen=10表示口令长度至少10位)。/etc/login.defs文件,将PASS_MIN_LEN参数设置为8,确保口令长度符合要求。/etc/pam.d/system-auth或/etc/pam.d/password-auth文件中配置pam_tally2.so模块,设置deny=6(连续失败6次锁定)、unlock_time=300(锁定5分钟),防止暴力破解。pam_unix.so模块限制用户重复使用最近5次口令,编辑/etc/pam.d/system-auth文件,添加remember=5参数。/etc/login.defs文件,将PASS_MAX_DAYS设置为90,使用chage命令为用户设置口令过期时间,强制定期更换口令。ufw工具限制Informix默认端口(如9088/tcp)的访问,仅允许可信IP地址连接,命令示例:sudo ufw allow from <trusted_ip> to any port 9088/tcp。/etc/ssh/sshd_config,设置PermitRootLogin no)、使用密钥对替代密码登录(PubkeyAuthentication yes)、更改默认SSH端口(Port 2222),并通过AllowUsers限制允许访问的用户。$INFORMIXDIR(数据库安装目录)设置为informix:informix,权限为750;数据库数据目录设置为640,防止未经授权的访问。Logwatch或Nagios审查系统日志,及时发现异常登录、查询等行为。CREATE USER命令创建用户并设置强密码,避免使用默认账户(如informix)进行日常操作;定期使用REVOKE命令回收闲置用户的权限。CREATE ROLE read_only),将权限(如SELECT)授予角色(GRANT SELECT ON table_name TO read_only),再将角色分配给用户(GRANT read_only TO user1),简化权限管理。SELECT权限,开发人员仅需CONNECT和RESOURCE权限,避免过度授权。SHOW GRANTS FOR user1命令检查用户权限,确保权限分配符合业务需求。sqlhosts文件,设置SSL参数(如ssl、sslCAFile、sslCertFile),防止中间人攻击窃取敏感数据。$INFORMIXDIR/aaodir/adtcfg文件,设置ADTMODE=7(记录所有数据库操作,包括登录、查询、更新、删除),启用审计日志;定期检查审计日志,追踪异常操作。onstat)或第三方工具(如IBM Guardium)实时监控数据库性能和安全事件,及时发现异常访问或攻击行为。ontape或onbar工具定期备份数据库,将备份文件存储在安全的异地位置;定期进行恢复测试,确保备份数据的可用性。
