数据库安全检查表

1.1 数据库

编号 物理位置 检查日期 责任人 编号 检查项目 检查数据库安装目录的权限，,确保只有系统管理员才能访问该目录 1 操作系统检查 对Windows 操作系统而言，采用regedt32 通 HKLM\\Software\\Sybase中的权用 限键值 安 全 机 制 2 服务器信息 \"net password encryption\" = true \"net password encryption\" = false 列举网络上的远程服务器 exec sp_helpserver 检查输出容： 网络密码加密的部份可能如下： 检查 中心机房 检查容 操作方法 生产厂商/型号 所在网络 检查人 审核人 12-5-4 结果 检查记录 1 / 7

安全机制部份可能如下： \"rpc security model A\" 是不提供安全机制 \"rpc security model B\" 是提供不同的安全服务，如互相认证、消息加密、完整性校验等。 列举特定服务器的信息 exec sp_helpdb 检查认证模式是否开启 exec sp_loginconfig \"login mode\" 检查默认登陆 3 登陆配置 exec sp_loginconfig \"default account\" 在集成认证模式中,确认默认登陆角色不是sa ,设置为NULL 或者一个低权限的用户。 查看服务器版本信息 4 补丁 select VERSION 获得当前Server 的配置 5 exec sp_configure 检查输出 'allow updates to system tables' 如果是“on”状态，DBA 可以通数据库配6 置 置为“off”状态。因为已经建立的存储过程可以被执行，建议审计数据库的存储过程列表。 exec sp_configure \"allow updates to system tables\" 7 检查并保证'allow resource 通用数据库参数 过存储过程修改系统表。建议sso 将其设 2 / 7

limit'的值设为“1” exec sp_configure \"allow resource limit\" 保证系统表'syscomments' 已经被保护该系统表非常重要，但默认情况下被设置为\"1\"，确认8 该值被设置为\"0\"。 exec sp_configure \"select on syscomments.text\" 检查是否设置失败登陆日志，确认该值设置为\"0\" 9 exec sp_configure \"log audit logon failure\" 错误日志配置 检查是否设置成功登陆日志，确认该数值设为\"0\" 10 exec sp_configure \"log audit logon success\" 列举某数据库的所有组: 11 use DBName exec sp_helpgroup 组 列举某组的用户： 12 用 户 级 安 13 全 角色 检查服务器角色和用户定义的角色： select pwdate, syssrvroles 检查每个角色的详细信息： 14 exec sp_displayroles name, password, from use DBName exec sp_helpgroup GroupName status \"RoleName\3 / 7

检查每个用户的详细信息： 15 exec sp_displayroles UserName, expand_down 检查角色中空口令用户： 16 select name from syssrvroles where password = NULL 检查某数据库的所有用户： 17 exec sp_helpuser 检查散列用户口令： 18 用户 syslogins 检查每个数据库的用户权限： 19 use DBName exec sp_helprotect 检查口令过期时间，建议设置为14天 exec sp_configure \"password 20 expiration interval\" '0' – 密码从不过期 'n' – 天数. 检查口令是否至少包含一位数字 口令安全参数 exec sp_configure \"check 21 password for digit\" '0' － 强制用户口令中至少包含一个数字 检查最小密码长度，建议为8位以上 22 exec sp_configure \"minimum password length\" 23 数 权限 检查关键表、过程、触发器的权 select name, password from 4 / 7

据 级 安 全 限，检查赋予public组权限的对象： use DBName exec ObjectName 输出： 1. 用户权限列表 2. 所有对象的权限类型 3. 是否设置WITH GRANT权限 列出数据库中所有扩展存储过程： sp_helprotect 24 use sybsystemprocs select name from sysobjects where type='XP' 删除扩展存储过程xp_cmdshellsybsyesp.dll exec sp_dropextendedproc ，并删除 xp_cmdshell 25 存储过程 xp_cmdshell，则审核其权限分配： use sybsystemprocs exec sp_helprotect 如果一定需要使用 “xp_cmdshell” 检查其它存储过程 如26 startmail, stopmail，删除无 用的存储过程，并删除mail 'sybmail'. 网 27 络 远端服务器信息 use master 检查远端服务器是否允许访问 sendmail, freemail, deletemail, readmail, 5 / 7

层 安 全 exec sp_configure \"allow remote access\" '1' - 允许远程访问 '0' - 不允许远程访问 检查信任用户的存在情况 exec sp_helpremoteserver 检查安全机制和其提供的安全服务 select * from syssecmechs Syssecmech 表默认并不存在，仅在查询的时候创建，它由以下的列组成： sec_mech_name 服务器提供的安全机制名 28 available_service 安全机制提供的安全服务 举例，Windows 网络管理员，其容将为： sec_mech_name = NT LAN MANAGER 远程连接机制 available_service = unified login 检查libctl.cfg文件 部包含了网络驱动的信息，安全，目录磁盘和其他初始化信息。 1. 如果LDAP 密码加密。 2. 安全机制： 29 \"dce\" DCE 安全机制。 \"csfkrb5\" CyberSAFE Kerberos 安全机制。 \"LIBSMSSP\" Windows NT 或Windows 95(仅客户端)上的Windows 6 / 7

网络管理员。 注意：libtcl.cfg 的位置： UNIX 模式：$SYBASE/config/ 桌面模式：SYBASE_home\\ini\\ 检查统一登陆需要的参数 exec sp_configure \"unified login required\" 如果网络安全被设置为启用，则30 保证其设置为\"1\"。设置为\"0\"，将会 允许传统的用户密码方式登陆到ASE，这样跟信任连接一样会对网络的 安全性造成影响。

7 / 7