1、數(shù)據(jù)庫安全檢查報(bào)告1.1數(shù)據(jù)庫編號(hào)生產(chǎn)廠商/型號(hào)12-5-4物理位置中心機(jī)房所在網(wǎng)絡(luò)檢查日期檢查人責(zé)任人審核人編號(hào)檢查項(xiàng)目檢查內(nèi)容操作方法結(jié)果檢查記錄1通 用 安 全 機(jī) 制操作系統(tǒng)檢查檢查數(shù)據(jù)庫安裝目錄的權(quán)限，確保只有系統(tǒng)管理員才能訪問該目錄對(duì)Windows操作系統(tǒng)而言，采用regedt32檢查HKLMSoftwareSybase 中的權(quán)限鍵值2服務(wù)器信息列舉網(wǎng)絡(luò)上的遠(yuǎn)程服務(wù)器exec sp_helpserver檢查輸岀內(nèi)容：網(wǎng)絡(luò)密碼加密的部份可能如下："net password encryption"=true"net password encryption&

2、quot;=false安全機(jī)制部份可能如下："rpc security model A"是不提供安全機(jī)制"rpc security model B"是提供不同的安全服務(wù)，如互相認(rèn) 證、消息加密、完整性校驗(yàn)等。列舉特定服務(wù)器的信息exec sp_helpdb3登陸配置檢查認(rèn)證模式是否開啟exec sp_loginconfig"loginmode"檢查默認(rèn)登陸exec sp_loginconfig "default account"在集成認(rèn)證模式中，確認(rèn)默認(rèn)登 陸角色不是sa ,設(shè)置為NULL或 者一個(gè)低權(quán)限的用戶。4

3、補(bǔ)丁查看服務(wù)器版本信息select VERSION5數(shù)據(jù)庫配置通用數(shù)據(jù)庫參數(shù)獲得當(dāng)前Server的配置exec sp_configure6檢查輸出 'allow updates tosystem tables'如果是“ on”狀態(tài)，DBA可以通 過存儲(chǔ)過程修改系統(tǒng)表。建議sso將其設(shè)置為“ off ”狀態(tài)。因?yàn)橐呀?jīng)建 立的存儲(chǔ)過程可以被執(zhí)行，建議審計(jì)數(shù)據(jù)庫的存儲(chǔ)過程列表。exec sp_configure"allowupdates to system tables"7檢查 并保證'allowresourcelimit'的值設(shè)為“ 1” exe

4、c sp_configure"allowresource limit"8保證 系統(tǒng)表'syscomments' 已 經(jīng)被保護(hù)該系統(tǒng)表非常重要，但 默認(rèn)情況下被設(shè)置為"1"，確認(rèn) 該值被設(shè)置為"0"。exec sp_configure "select onsyscomments.text"9錯(cuò)誤日志配置檢查是否設(shè)置失敗登陸日志，確認(rèn)該值設(shè)置為"0"exec sp_configure "log auditlogon failure"10檢查是否設(shè)置成功登陸日志，確

5、認(rèn)該數(shù)值設(shè)為"0"exec sp_configure "log auditlogon success"11用 戶 級(jí) 安 全組列舉某數(shù)據(jù)庫的所有組：use DBNameexec sp_helpgroup12列舉某組內(nèi)的用戶：use DBNameexec sp_helpgroup GroupName13角色檢查服務(wù)器角色和用戶定義的 角色：selectname,password,pwdate,statusfromsyssrvroles14檢查每個(gè)角色的詳細(xì)信息：execsp_displayroles"RoleName", expand_

6、up15檢查每個(gè)用戶的詳細(xì)信息：execsp_displayrolesUserName, expand_down16檢查角色中空口令用戶：select name from syssrvroleswhere password = NULL17用戶檢查某數(shù)據(jù)庫的所有用戶：exec sp_helpuser18檢查散列用戶口令：select name, password fromsyslogins19檢查每個(gè)數(shù)據(jù)庫的用戶權(quán)限：use DBNameexec sp_helprotect20口令安全參數(shù)檢查口令過期時(shí)間，建議設(shè)置為14天exec sp_configure "password exp

7、iration interval"'O'-密碼從不過期'n'-天數(shù).21檢查口令是否至少包含一位數(shù)字exec sp_configure"checkpassword for digit"'O'-強(qiáng)制用戶口令中至少包 含一個(gè)數(shù)字22檢查最小密碼長(zhǎng)度，建議為8位以上exec sp_configure"minimumpassword length"23數(shù)據(jù)級(jí)安全權(quán)限檢查關(guān)鍵表、過程、觸發(fā)器的權(quán) 限，檢查賦予public組權(quán)限的 對(duì)象：use DBNameexecsp_helprotectObjectNam

8、e輸出：1. 用戶權(quán)限列表2. 所有對(duì)象的權(quán)限類型3.是否設(shè)置WITH GRANT權(quán)限24存儲(chǔ)過程列岀數(shù)據(jù)庫中所有擴(kuò)展存儲(chǔ)過程：use sybsystemprocsselect name from sysobjectswhere type='XP'25刪除擴(kuò)展存儲(chǔ)過程 xp_cmdshell,并刪除sybsyesp.dllexecsp_dropextendedprocxp_cmdshell如果一定需要使用 xp_cmdshell，則審核其權(quán)限分 配：use sybsystemprocsexecsp_helprotect“xp_cmdshell ”26檢查其它存儲(chǔ)過程女口send

9、mail,freemail,readmail,deletemail,startmail, stopmail，刪除無用的存儲(chǔ)過程，并刪除mail帳號(hào)'sybmail'.27網(wǎng)絡(luò)層安全遠(yuǎn)端服務(wù)器信息檢查遠(yuǎn)端服務(wù)器是否允許訪問use masterexec sp_configure"allowremote access"'1'-允許遠(yuǎn)程訪問'O'-不允許遠(yuǎn)程訪問檢查信任用戶的存在情況exec sp_helpremoteserver28遠(yuǎn)程連接機(jī)制檢查安全機(jī)制和其提供的安全服務(wù)select * from syssecmechsSysse

10、cmech表默認(rèn)并不存在，僅在查詢的時(shí)候創(chuàng)建，它由以下 的列組成：sec_mech_name服務(wù)器 提供的安全機(jī)制名available_service安 全機(jī)制提供的安全服務(wù)舉例，Windows網(wǎng)絡(luò)管理員，其內(nèi)容將為：sec_mech_name = NT LAN MANAGERavailable_service= unifiedlogin29檢查libctl.cfg 文件內(nèi)部包含了網(wǎng)絡(luò)驅(qū)動(dòng)的信息，安全，目錄磁盤和其他初始化信 息。1. 如果LDAP密碼加密。2. 安全機(jī)制："dee" DCE 安全機(jī)制。"csfkrb5"CyberSAFEKerberos 安全機(jī)制。"LIBSMSSP" Windows NT或Windows 95（僅客戶端）上的 Windows網(wǎng)絡(luò)管理員。注意：libtcl.cfg的位置：UNIX 模式：$SYBASE/config/ 桌面模式：SYBASE_hom