電子發(fā)燒友App
1.操作系統(tǒng)特殊配置
1.1配置安全SSH協(xié)議
| 配置項(xiàng)名稱(chēng) | 配置安全SSH協(xié)議 |
| 檢查方法 | grep -P '^[^#]*Protocols*' /etc/ssh/sshd_config |
| 操作步驟 |
以root身份在/etc/ssh/sshd_config文件中配置參數(shù)Protocol,設(shè)置之后需要重啟SSH服務(wù)生效。 su - root vim /etc/ssh/sshd_config service sshd restart #重啟SSH服務(wù) |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
1.2??配置安全 SSH 服務(wù)允許組
| 配置項(xiàng)名稱(chēng) | 配置安全SSH服務(wù)允許組 |
| 檢查方法 | grep -P '^[^#]*AllowGroupss*' /etc/ssh/sshd_config |
| 操作步驟 |
以root身份在/etc/ssh/sshd_config文件中配置參數(shù)AllowGroups,設(shè)置完成之后需要重啟SSH服務(wù)生效。 su - root vim /etc/ssh/sshd_config service sshd restart #重啟SSH服務(wù) |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
1.3配置安全SSH協(xié)議服務(wù)root 用戶允許登錄方式
| 配置項(xiàng)名稱(chēng) | 配置安全SSH協(xié)議服務(wù)root?用戶允許登錄方式 |
| 檢查方法 | grep -P '^[^#]*Protocols*' /etc/ssh/sshd_config |
| 操作步驟 |
以root身份在/etc/ssh/sshd_config文件中配置參數(shù)PermitRootLogin,設(shè)置完成之后需要重啟SSH服務(wù)。 su - root vim /etc/ssh/sshd_config service sshd restart #重啟SSH服務(wù) |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
1.4配置安全SSH協(xié)議服務(wù)監(jiān)聽(tīng)I(yíng)P地址
| 配置項(xiàng)名稱(chēng) | 配置安全SSH協(xié)議服務(wù)監(jiān)聽(tīng)I(yíng)P地址 |
| 檢查方法 | grep -P '^[^#]*PermitRootLogins*' /etc/ssh/sshd_config |
| 操作步驟 |
以root身份在/etc/ssh/sshd_config文件中配置參數(shù)PermitRootLogin,設(shè)置完成之后需要重啟SSH服務(wù)。 su - root vim /etc/ssh/sshd_config service sshd restart #重啟SSH服務(wù) |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
1.5配置安全SSH協(xié)議服務(wù)密碼認(rèn)證方式
| 配置項(xiàng)名稱(chēng) | 配置安全SSH協(xié)議服務(wù)密碼認(rèn)證方式 |
| 檢查方法 | grep -P '^[^#]*PasswordAuthentications*' /etc/ssh/sshd_config |
| 操作步驟 |
以root身份在/etc/ssh/sshd_config文件中配置參數(shù)PasswordAuthentication,設(shè)置之后需要重啟SSH服務(wù)生效。 su - root vim /etc/ssh/sshd_config service sshd restart #重啟SSH服務(wù) |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
1.6配置安全SSH服務(wù)互信IP訪問(wèn)權(quán)限
| 配置項(xiàng)名稱(chēng) | 配置安全SSH服務(wù)互信IP訪問(wèn)權(quán)限 |
| 檢查方法 | cat ~/.ssh/authorized_keys |
| 操作步驟 |
以用戶賬戶身份在~/.ssh/authorized_keys文件中配置from字段。 vim ~/.ssh/authorized_keys? 配置內(nèi)容見(jiàn)如下示例(在建立互信后檢查該文件中,是否配置有from字段,如沒(méi)有,請(qǐng)?zhí)砑有枰褂没バ诺闹鳈C(jī)IP和主機(jī)名稱(chēng)): from="10.180.40.100,10.180.40.101,10.180.40.102,plat1,plat2,plat3"ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArMU/cd5QDIkA/ trmLpfj1W1zBk2pW8zyDjMEvc7JiAdtOlsOIFyRpdmdMv39WuQfZ6G/ +zbAc9JJwYLP8/3aYgkNSJ10+c4VcyQJ8jBsLJyKLW/Pt2t3IlY+zG35UUyhyDo9P8Bt/uZ0d1XbgRrWuVrO8idWIFncallJYrmaTvd5b7CULKMSrFI+CMys9FLYOk5lGHVdQSQUE0uNor/k63plsyyL7+fVqG2ZDRbB77nVC+ah5PMfogBym24g1ouiuxQPIihOTt2dDPeqnnWpC0/WzhB/PjIoeHCK +HbGFg92eWdi7CJexb7H6OiG/Ylvej2ED4yc8WqEnCSZmWQDow==xijie_trunk@plat1 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
1.7修改數(shù)據(jù)庫(kù)安裝的omm密碼
| 配置項(xiàng)名稱(chēng) | 修改數(shù)據(jù)庫(kù)安裝的omm密碼 |
| 檢查方法 | 使用默認(rèn)密碼登錄時(shí)登錄失敗,使用新設(shè)置密碼時(shí)登錄成功 |
| 操作步驟 | 以root身份修改數(shù)據(jù)庫(kù)安裝用戶omm密碼。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
2.數(shù)據(jù)庫(kù)文件限制
2.1限制home、data目錄權(quán)限
| 配置項(xiàng)名稱(chēng) | 限制home、data目錄權(quán)限 |
| 檢查方法 |
find ${GAUSSHOME} -prune( ! -user ${GAUSSUSER} -o ! -group${GAUSSGROUP} -o -perm/ g=rwx,o=rwx ) find${GAUSSDATA}?-prune?(?!?-user${GAUSSUSER}?-o?!?-group?${GAUSSGROUP}?-o?-perm?/ g=rwx,o=rwx?) |
| 操作步驟 |
chmod0700 ${GAUSSHOME} chmod 0700 ${GAUSSDATA} 環(huán)境變量{GAUSSUSER}和{GAUSSGROUP}需要配置為集群的安裝用戶和用戶組 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
2.1限制postgresql.conf、pg_hba.conf文件權(quán)限
| 配置項(xiàng)名稱(chēng) | 限制postgresql.conf、pg_hba.conf文件權(quán)限 |
| 檢查方法 |
find ${GAUSSDATA}/postgresql.conf ( ! -user ${GAUSSUSER} -o ! -group ${GAUSSGROUP} -o -perm / u=x,g=rwx,o=rwx ) find ${GAUSSDATA}/pg_hba.conf ( ! -user ${GAUSSUSER} -o ! -group${GAUSSGROUP} -o -perm / u=x,g=rwx,o=rwx ) |
| 操作步驟 |
chmod 0600 {GAUSSDATA}/postgresql.conf chmod0600 {GAUSSDATA}/pg_hba.conf? 其中GAUSSDATA為CN以及DN的data目錄。環(huán)境變量{GAUSSUSER}和{GAUSSGROUP}需要配置為集群的安裝用戶和用戶組 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
3.連接設(shè)置
3.1監(jiān)聽(tīng)地址不允許包括*或 0.0.0.0
| 配置項(xiàng)名稱(chēng) | ?監(jiān)聽(tīng)地址不允許包括*或 0.0.0.0 |
| 檢查方法 | SELECT name,setting FROM pg_settings WHERE name = 'listen_addresses'AND (setting = '*' OR setting = '0.0.0.0'); |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)listen_addresses為“l(fā)ocalhost”,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
3.2端口使用非默認(rèn)端口
| 配置項(xiàng)名稱(chēng) | 端口使用非默認(rèn)端口 |
| 檢查方法 | SELECT name,setting FROM pg_settings WHERE name = 'port' AND setting = '25308'; |
| 操作步驟 |
在postgresql.conf配置文件中修改服務(wù)器監(jiān)聽(tīng)端口參數(shù)port為非25308的值,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
3.3配置數(shù)據(jù)庫(kù)最大并發(fā)連接數(shù)
| 配置項(xiàng)名稱(chēng) | 配置數(shù)據(jù)庫(kù)最大并發(fā)連接數(shù) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'max_connections';? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)max_connections為800,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
3.4配置系統(tǒng)管理員使用的連接數(shù)
| 配置項(xiàng)名稱(chēng) | 配置系統(tǒng)管理員使用的連接數(shù) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='sysadmin_reserved_connections';??? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)sysadmin_reserved_connections為3,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
4.安全認(rèn)證設(shè)置
4.1配置客戶端認(rèn)證超時(shí)時(shí)間
| 配置項(xiàng)名稱(chēng) | 配置客戶端認(rèn)證超時(shí)時(shí)間 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'authentication_timeout';?? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)authentication_timeout為1min,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
4.2配置SSL協(xié)議
| 配置項(xiàng)名稱(chēng) | 配置SSL協(xié)議 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='ssl'; |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)ssl為on,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
4.3配置SSL協(xié)議加密算法
| 配置項(xiàng)名稱(chēng) | 配置SSL協(xié)議加密算法 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='ssl_ciphers';?? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)ssl_ciphers為ALL,然后重啟數(shù)據(jù)庫(kù),配置參數(shù)ssl_ciphers為ALL,GaussDB A默認(rèn)會(huì)選擇AES256-SHA。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
5.用戶身份鑒別配置和訪問(wèn)控制
5.1配置密碼復(fù)雜度檢查
| 配置項(xiàng)名稱(chēng) | 配置密碼復(fù)雜度檢查 |
| 檢查方法 | SELECT name,setting FROM pg_settings WHERE name='password_policy'and setting !=1; |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "password_policy=1" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
5.2配置密碼存儲(chǔ)加密方式
| 配置項(xiàng)名稱(chēng) | 配置密碼存儲(chǔ)加密方式 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='password_encryption_type' and setting!=1; |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "password_encryption_type=1" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
5.3配置密碼不可重用天數(shù)
| 配置項(xiàng)名稱(chēng) | 配置密碼不可重用天數(shù) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='password_reuse_time';???? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "password_reuse_time=60" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
5.4配置登錄失敗嘗試次數(shù)
| 配置項(xiàng)名稱(chēng) | 配置登錄失敗嘗試次數(shù) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='failed_login_attempts';?? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "failed_login_attempts=10" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
5.5配置賬戶鎖定后自動(dòng)解鎖時(shí)間
| 配置項(xiàng)名稱(chēng) | 配置賬戶鎖定后自動(dòng)解鎖時(shí)間 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='password_lock_time';??? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "password_lock_time=1" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
6.權(quán)限控制
6.1回收 PUBLIC 角色擁有的CREATE 權(quán)限
| 配置項(xiàng)名稱(chēng) | 回收 PUBLIC角色擁有的CREATE權(quán)限 |
| 檢查方法 | SELECT CAST(has_schema_privilege('public','public','CREATE') ASTEXT); |
| 操作步驟 | REVOKE CREATE ON SCHEMA PUBLIC FROM public; |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
6.2所有對(duì)象權(quán)限不允許授予public
| 配置項(xiàng)名稱(chēng) | 配所有對(duì)象權(quán)限不允許授予public |
| 檢查方法 | SELECT relname,relacl FROM pg_class WHERE CAST(relacl AS TEXT) LIKE '%,=%}' OR CAST(relacl AS TEXT) LIKE '{=%}'; |
| 操作步驟 |
REVOKE ALL ON |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
6.3開(kāi)啟三權(quán)分離配置
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟三權(quán)分離配置 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'enableSeparationOfDuty' andsetting!='on';? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)enableSeparationOfDuty為on,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.數(shù)據(jù)庫(kù)審計(jì)
7.1開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟數(shù)據(jù)庫(kù)審計(jì) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_enabled' andsetting!='on';?? ??? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)audit_enabled為on,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.2開(kāi)啟登錄注銷(xiāo)審計(jì)
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟登錄注銷(xiāo)審計(jì) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_login_logout';??? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "audit_login_logout =7" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.3開(kāi)啟數(shù)據(jù)庫(kù)啟動(dòng)、停止、恢復(fù)和切換審計(jì)
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟數(shù)據(jù)庫(kù)啟動(dòng)、停止、恢復(fù)和切換審計(jì) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_database_process';? ? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "audit_database_process =1" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.4開(kāi)啟數(shù)據(jù)庫(kù)鎖定和解鎖審計(jì)
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟數(shù)據(jù)庫(kù)鎖定和解鎖審計(jì) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_user_locked';? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "audit_user_locked =1" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.5開(kāi)啟權(quán)限授予和回收審計(jì)
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟權(quán)限授予和回收審計(jì) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_grant_revoke';???????? ? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "audit_grant_revoke =1" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.6對(duì)數(shù)據(jù)庫(kù)對(duì)象的增加、刪除、修改進(jìn)行審計(jì)
| 配置項(xiàng)名稱(chēng) | 對(duì)數(shù)據(jù)庫(kù)對(duì)象的增加、刪除、修改進(jìn)行審計(jì) |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_system_object';? ? |
| 操作步驟 | gs_guc reload-Z coordinator -D ${BIGDATA_DATA_HOME}/mppdb/data1/coordinator -c "audit_system_object =7" |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.7配置日志審計(jì)文件最小保存時(shí)間
| 配置項(xiàng)名稱(chēng) | 配置日志審計(jì)文件最小保存時(shí)間 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name = 'audit_file_remain_time'; |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)audit_file_remain_time為180天,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.8開(kāi)啟日志收集器
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟日志收集器 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='logging_collector' AND setting !='on';? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)logging_collector為on,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.9配置日志路徑
| 配置項(xiàng)名稱(chēng) | 配置日志路徑 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='log_directory';?? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)log_directory為pg_log,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.10開(kāi)啟用戶登錄時(shí)日志記錄功能
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟用戶登錄時(shí)日志記錄功能 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='log_connections' AND setting!='on';???? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)log_connections為on,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
7.11開(kāi)啟用戶注銷(xiāo)時(shí)日志記錄功能
| 配置項(xiàng)名稱(chēng) | 開(kāi)啟用戶注銷(xiāo)時(shí)日志記錄功能 |
| 檢查方法 | SELECTname,setting FROM pg_settings WHERE name='log_disconnections' AND setting!='on';??? |
| 操作步驟 |
在postgresql.conf配置文件中修改參數(shù)log_disconnections為on,然后重啟數(shù)據(jù)庫(kù)。 vim ${GAUSSDATA}/postgresql.conf pgs_?om-t?stop pgs_?om-t?start 其中GAUSSDATA為CN的data目錄。 |
| 操作風(fēng)險(xiǎn)等級(jí) | 中 |
編輯:黃飛
?
工商網(wǎng)監(jiān)
評(píng)論