数据库管理员 DB2:一切
数据库管理员脚本
For any Database issues send email to: [email protected]

搜索 dba-db2.com

关注 dba-db2.com

For any Database issues send email to: [email protected]

每日独家内容

DB2 安全策略

2015 年 1 月 19 日杰克·瓦姆瓦斯

此 DB2 安全策略示例是应用 DB2 安全良好实践和定期审计的基础。 DB2 环境的特点是各种开发人员（内部）、管理员（内部）和第三方访问（外部）。 DB2 安全策略应该反映这些不同的需求。

DB2 安全策略是实现安全性的基础。应进行定期审核，将环境与安全策略进行比较。任何差异都可以修复。阅读更多 DB2 安全审计

DB2 安全性分为不同的类别。并非所有政策都与每个组织相关。作为一名 DBA，可能无法满足所有这些政策。例如，查看所有 3^rd DDL 和 DML 可能是一个耗时的过程。

在 DB2 中访问具有提升权限的帐户

Linux servers:

• 对 Linux DB2 UDB 实例帐户的访问由 DBA 控制，并在需要时作为服务请求授予。

• Linux DB2 UDB 服务器必须有一个别名ID，它与DB2 UDB 实例ID 具有相同的UID。

•DBA 拥有 DB2 UDB 实例 ID 上的密码所有权。

• 只有当您不能使用别名 ID 时，才能访问 DB2 UDB 实例帐户。在需要时，DBA 将访问权限作为服务请求授予所有者

• 对拥有对象（模式所有者；例如，表、视图）的 DB2 UDB 帐户的访问权限在实施时被删除。 DBA 拥有密码的所有权

• “sysadm”组的初始设置请求和填充由 DBA 完成

• “sysmaint”组的初始设置请求和填充由 DBA 完成。

• “sysctrl”组的初始设置请求和填充由 DBA 完成。不使用该组。这个群体的人口是例外。

• 向“sysadm”、“sysmaint”和“sysctrl”组添加或删除新用户是通过 DBA 使用更改票证完成的。

• 所有Linux UDB 服务器都有一个id，dbbackup，为备份访问定义，它是“sysmaint”组的成员。密码由DBA 维护。

• 所有Linux UDB 服务器都有一个id，dbaread，定义为对UDB 和Linux 文件进行只读访问。

对于 Windows 服务器：

• Windows 用户 db2admin 是在 DB2 UDB 软件安装期间创建的，并且是 DB2ADMNS 和本地管理员组的成员。

•DBA 拥有UDB 数据库服务器上db2admin 用户密码的所有权。

• DB2ADMNS 和 DB2USERS 在安装期间由 DB2 创建。 DB2ADMNS 组有这样的描述：“该组和本地管理员将可以通过操作系统完全访问所有 DB2 对象。”

• DB2USERS 组的描述是：“该组将通过操作系统对所有 DB2 对象进行读取和执行访问。”

• DB2ADMNS 组的初始设置请求和填充由 DBA 完成

• 安全性使用来自 DBA Team Only 的服务请求票将 Windows 用户和组添加到 DB2ADMNS 组。

• “sysadm”组的初始设置请求和填充由 DBA 完成。

• “sysmaint”组的初始设置请求和填充由 DBA 完成。

• “sysctrl”组的初始设置请求和填充由 DBA 完成。不使用该组。这个群体的人口是例外。

• 对 db2admin 帐户的访问是通过例外授予的。 DBA 将访问权限作为服务请求授予所有者。

• Windows 组 DB2READ 将被定义到每个 DB2 UDB 服务器。

• Windows 组 DB2READ 由 DBA 组填充。

• 对拥有对象（模式所有者；例如，表、视图）的 DB2 UDB 帐户的访问在实施时被锁定。这些帐户由 DBA 作为服务请求解锁。适当的 id 是根据每个应用程序的要求和限制确定的。

强密码

所有 DB2 密码都由相关操作系统的组织指南强制执行。

访问数据库对象

• 没有对数据库对象授予公共访问权限（即选择、插入、更新和删除）。供应商包可能需要例外。

• DB2 UDB 服务器有一个“更新”组，它被授予对表的更新权限。用户由具有相应服务请求的应用程序区域定义为该角色。

• 用户按功能（例如，网络用户、管理）放入数据库组。

创建数据库表对象

• DBA 创建所有表，包括由供应商包定义的表。此功能的集中化可确保根据设计和性能适当地定义表格，尤其是在高容量条件下。

• 所有表都将进行数据建模和访问建模。供应商包模型将被审查

DB2 审计跟踪

所有 DB2 UDB 服务器都必须激活 DB2AUDIT 程序才能跟踪用户和权限的更改。为执行以下操作而执行的任何 SQL 语句都会写入 DB2AUDIT 日志并每年清除一次。 DBA 定期监视日志。

• 向数据库添加/删除用户

• 更改用户权限

• 角色创建/删除

批处理和实用程序

• 密码永远不会嵌入批处理脚本中。如果需要，密码必须包含在单独的文件中，而不是硬编码在脚本中。另一种选择是使用内置的 Linux 功能加密密码。阅读更多 Linux useradd 不创建密码

阅读有关 DB2 安全性的更多信息

DB2 - 安全入门 - DBA DB2

如何准备数据库审计 - DBA DB2

DBA 面试问答——DB2 安全管理

添加一名作者http://www.ysaijiu.com)

分享：

由 Jack Vamvas 于晚上 10:38 发布 in 安全管理 | 永久链接 | 评论 (0) | 引用 (0)

Searches: DB2 审计跟踪, db2 强制执行, DB2 安全策略, 安全审计

验证您的评论

预览您的评论

Posted by: |

这仅仅是一个预览。您的评论尚未发布。

您的评论无法发布。错误类型：

您的评论已保存。评论经过审核，在作者批准之前不会出现。发表另一条评论

您输入的字母和数字与图像不匹配。请再试一次。

作为发表评论之前的最后一步，请输入您在下图中看到的字母和数字。这可以防止自动程序发布评论。