并且口令应该也是不能为空的
口令复杂度即你在设置口令时口令需要遵照的规则,通常由口令最小长度、口令
关于口令复杂度的设置,产品文档做了相关说明
参数名取值范围默认值描述passwordcheck.enabletrue/falsefalse密码复杂度功能开关,默认为关闭状态passwordcheck.password_length[8,63]9密码的最小长度passwordcheck.password_condition_letter[2,61]2密码至少包含几个小写字母passwordcheck.password_condition_digit[2,61]2密码至少包含几个大写字母passwordcheck.password_condition_punct[0,59]0密码至少包含几个特殊字符 我们可以通过以下的sql举行查询,判断适用性:
show passwordcheck.password_length;
show passwordcheck.password_condition_letter;
show passwordcheck.password_condition_digit;
show passwordcheck.password_condition_punct;
最后是口令有用期,这个参数关乎这多久换一次口令,也是等保基线检查比力常见的参数,产品文档对此也做了相关说明:
参数名取值范围默认值描述备注identity_pwdexp.password_change_interval[1,INT_MAX]30密码有用期v8r6及以后password_change_interval[1,INT_MAX]30密码有用期v8r6之前 在v8r6之前的版本,我们可以通过以下sql去查询:
show password_change_interval;
在v8r6版本,通过以下sql去查询:
show identity_pwdexp.password_change_interval;
如果以上所有参数都配置了,则本测评项为符合,否则为部分符合或者符合。
b)应具有登录失败处理功能,应配置并启用结束会话、限定非法登录次数和当登录连接超时自动退出等相关步伐。
根据28448测评要求,我们需要确认以下几点:
应核查是否配置并启用了登录失败处理功能;
应核查是否配置并启用了限定非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;
应核查是否配置并启用了登录连接超时及自动退出功能;
登录失败处理策略,说人话就是输错几次密码锁定多久
人大金仓数据库的登录失败处理策略是由
sys_audlog.max_error_user_connect_times用户登录失败次数的最大值界限来限定的,error_user_connect_times的最大取值,取值范围为 [0,INT_MAX],缺省为2147483647。
参数名取值范围默认值描述备注sys_audlog.max_error_user_connect_times[0,INT_MAX]2147483647用户登录失败次数的最大值界限v8r6及以后sys_audlog.max_error_user_connect_times[0,INT_MAX]0允许用户一连登录失败的最大次数v8r6及以后error_user_connect_interval[0,INT_MAX]0用户被锁定时间v8r6及以后max_error_user_connect_times[0,INT_MAX]2147483647用户登录失败次数的最大值界限v8r6以前max_error_user_connect_times[0,INT_MAX]0允许用户一连登录失败的最大次数v8r6以前sys_audlog.error_user_connect_interval[0,INT_MAX]0用户被锁定时间v8r6以前 因此我们可以使用以下sql语句去查询相关参数:
show sys_audlog.error_user_connect_times;
show sys_audlog_max_error_user_connect_times;
show sys_audlog.error_user_connect_interval;
不外在v8r6以前,sql长这样:
show error_user_connect_times;
show max_error_user_connect_times;
show error_user_connect_interval;
超时退出参数,也就是你没有操纵多久会断开会话,在人大金仓数据库中,是由client_idle_timeout参数举行控制,具体如下:
参数名取值范围默认值描述client_idle_timeout[0,1800]0客户端最大空闲时间,单位是秒,超时需要重新连接。0为关闭功能。 可以通过以下sql举行查询:
show client_idle_timeout;
如果以上两个参数都举行了配置,那么本测评项符合,不然就是部分符合或者不符合。
c)当举行长途管理时,应采取须要步伐防止鉴别信息在网络传输过程中被窃听;
在28448中,这项是这么要求的:核查是否采用加密等安全方式对系统举行长途管理,防止鉴别信息在网络传输过程中被窃听。
重要是查看被测数据库有没有对数据传输举行加密,一般是看SSL有没有开启
KingbaseES本地支持使用SSL连接加密客户端/服务器通信以提高安全性。
libkci读取系统范围的OpenSSL配置文件。默认环境下,这个文件被定名为openssl.cnf并且位于openssl version -d所陈诉的目录中。可以通过设置环境变量OPENSSL_CONF把这个默认值覆盖为想要的配置文件的名称。
这个,没有直接的sql语句可以查询,和oracle类似,我们需要在服务器上查看人大金仓数据库的配置文件,去查看ssl相关配置
如果只是查看ssl是否开启而不是查看具体配置,可以通过pg的一个sql查看ssl是否开启
show ssl;
如果返回值为on,证明ssl已经开启
但是如果要查看证书的话,那就需要去查看相关的配置了。此处不再赘述。有兴趣的同僚自行查看安全手册的第五章数据安全传输以及第二十章SSL支持,里面有详细的描述
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户举行身份鉴别,且此中一种鉴别技术至少应使用密码技术来实现。
在KingbaseES中,除了在系统初始化过程中可以创建的三个用户:数据库管理员、安全管理员、审计管理员外,还可以创建普通用户来访问数据库,运行数据库应用。为了方便,这三个初始化用户也可以简称为管理员、审计员、安全员。
因此,如果不去修改默认配置的话,人大金仓数据库是可以大概实现等保上的三权分立的。
b) 应重定名或删除默认账户,修改默认账户的默认口令;
在28448中,是这么要求的:
应核查是否已经重定名默认账户或默认账户已被删除;
应核查是否已修改默认账户的默认口令;
人大金仓数据库在初始化时会生成三个默认账户,分别是系统管理员system、安全管理员sso和安全审计员sao,核查一下有没有更改口令。
c) 应及时删除或停用多余的、过期的账户,制止共享账户的存在;
查看sql语句如下:
show sysaudit.enable;
show sysaudit.userevent;
show sysaudit.syntaxerror;
show sysaudit.serverevent;
b) 审计记载应包括事件的日期和时间、用户、事件类型、事件是否乐成及其他与审计相关的信息;
在KingbaseES启动后,以审计员用户连接数据库,使用ALTER SYSTEM下令将 sysaudit.enable 设置为on | off。打开(或关闭)审计开关,重载配置后,数据库系统中的审计功能立刻收效(或失效)。
打开(或关闭)审计开关并重载的下令:
ALTER SYSTEM SET sysaudit.enable = on | off;
CALL sys_reload_conf();
可以试试使用非审计员账户实行。 四、入侵防范
a) 应遵照最小安装的原则,仅安装需要的组件和应用步伐;
根据28448的要求,我们应该核查下列内容:
1)应核查是否遵照最小安装原则:
2)应核查是否未安装非须要的组件和应用步伐
kingbaseES拥有非常多的扩展插件,可以通过下列下令查询安装的扩展插件:
\dx
b) 应关闭不需要的系统服务、默认共享和高危端口;
这一项给不适用。数据库不涉及。
c) 应通过设定终端接入方式或网络地点范围对通过网络举行管理的管理终端举行限定;
