2015年1月19日通过 杰克·范瓦斯(Jack Vamvas)
此DB2安全策略样本是应用的基础 DB2 security good practise and regular audits. A DB2 environment is characterised by various developers(internal), administrators (internal) and third party access (external). The DB2安全性 policy should reflect these different requirements.
DB2安全策略 是实施安全性的基础。应进行定期审核,将环境与安全策略进行比较。可以解决任何差异。阅读更多 DB2安全性 audit
The DB2安全性 is broken 在 to separate 类别。并非所有政策都与每个组织相关。作为DBA,可能无法实现所有这些策略。例如,查看所有3 rd DDL和DML可能是一个耗时的过程。
Linux servers:
• Access to the Linux DB2 UDB 在 stance account is controlled by the 数据库管理员and granted as a service request when required.
• Linux DB2 UDB servers must have an alias id, which 具有the same UID as DB2 UDB 在 stance ID.
•数据库管理员 has 密码的所有权 on the DB2 UDB 在 stance ID.
• Access to DB2 UDB 在 stance account is by exception only when you cannot use the alias ID. Access is granted to the owner by the 数据库管理员as a service request when required
•对拥有对象(模式所有者;例如表,视图)的DB2 UDB帐户的访问权在实施时被删除。 DBA has 密码的所有权
•DBA完成了初始设置请求和“ sysadm”组的填充
•数据库管理员完成了初始设置请求和“ sysmaint”组的填充。
•数据库管理员完成了初始设置请求和“ sysctrl”组的填充。不使用该组。该群体的人口是例外。
• Addition or deletion of new users to the “sysadm”, “sysmaint”, and “sysctrl” groups is done through 数据库管理员using a change ticket .
•所有Linux UDB服务器都有一个为备份访问定义的ID dbbackup,它是“ sysmaint”组的成员。密码由DBA维护。
•所有Linux UDB服务器都有一个ID dbaread,该ID定义用于UDB和Linux文件的只读访问。
对于Windows服务器:
•Windows用户db2admin是在DB2 UDB软件安装期间创建的,并且是DB2ADMNS和本地管理员组的成员。
•数据库管理员 具有密码的所有权 for the db2admin user on UDB database servers.
•DB2ADMNS和DB2USERS是由DB2在安装过程中创建的。 DB2ADMNS组具有以下描述:“该组和本地管理员将通过操作系统完全访问所有DB2对象。”
• The group DB2USERS 具有the description: “This group will have read and execute access to all DB2 objects through the operating system.”
•DBA满足了初始设置请求和DB2ADMNS组的填充
• Security adds Windows users and groups to the DB2ADMNS group using a service request ticket from 数据库管理员Team Only.
• Initial setup request and population of the “sysadm” group is fulfilled by 数据库管理员.
•数据库管理员完成了初始设置请求和“ sysmaint”组的填充。
•数据库管理员完成了初始设置请求和“ sysctrl”组的填充。不使用该组。该群体的人口是例外。
• Access to db2admin account is granted by exception. Access is granted to owners by 数据库管理员as a service request .
•将为每个DB2 UDB服务器定义Windows组DB2READ。
• Windows group DB2READ is populated with the 数据库管理员group.
•对具有对象(模式所有者;例如表,视图)的DB2 UDB帐户的访问在实施时被锁定。这些帐户由DBA作为服务请求解锁。根据每个应用程序的要求和限制来标识适当的ID。
所有DB2密码均由有关操作系统的组织准则强制执行。
•没有向数据库对象授予公共访问权限(即选择,插入,更新和删除)。供应商软件包可能需要例外。
•DB2 UDB服务器具有一个“更新”组,该组被授予对表的更新权限。应用程序区域将用户定义为具有相应服务请求的角色。
•按功能将用户分为数据库组(例如, web user, administration).
•数据库管理员 创建所有表,包括由供应商软件包定义的表。此功能的集中化确保可以根据设计和性能来适当定义表,尤其是在大容量条件下。
•所有表都要进行数据建模和访问建模。供应商包装型号将进行审查
所有DB2 UDB服务器都必须具有活动的DB2AUDIT程序,以跟踪对用户和特权的更改。执行以下操作的所有SQL语句都将写入DB2AUDIT日志中,并每年清除一次。 DBA定期监视日志。
•添加/删除用户到数据库
•更改用户权限
•角色创建/删除
•密码永远不会嵌入批处理脚本中。必要时,密码必须包含在单独的文件中,而不是在脚本中进行硬编码。另一种选择是使用内置的Linux函数对密码进行加密。阅读更多 Linux用户添加未创建密码
DB2 - A Security Primer - 数据库管理员DB2
Posted by: |