DB2 安全策略

2015 年 1 月 19 日 杰克·瓦姆瓦斯

此 DB2 安全策略示例是应用 DB2 安全良好实践和定期审计的基础。 DB2 环境的特点是各种开发人员(内部)、管理员(内部)和第三方访问(外部)。 DB2 安全策略应该反映这些不同的需求。

DB2 安全策略是实现安全性的基础。应进行定期审核,将环境与安全策略进行比较。任何差异都可以修复。阅读更多 DB2 安全审计

 DB2 安全性分为不同的类别。并非所有政策都与每个组织相关。作为一名 DBA,可能无法满足所有这些政策。例如,查看所有 3rd DDL 和 DML 可能是一个耗时的过程。

在 DB2 中访问具有提升权限的帐户

 Linux servers:

• 对 Linux DB2 UDB 实例帐户的访问由 DBA 控制,并在需要时作为服务请求授予。

• Linux DB2 UDB 服务器必须有一个别名ID,它与DB2 UDB 实例ID 具有相同的UID。

•DBA 拥有 DB2 UDB 实例 ID 上的密码所有权。

• 只有当您不能使用别名 ID 时,才能访问 DB2 UDB 实例帐户。在需要时,DBA 将访问权限作为服务请求授予所有者

• 对拥有对象(模式所有者;例如,表、视图)的 DB2 UDB 帐户的访问权限在实施时被删除。 DBA 拥有密码的所有权

• “sysadm”组的初始设置请求和填充由 DBA 完成

• “sysmaint”组的初始设置请求和填充由 DBA 完成。

• “sysctrl”组的初始设置请求和填充由 DBA 完成。不使用该组。这个群体的人口是例外。

• 向“sysadm”、“sysmaint”和“sysctrl”组添加或删除新用户是通过 DBA 使用更改票证完成的。

• 所有Linux UDB 服务器都有一个id,dbbackup,为备份访问定义,它是“sysmaint”组的成员。密码由DBA 维护。

• 所有Linux UDB 服务器都有一个id,dbaread,定义为对UDB 和Linux 文件进行只读访问。

对于 Windows 服务器:

• Windows 用户 db2admin 是在 DB2 UDB 软件安装期间创建的,并且是 DB2ADMNS 和本地管理员组的成员。

•DBA 拥有UDB 数据库服务器上db2admin 用户密码的所有权。

• DB2ADMNS 和 DB2USERS 在安装期间由 DB2 创建。 DB2ADMNS 组有这样的描述:“该组和本地管理员将可以通过操作系统完全访问所有 DB2 对象。”

• DB2USERS 组的描述是:“该组将通过操作系统对所有 DB2 对象进行读取和执行访问。”

• DB2ADMNS 组的初始设置请求和填充由 DBA 完成

• 安全性使用来自 DBA Team Only 的服务请求票将 Windows 用户和组添加到 DB2ADMNS 组。

• “sysadm”组的初始设置请求和填充由 DBA 完成。

• “sysmaint”组的初始设置请求和填充由 DBA 完成。

• “sysctrl”组的初始设置请求和填充由 DBA 完成。不使用该组。这个群体的人口是例外。

• 对 db2admin 帐户的访问是通过例外授予的。 DBA 将访问权限作为服务请求授予所有者。

• Windows 组 DB2READ 将被定义到每个 DB2 UDB 服务器。

• Windows 组 DB2READ 由 DBA 组填充。

• 对拥有对象(模式所有者;例如,表、视图)的 DB2 UDB 帐户的访问在实施时被锁定。这些帐户由 DBA 作为服务请求解锁。适当的 id 是根据每个应用程序的要求和限制确定的。

强密码

所有 DB2 密码都由相关操作系统的组织指南强制执行。

访问数据库对象

• 没有对数据库对象授予公共访问权限(即选择、插入、更新和删除)。供应商包可能需要例外。

• DB2 UDB 服务器有一个“更新”组,它被授予对表的更新权限。用户由具有相应服务请求的应用程序区域定义为该角色。

• 用户按功能(例如,网络用户、管理)放入数据库组。

 

创建数据库表对象

• DBA 创建所有表,包括由供应商包定义的表。此功能的集中化可确保根据设计和性能适当地定义表格,尤其是在高容量条件下。

• 所有表都将进行数据建模和访问建模。供应商包模型将被审查

 

DB2 审计跟踪

所有 DB2 UDB 服务器都必须激活 DB2AUDIT 程序才能跟踪用户和权限的更改。为执行以下操作而执行的任何 SQL 语句都会写入 DB2AUDIT 日志并每年清除一次。 DBA 定期监视日志。

• 向数据库添加/删除用户

• 更改用户权限

• 角色创建/删除

 

批处理和实用程序

• 密码永远不会嵌入批处理脚本中。如果需要,密码必须包含在单独的文件中,而不是硬编码在脚本中。另一种选择是使用内置的 Linux 功能加密密码。阅读更多 Linux useradd 不创建密码

阅读有关 DB2 安全性的更多信息

DB2 - 安全入门 - DBA DB2

如何准备数据库审计 - DBA DB2

DBA 面试问答——DB2 安全管理

添加一名作者http://www.ysaijiu.com)

分享:

验证您的评论

预览您的评论

这仅仅是一个预览。您的评论尚未发布。

在职的...
您的评论无法发布。错误类型:
您的评论已保存。评论经过审核,在作者批准之前不会出现。 发表另一条评论

您输入的字母和数字与图像不匹配。请再试一次。

作为发表评论之前的最后一步,请输入您在下图中看到的字母和数字。这可以防止自动程序发布评论。

阅读此图片时遇到问题? 查看备用。

在职的...

对 DB2 安全策略发表评论

评论经过审核,在作者批准之前不会出现。


dba-db2.com | DB2 性能调优 | 数据库管理员 DB2:一切 | FAQ | 接触 | Copyright