DB2安全策略

此DB2安全策略样本是应用的基础 DB2 security  good practise and regular audits. A DB2 environment is characterised by various developers(internal), administrators (internal) and third party access (external). The DB2安全性 policy should reflect these different requirements.

DB2安全策略 是实施安全性的基础。应进行定期审核,将环境与安全策略进行比较。可以解决任何差异。阅读更多 DB2安全性 audit

 The DB2安全性 is broken 在 to  separate  类别。并非所有政策都与每个组织相关。作为DBA,可能无法实现所有这些策略。例如,查看所有3 rd DDL和DML可能是一个耗时的过程。

访问DB2中具有较高特权的帐户

 Linux servers:

• Access to the Linux DB2 UDB 在 stance account is controlled by the 数据库管理员and granted as a service request when required.

• Linux DB2 UDB servers must have an alias id, which 具有the same UID as DB2 UDB 在 stance ID.

•数据库管理员  has 密码的所有权 on the DB2 UDB 在 stance ID.

• Access to DB2 UDB 在 stance account is by exception only when you cannot use the alias ID. Access is granted to the owner by the 数据库管理员as a service request when required

•对拥有对象(模式所有者;例如表,视图)的DB2 UDB帐户的访问权在实施时被删除。 DBA  has  密码的所有权

•DBA完成了初始设置请求和“ sysadm”组的填充

•数据库管理员完成了初始设置请求和“ sysmaint”组的填充。

•数据库管理员完成了初始设置请求和“ sysctrl”组的填充。不使用该组。该群体的人口是例外。

• Addition or deletion of new users to the “sysadm”, “sysmaint”, and “sysctrl” groups is done through 数据库管理员using a change ticket .

•所有Linux UDB服务器都有一个为备份访问定义的ID dbbackup,它是“ sysmaint”组的成员。密码由DBA维护。

•所有Linux UDB服务器都有一个ID dbaread,该ID定义用于UDB和Linux文件的只读访问。

对于Windows服务器:

•Windows用户db2admin是在DB2 UDB软件安装期间创建的,并且是DB2ADMNS和本地管理员组的成员。

•数据库管理员  具有密码的所有权 for the db2admin user on UDB database servers.

•DB2ADMNS和DB2USERS是由DB2在安装过程中创建的。 DB2ADMNS组具有以下描述:“该组和本地管理员将通过操作系统完全访问所有DB2对象。”

• The group DB2USERS 具有the description: “This group will have read and execute access to all DB2 objects through the operating system.”

•DBA满足了初始设置请求和DB2ADMNS组的填充

• Security adds Windows users and groups to the DB2ADMNS group using a service request ticket from 数据库管理员Team Only.

• Initial setup request and population of the “sysadm” group is fulfilled by 数据库管理员.

•数据库管理员完成了初始设置请求和“ sysmaint”组的填充。

•数据库管理员完成了初始设置请求和“ sysctrl”组的填充。不使用该组。该群体的人口是例外。

• Access to db2admin account is granted by exception. Access is granted to owners by 数据库管理员as a service request .

•将为每个DB2 UDB服务器定义Windows组DB2READ。

• Windows group DB2READ is populated with the 数据库管理员group.

•对具有对象(模式所有者;例如表,视图)的DB2 UDB帐户的访问在实施时被锁定。这些帐户由DBA作为服务请求解锁。根据每个应用程序的要求和限制来标识适当的ID。

强密码

所有DB2密码均由有关操作系统的组织准则强制执行。

访问数据库对象

•没有向数据库对象授予公共访问权限(即选择,插入,更新和删除)。供应商软件包可能需要例外。

•DB2 UDB服务器具有一个“更新”组,该组被授予对表的更新权限。应用程序区域将用户定义为具有相应服务请求的角色。

•按功能将用户分为数据库组(例如, web user, administration).

 

创建数据库表对象

•数据库管理员 创建所有表,包括由供应商软件包定义的表。此功能的集中化确保可以根据设计和性能来适当定义表,尤其是在大容量条件下。

•所有表都要进行数据建模和访问建模。供应商包装型号将进行审查

 

DB2审计追踪

所有DB2 UDB服务器都必须具有活动的DB2AUDIT程序,以跟踪对用户和特权的更改。执行以下操作的所有SQL语句都将写入DB2AUDIT日志中,并每年清除一次。 DBA定期监视日志。

•添加/删除用户到数据库

•更改用户权限

•角色创建/删除

 

批处理和实用程序

•密码永远不会嵌入批处理脚本中。必要时,密码必须包含在单独的文件中,而不是在脚本中进行硬编码。另一种选择是使用内置的Linux函数对密码进行加密。阅读更多 Linux用户添加未创建密码

Read more on DB2安全性

DB2 - A Security Primer - 数据库管理员DB2

How to prepare a Database audit - 数据库管理员DB2

数据库管理员Interview Questions and Answers – DB2 安全管理

作者:Jack Vamvas(http://www.dba-db2.com)

分享:

验证您的评论

预览您的评论

This is only a preview. Your comment 具有not yet been posted.

 加工...
您的评论无法发布。错误类型:
Your comment 具有been saved. Comments are moderated and will not appear until approved by the author. 发表其他评论

您输入的字母和数字与图像不匹配。请再试一次。

作为发表评论的最后一步,请输入下图中显示的字母和数字。这样可以防止自动程序发布评论。

读取这张图片有困难吗? 查看备用。

 加工...

对DB2安全策略发表评论

Comments are moderated, and will not appear until the author 具有approved them.


ysaijiu.com | DB2性能调优 | 数据库管理员DB2:Everything | 常问问题 | 联系 | 版权