Sybase数据库安全配置规范
Sybase配置参数
1Sybase配置参数1.1配置cpu个数sp_configure 'max online engines',4go1.2配置启动cpu个数sp_configure 'number of engines at startup',4go1.3配置最大内存数sp_configure 'max memory' ,2097151(拟分配内存/2K) go1.4分配最大存储过程缓存sp_configure 'procedure cache',102400go1.5配置高速缓存sp_cacheconfig 'default data cache' , '700M'go1.6缺省缓存分配页大小sp_poolconfig 'default data cache','200M','16K'go1.7网络包大小sp_configure 'max network packet size',1024go1.8最大连接数sp_configure 'number of user connections',500go1.9最大打开对象sp_configure 'number of open object',9000go1.10最大索引sp_configure 'number of open index',10000go1.11最大锁数sp_configure 'number of locks',100000go1.12增加网络内存--sp_configure 'additional network memory',1024 go1.13锁内存sp_configure 'lock shared memory',512go1.14优化tempdbselect dbid, name,segmapfrom sysusages, sysdeviceswhere sysdevices.low <= sysusages.size +vstart and sysdevices.high >=sysusages.size+vstart -1 and dbid =2and (status=2 or status=3)gouse tempdbgosp_dropsegment 'default',tempdb,mastergosp_dropsegment 'logsegment',tempdb,mastergoselect dbid, name,segmapfrom sysusages, sysdeviceswhere sysdevices.low <= sysusages.size +vstart and sysdevices.high >=sysusages.size+vstart -1 and dbid =2and (status=2 or status=3)gosp_cacheconfig tempdb_cache, '100M'gosp_poolconfig tempdb_cache,'50M','16K'gosp_bindcache 'tempdb_cache',tempdbgosp_helpcache tempdb_cacheselect name,id from syscharsetsdbcc traceon(3604)dbcc memusage2数据库安装的优化2.1应用数据库使用裸设备若在UNIX(UNIXWARE)操作系统下安装数据库服务器,请将SYBASE应用数据库的设备(device)安装成裸设备。
sybase数据库安全和优化(自编)
Sybase的安全控制策略
(2)在用户登录后,系统要通过口令进行验证, 以防止非法用户盗用他人的用户名进行登录。这 一验证步骤在登录时的注册对话框中出现,注册 与验证同时进行,用户名与口令有一个不符,登 录请求被拒绝。
Sybase的安全控制策略
(3)权限使得用户在数据库中活动范围仅被容许在 小范围内,大大提高了数据库的安全性。在 Sybase系统中,对象的所有者或创建者自动被授 予对对象的许可权。所有者则有权决定把许可权 授予其他用户。Sybase提供了GRANT和 REVOKE命令,以便授予或取消许可权。数据库 所有者和系统管理员享有特殊许可权,包括数据 库所有者(Database Owner,DBO)对自己所拥有 的数据库中的一切对象具有全部许可权;系统管 理员(System Administrantion,SA)享有服务器 内的所有数据库的一切对象的许可权。
1.1.2数据缓冲(Data Cache) 数据缓冲用来缓存数据页和索引页,是除去存储 过程缓冲,系统其他占用的缓冲外的剩余内存空 间。通过给服务器增加物理内存扩大数据缓冲, 是最有效的方法。当然,如果不能加内存,就只 能通过减少存储过程缓冲的比例等方法来扩大数 据缓冲了。配置足够大的数据缓冲可防止其它服 务器活动争用高速缓存空间,并加速使用这些表 的查询,因为所需页始终都可在高速缓存中找到。 同时,可以考虑将“热”表如:用户应用程序对 其需求较大的表绑定到一个高速缓存上,而表上 的索引绑定到其它高速缓存,以提高并发性。具 体做法如下:
1.1.3 tempdb数据库的优化 缺省情况下,tempdb数据库是放置在master设 备上,容量为2M,而临时数据库是活动最为平凡 的数据库常常被用来排序、创建临时表、重格式 化等操作,所以tempdb的优化应该受到特别的 关注,缺省情况下,用于tempdb的system、 default和logsegment段在主设备上分配了2MB 空间。将第二个设备分配给tempdb后,即可在 default和logsegment段中将主设备删除。使用 这种方式,可以确保tempdb中的工作表和其它 临时表不会和主设备上的其它使用相互争用。
SYBASE系统参数调整
SYBASE系统参数调整1. max memory:此参数用于指定SYBASE数据库服务器在计算机中使用的最大内存量。
通过将此参数设置为较大的值,可以提高该数据库服务器的性能。
如果可用的内存较少,则应适当减小此值。
2. number of engines:此参数用于指定SYBASE数据库服务器使用的引擎数量。
增加此参数的值可以提高并发访问性能。
然而,将该值设置得太高可能会浪费资源。
一般来说,使用与服务器CPU数量相同的值是安全的做法。
3. max scan parallel degree:此参数用于指定SYBASE数据库服务器执行并行扫描时使用的最大并行度。
通过将此参数设置为较大的值,可以提高并行扫描的性能。
4. sys statistics:此参数用于指定数据库服务器在自动生成查询计划时使用的统计信息的有效期限。
适当设置此参数的值可以提高查询性能。
默认情况下,此参数的值设置为30天。
5. max degree of parallelism:此参数用于指定SYBASE数据库服务器在执行并行查询时使用的最大并行度。
增加此参数的值可以提高查询性能。
然而,将该值设置得太高可能会增加系统负载。
6. max worker processes:此参数用于指定SYBASE数据库服务器使用的最大工作进程数量。
适当增加此参数的值可以提高并发性能。
默认情况下,此参数的值设置为255,但在大型服务器上,可能需要适当增加此值。
7. tempdb设备数:tempdb是SYBASE数据库服务器用于处理临时数据的数据库。
将tempdb数据库分配到多个设备上可以提高临时数据处理的性能。
8. prefetch parallel degree:此参数用于指定SYBASE数据库服务器在执行预取操作时使用的并行度。
适当增加此参数的值可以提高查询性能。
9. max rows per stack:此参数用于指定SYBASE数据库服务器在语句执行期间允许的最大行数。
Sybase数据库的维护标准
Sybase 数据库的维护标准目录1. Sybase数据库安装概要2. Sybase数据库操作步骤2.1. Sybase数据库的配置标准2.2. Sybase数据库的备分标准2.3. Sybase数据库的维护标准2.4. Sybase数据库的安全标准Sybase 数据库的维护标准2.2 Sybase数据库的备份标准数据库的备份数据库的备份对于日常的维护来说十分重要,系统管理员一定要注意数据库每天都有成功备份。
需要检查备份的介质(磁盘或是磁带)是否正常。
备份命令:dump database to ‘/xx/xxx’(设备名或是磁盘上的文件名)我们可以规划一个备份的计划,然后将备份的命令放在计划任务中,让系统自动时做数据库的备份。
1.建立一个备份用户,用户名backup,密码随意,授予oper_role角色权限。
2.修改backup_full.bat,修改对应的用户名和密码。
3.在WINDOWS计划任务中,建立任务,定时(建议每天凌晨3点,每天执行)执行,调度backup_full.bat文件。
4.在服务器上建立一个目录存放备份文件,注意修改ackup_full.txt脚本对应的目录路径。
5.切记要启动sybase备份服务。
2.3 Sybase数据库的维护标准维护目的:监测数据库的当前运行状况,保证数据库稳定运行。
做好数据库的日常的备份工作,减轻问题发生时的风险和责任检测数据库的整体运行状况,对数据库的性能进行调整,保证数据库高效的运行。
可以减少紧急故障发生频率,减少对系统的影响。
尽早发现系统存在的潜在问题,使可能的故障消除在萌芽状态。
数据库日常维护的主要内容:监测数据库运行情况监控CPU和I/O的使用情况监控空间的使用情况监控数据库的错误日志errorlog制定一个合理的备份计划检查数据库的一致性数据库的排错数据库性能调整数据库日常维护的方法数据库服务和备份服务的启动和关闭方法数据库和备份服务的启动$cd $SYBASE/ASE-12_*/install$startserver –f RUN_Servername(Servername为你的数据库服务名) $startserver –f RUN_Servername_back数据库和备份服务的关闭isql –Usa –Pxxx –Sservername>shutdown SYB_BACKUP (关闭备份服务)>go>use dbname (用户库)>go>checkpoint>go>shutdown>go查看sybase用户的运行环境是否正常$env查看SYBASE,SYBASE_ASE,SYBASE_OCS等环境是否正常查看数据库服务和备份服务进程是否运行正常$ps –ef | grep dataserver$ps –ef | grep backupserver查看数据库的版本和补丁信息$dataserver –v或是isql –Usa –Pxxx –Sservername>select @@version检查数据库的配置是否合理.检查数据库内存分配、锁个数、存储过程缓冲、多CPU配置、用户连接配置、网络包尺寸等重要参数的设置。
sybase配置指南
配置指南Replication Server®12.6WINDOWS文档ID:DC37895-01-1260-01最后修订日期:2003 年 12 月版权所有 © 1992-2004 Sybase, Inc. 保留所有权利。
本手册适用于 Sybase 软件及所有后续版本,除非在新版本或技术注释中另有说明。
本手册中的信息如有更改,恕不另行通知。
本手册中所介绍的软件按许可协议提供,其使用和复制必须符合协议条款。
若要订购其他文档,美国和加拿大客户请拨打客户服务部门电话 (800) 685-8225,或发传真至 (617) 229-9845。
持有美国许可协议的其他国家/地区的客户可通过上述传真号码与客户服务部门联系。
所有其他国际客户请与 Sybase 子公司或当地的分销商联系。
我们只在软件的定期发布日提供升级文档。
未经 Sybase, Inc. 事先书面授权,不得以任何形式或通过任何手段(电子的、机械的、手工的、光学的或其他手段)复制、传播或翻译本手册的任何部分。
Sybase、Sybase 徽标、AccelaTrade、ADA Workbench、Adaptable Windowing Environment、Adaptive Component Architecture、Adaptive Server、Adaptive Server Anywhere、Adaptive Server Enterprise、Adaptive Server Enterprise Monitor、Adaptive Server Enterprise Replication、Adaptive Server Everywhere、Adaptive Server IQ、Adaptive Warehouse、Anywhere Studio、Application Manager、AppModeler、APT Workbench、APT-Build、APT-Edit、APT-Execute、APT-FORMS、APT-Translator、APT-Library、AvantGo、AvantGo Application Alerts、AvantGo Mobile Delivery、AvantGo Mobile Document Viewer、AvantGo Mobile Inspection、AvantGo Mobile Marketing Channel、AvantGo Mobile Pharma、AvantGo Mobile Sales、AvantGo Pylon、AvantGo Pylon Application Server、AvantGo Pylon Conduit、AvantGo Pylon PIM Server、AvantGo Pylon Pro、Backup Server、BizTracker、ClearConnect、Client-Library、Client Services、Convoy/DM、Copernicus、Data Pipeline、Data Workbench、DataArchitect、Database Analyzer、DataExpress、DataServer、DataWindow、DB-Library、dbQueue、Developers Workbench、Direct Connect Anywhere、DirectConnect、Distribution Director、e-ADK、E-Anywhere、e-Biz Integrator、E-Whatever、EC Gateway、ECMAP、ECRTP、eFulfillment Accelerator、Embedded SQL、EMS、Enterprise Application Studio、Enterprise Client/Server、Enterprise Connect、Enterprise Data Studio、Enterprise Manager、Enterprise SQL Server Manager、Enterprise Work Architecture、Enterprise Work Designer、Enterprise Work Modeler、eProcurement Accelerator、EWA、Financial Fusion、Financial Fusion Server、Gateway Manager、GlobalFIX、ImpactNow、Industry Warehouse Studio、InfoMaker、Information Anywhere、Information Everywhere、InformationConnect、InternetBuilder、iScript、Jaguar CTS、jConnect for JDBC、Mail Anywhere Studio、MainframeConnect、Maintenance Express、Manage Anywhere Studio、M-Business Channel、M-Business Network、M-Business Server、MDI Access Server、MDI Database Gateway、media.splash、MetaWorks、My AvantGo、My AvantGo Media Channel、My AvantGo Mobile Marketing、MySupport、Net-Gateway、Net-Library、New Era of Networks、ObjectConnect、ObjectCycle、OmniConnect、OmniSQL Access Module、OmniSQL Toolkit、Open Biz、Open Client、Open ClientConnect、Open Client/Server、Open Client/Server Interfaces、Open Gateway、Open Server、Open ServerConnect、Open Solutions、Optima++、Orchestration Studio、PB-Gen、PC APT Execute、PC Net Library、PocketBuilder、Pocket PowerBuilder、Power++、power.stop、PowerAMC、PowerBuilder、PowerBuilder Foundation Class Library、PowerDesigner、PowerDimensions、PowerDynamo、PowerJ、PowerScript、PowerSite、PowerSocket、Powersoft、PowerStage、PowerStudio、PowerTips、Powersoft Portfolio、Powersoft Professional、PowerWare Desktop、PowerWare Enterprise、ProcessAnalyst、Rapport、Report Workbench、Report-Execute、Replication Agent、Replication Driver、Replication Server、Replication Server Manager、Replication Toolkit、Resource Manager、RW-DisplayLib、S-Designor、SDF、Secure SQL Server、Secure SQL Toolset、Security Guardian、SKILS、smart.partners、smart.parts、smart.script、SQL Advantage、SQL Anywhere、SQL Anywhere Studio、SQL Code Checker、SQL Debug、SQL Edit、SQL Edit/TPU、SQL Everywhere、SQL Modeler、SQL Remote、SQL Server、SQL Server Manager、SQL SMART、SQL Toolset、SQL Server/CFT、SQL Server/DBM、SQL Server SNMP SubAgent、SQL Station、SQLJ、STEP、SupportNow、S.W.I.F.T. Message Format Libraries、Sybase Central、Sybase Client/Server Interfaces、Sybase Financial Server、Sybase Gateways、Sybase MPP、Sybase SQL Desktop、Sybase SQL Lifecycle、Sybase SQL Workgroup、Sybase User Workbench、SybaseWare、Syber Financial、SyberAssist、SyBooks、System 10、System 11、System XI(徽标)、SystemTools、Tabular Data Stream、TotalFix、TradeForce、Transact-SQL、Translation Toolkit、、UNIBOM、Unilib、Uninull、Unisep、Unistring、URK Runtime Kit for UniCode、Viewer、Visual Components、VisualSpeller、VisualWriter、VQL、WarehouseArchitect、Warehouse Control Center、Warehouse Studio、Warehouse WORKS、Watcom、Watcom SQL、Watcom SQL Server、Web Deployment Kit、Web.PB、Web.SQL、WebSights、WebViewer、WorkGroup SQL Server、XA-Library、XA-Server 和 XP Server 是 Sybase, Inc. 的商标。
Sybase数据库安全配置基线
Sybase数据库安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0 创建2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.2口令 (5)2.2.1修改sa默认密码 (5)2.2.2修改dba默认密码 (5)2.2.3修改mon_user默认密码 (6)2.2.4修改jagadmin默认密码 (6)2.2.5修改entldbdbo默认密码 (7)2.2.6修改PIAdmin默认密码 (7)2.2.7修改PortalAdmin默认密码 (8)2.2.8修改pkiuser默认密码 (8)2.2.9修改pso默认密码 (9)2.2.10密码复杂度 (10)2.2.11最大错误登录次数* (10)第3章其他安全要求 (12)3.1其他安全配置 (12)3.1.1补丁版本* (12)3.1.2系统通用配置* (12)第4章评审与修订 (15)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Sybase数据库的安全配置。
1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。
1.3 适用版本Sybase数据库。
1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
安全指南__SYBASE安全配置
安全指南__SYBASE安全配置目录1. 范围 (2)2. 术语和定义 (2)3. SYBASE安全加固 (2)3.1加载SYBASE最新补丁 (2)3.2进行Sybase的安全配置 (2)3.2.1使用安全的密码策略 (2)3.2.2使用安全的帐号策略。
(3)3.2.3数据库安全配置策略 (3)3.2.4加强数据库审计策略。
(4)3.2.5修改TCP/IP使用的端口 (4)3.2.6网络安全策略 (4)3.2.7应用程序开发者的安全性策略 (4)3.2.8建立良好的备份策略 (5)3.2.9建立良好的日志管理策略 (5)1.范围本部分规定了网络系统中所使用的SYBASE应用所应该遵守的安全加固指南。
2.术语和定义无3.S YBASE安全加固在进行SYBASE数据库的安全配置之前,首先必须对操作系统进行安全配置,保证操作系统处于安全状态。
然后对要使用的操作数据库软件(程序)进行必要的安全审核,很多基于数据库的WEB应用常出现的安全隐患,如ASP、PHP 等脚本。
对于脚本主要是一个过滤问题,需要过滤一些类似, ‘; @ / 等字符,防止破坏者构造恶意的SQL 语句3.1加载SYBASE最新补丁下载地址是:/doc/ca16066456.html,3.2进行Sybase的安全配置3.2.1使用安全的密码策略加强密码设置,设置最小的密码长度为8个字符以上,含字符、数字和特殊字符(1) 检查用户口令检查是否有口令为NULL检查用户口令多长时间未更改(2) 定期修改密码以sa登录修改系统管理员口令以sa登录修改其他用户口令实施严格的口令策略管理3.2.2使用安全的帐号策略。
(1)给sa用户设定一个非常强壮的密码,不要在数据库应用中使用sa帐号,只有当没有其它方法登录到Sybase 实例时才用sa进行登录(2)防止管理员权限的帐号泛滥。
(3)删除或锁定不必要的默认用户或测试用户(4)在无特殊需要的前提下删除用户及用户所拥有的对象(5)不要让DBA或其他帐号的密码写于应用程序或者脚本中3.2.3数据库安全配置策略1、给数据库文件设置的正确的访问属性2、在系统级的用户管理中减少DBA组中的用户3、无特殊需要关闭不必要的服务,以防止权限的提升4、保护Sybase服务器不被非法用户使用1)确保Sybase安装目录下的所有程序的拥有权归Sybase软件拥有者所有2)给所有的DBA实用例程700权限3)给所有用户实用便程(exp,imp等)711权限,使服务器上所有的用户都可访问Sybase服务器5、取消多余的DBA角色和DBA用户1)取消不必要的被授予DBA角色的角色2)取消不必要的被授予DBA权限的用户3.2.4加强数据库审计策略。
SYBASE参数设置
SYBASE参数设置主要修改参数为:[Disk I/O]number of devices=20[Physical Memory]total memory = 512000 ##数据库可用物理内存,以2k为单位[Processors]max online engines=2 ##CPU数[U]HPWG.cfg全文如下:##################################################################### ########### Configuration File for the Sybase SQL Server## Please read the System Administration Guide (SAG)# before changing any of the values in this file.###################################################################### #########[Configuration Options][General Information][Backup/Recovery]recovery interval in minutes = DEFAULTprint recovery information = DEFAULTtape retention in days = DEFAULT[Cache Manager]number of oam trips = DEFAULTnumber of index trips = DEFAULTprocedure cache percent = DEFAULTmemory alignment boundary = DEFAULTglobal async prefetch limit = DEFAULTglobal cache partition number = DEFAULT[Named Cache:default data cache]cache size = DEFAULTcache status = default data cachecache replacement policy = DEFAULTlocal cache partition number = DEFAULT [Meta-Data Caches]number of open databases = DEFAULT number of open objects = DEFAULTopen object spinlock ratio = DEFAULT number of open indexes = DEFAULTopen index hash spinlock ratio = DEFAULT open index spinlock ratio = DEFAULT [Disk I/O]allow sql server async i/o = DEFAULTdisk i/o structures = DEFAULTpage utilization percent = DEFAULT number of devices =20disable disk mirroring = DEFAULTdisable character set conversions = DEFAULT enable unicode conversions = DEFAULT size of unilib cache = DEFAULT [Network Communication]default network packet size = DEFAULT max network packet size = DEFAULT remote server pre-read packets = DEFAULT number of remote connections = DEFAULT allow remote access = DEFAULTnumber of remote logins = DEFAULT number of remote sites = DEFAULTmax number network listeners = 15tcp no delay = DEFAULTallow sendmsg = DEFAULTsyb_sendmsg port number = DEFAULT[O/S Resources]max async i/os per engine = 500max async i/os per server = DEFAULT [Parallel Query]number of worker processes = DEFAULT memory per worker process = DEFAULT max parallel degree = DEFAULTmax scan parallel degree = DEFAULT[Physical Resources][Physical Memory]#数据库可用物理内存,以2k为单位total memory = 512000additional network memory = DEFAULT lock shared memory = DEFAULTshared memory starting address = DEFAULT max SQL text monitored = DEFAULT [Processors]max online engines = 2 #CPU数min online engines = DEFAULT[SQL Server Administration]default database size = DEFAULTidentity burning set factor = DEFAULT allow nested triggers = DEFAULTallow updates to system tables = DEFAULT print deadlock information = DEFAULT default fill factor percent = DEFAULT default exp_row_size percent = DEFAULT number of mailboxes = DEFAULTnumber of messages = DEFAULTnumber of alarms = DEFAULTnumber of pre-allocated extents = DEFAULT event buffers per engine = DEFAULTcpu accounting flush interval = DEFAULT i/o accounting flush interval = DEFAULT sql server clock tick length = DEFAULT runnable process search count = DEFAULT i/o polling process count = DEFAULTtime slice = DEFAULTdeadlock retries = DEFAULTcpu grace time = 200number of sort buffers = DEFAULT number of large i/o buffers = DEFAULT size of auto identity column = DEFAULT identity grab size = DEFAULTpage lock promotion HWM = DEFAULT page lock promotion LWM = DEFAULT page lock promotion PCT = DEFAULT housekeeper free write percent = 10enable housekeeper GC = DEFAULTpartition groups = DEFAULTpartition spinlock ratio = DEFAULTallow resource limits = DEFAULTnumber of aux scan descriptors = DEFAULT SQL Perfmon Integration = DEFAULTallow backward scans = DEFAULTrow lock promotion HWM = DEFAULTrow lock promotion LWM = DEFAULTrow lock promotion PCT = DEFAULTlicense information = DEFAULT[User Environment]number of user connections = 100 ##用户连接数stack size = DEFAULTstack guard size = DEFAULTpermission cache entries = DEFAULTuser log cache size = DEFAULTuser log cache spinlock ratio = DEFAULT [Lock Manager]number of locks = 50000 #锁数deadlock checking period = DEFAULT freelock transfer block size = DEFAULTmax engine freelocks = DEFAULTlock spinlock ratio = DEFAULTlock hashtable size = DEFAULTlock scheme = DEFAULTlock wait period = DEFAULTread committed with lock = DEFAULT [Security Related]systemwide password expiration = DEFAULT audit queue size = DEFAULTcurread change w/ open cursors = DEFAULT allow procedure grouping = DEFAULTselect on syscomments.text = DEFAULT auditing = DEFAULTcurrent audit table = DEFAULTsuspend audit when device full = DEFAULT max roles enabled per user = DEFAULT unified login required = DEFAULTuse security services = DEFAULTmsg confidentiality reqd = DEFAULTmsg integrity reqd = DEFAULTmsg replay detection reqd = DEFAULT msg origin checks reqd = DEFAULT msg out-of-seq checks reqd = DEFAULT secure default login = DEFAULTdump on conditions = DEFAULT[Extended Stored Procedure]esp unload dll = DEFAULTesp execution priority = DEFAULTesp execution stacksize = DEFAULTxp_cmdshell context = DEFAULTstart mail session = DEFAULT[Error Log]event logging = DEFAULTlog audit logon success = DEFAULTlog audit logon failure = DEFAULT event log computer name = DEFAULT[Rep Agent Thread Administration] enable rep agent threads = DEFAULT maximum dump conditions = DEFAULT[Component Integration Services] enable cis = DEFAULTcis connect timeout = DEFAULTcis bulk insert batch size = DEFAULT max cis remote connections = DEFAULT max cis remote servers = DEFAULTcis packet size = DEFAULTcis cursor rows = DEFAULTcis rpc handling = DEFAULT。
Sybase数据库安全配置规范
Sybase数据库安全配置规范1.概述1.1. 目的本规范明确了Sybase数据库安全配置方面的基本要求。
为了提高Sybase数据库的安全性而提出的。
1.2. 范围本规范适用于XXXX使用的Sybase数据库版本。
2.配置标准2.1. 通用安全设置2.1.1.操作系统检查【目的】检查Sybase安装目录的访问权限,保证只有系统管理员才能访问。
【具体配置】改变Sybase注册表 KLM\Software\Sybase中的权限键值。
2.1.2.服务器信息【目的】列举网路上的远程服务器。
【具体配置】exec sp_helpserver检查输出内容:网络密码加密:"net password encryption" = true"net password encryption" = false安全机制:"rpc security model A" 不提供安全机制“rpc security model B” 提供不同的安全服务,如互相认证、消息加密、完整性校验等。
列举特定服务器的信息:exec sp_helpdb2.1.3.登录信息【目的】检查认证模式是否开启和默认登陆。
【具体配置】检查认证模式是否开启:exec sp_loginconfig "login mode"0 – 标准模式1 – 集成模式2 – 混合模式标准认证模式:默认的认证模式。
Sybase使用自己的数据库(master数据库中的syslogins表)来认证用户。
Windows NT/2000的管理员如果没有正确的帐户也不能进行登陆。
集成认证模式:在统一认证模式中,Sybase仅依赖于Windows来认证用户。
Windows用户或组都可以获得访问Sybase的权限。
混合认证模式:在混合模式里,用户首先以Windows来认证,如果Windows用户不正确,Sybase将会使用它自己的数据库即标准安全模式中储存的用户名密码对来认证用户。
sybase数据库配置说明
Sybase数据库配置说明一、安装sybase服务器端二、配置服务1、运行server config2、添上要创建的服务名3、选择页大小,柳州目前运行的库大小为8k,老系统中的页大小可能是2k,如果导老系统的数据要根据实际情况设置。
4、设置master设备和库的大小,可以先默认,库建好后,可以修改。
5、设置系统存储过程大小和位置6、设置系统数据库大小和位置7、设置网络地址8、点击“网络地址”――》“增加”,9、在连接信息中输入本级ip地址+’,’+端口号(一般为5000)。
“确定”――》“确定”,返回到10、点击“配置缺省xp server”,添加网络地址,在连接信息中输入本级ip地址+’,’+端口号(一般为5002),确定,返回到11、再点击“继续”,开始创建服务。
此过程速度可能比较慢。
12、配置备份服务点击“创建backup server”,开始创建备份服务。
步骤同创建服务相同,只是在设置网络地址时将端口设置为5001(可以任意设置,只要不与别的端口冲突即可)三、建数据库设备打开sybase central,数据库设备添加数据库设备,柳州目前为80g 的设备,可以按照以上图形设置。
四、建库添加数据库,首先选择“日志”,再选择“数据”。
将创建的log的设备设为日志,其他的设置为数据。
五、导数据1、创建远程服务器,远程服务器的网络名称选择创建的备份服务器。
2、创建段,操作如下图所示:3、创建gxyd的用户、登陆4、开始导数据。
LOAD DATABASE DATABASE_NAME FROM ‘(路径)’5、ONLINE DATABASE DATABASE_NAME6、更新索引六、重建索引。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sybase数据库安全配置规范1.概述1.1. 目的本规范明确了Sybase数据库安全配置方面的基本要求。
为了提高Sybase数据库的安全性而提出的。
1.2. 范围本规范适用于XXXX使用的Sybase数据库版本。
2.配置标准2.1. 通用安全设置2.1.1.操作系统检查【目的】检查Sybase安装目录的访问权限,保证只有系统管理员才能访问。
【具体配置】改变Sybase注册表 KLM\Software\Sybase中的权限键值。
2.1.2.服务器信息【目的】列举网路上的远程服务器。
【具体配置】exec sp_helpserver检查输出内容:网络密码加密:"net password encryption" = true"net password encryption" = false安全机制:"rpc security model A" 不提供安全机制“rpc security model B” 提供不同的安全服务,如互相认证、消息加密、完整性校验等。
列举特定服务器的信息:exec sp_helpdb2.1.3.登录信息【目的】检查认证模式是否开启和默认登陆。
【具体配置】检查认证模式是否开启:exec sp_loginconfig "login mode"0 – 标准模式1 – 集成模式2 – 混合模式标准认证模式:默认的认证模式。
Sybase使用自己的数据库(master数据库中的syslogins表)来认证用户。
Windows NT/2000的管理员如果没有正确的帐户也不能进行登陆。
集成认证模式:在统一认证模式中,Sybase仅依赖于Windows来认证用户。
Windows用户或组都可以获得访问Sybase的权限。
混合认证模式:在混合模式里,用户首先以Windows来认证,如果Windows用户不正确,Sybase将会使用它自己的数据库即标准安全模式中储存的用户名密码对来认证用户。
检查默认登陆:exec sp_loginconfig "default account"在集成模式中,确认默认登陆角色不是sa ,设置为NULL或者一个低权限的用户。
2.1.4.Sybase补丁【目的】保证服务器安装最新的补丁。
【具体配置】查看服务器版本信息(select @@VERSION )到Sybase网站上下载最新的补丁:/swd/swx补丁类型:紧急漏洞修补补丁EBF (Expedited Bug Fix or Emergency Bug Fix)补丁服务包ESD (Electronic Software Delivery)服务器中间发布版本IR (Interim Release)注:在应用ESD之前必须安装前一个版本的IR。
2.2. 数据库配置2.2.1.通用数据库参数【目的】调整数据库通用参数,保证安全性。
【具体配置】1、获得当前Sybase ASE Server的配置exec sp_configure2、检查输出 'allow updates to system tables',如果是“on”状态,DBA可以通过存储过程修改系统表。
建议sso将其设置为“off”状态。
因为已经建立的存储过程可以被执行,建议审计数据库的存储过程列表。
exec sp_configure "allow updates to system tables"检查并保证'allow resource limit'的值设为'1'exec sp_configure "allow resource limit" 已经被保护,保证设为0。
保证系统表'syscomments'exec sp_configure "select on syscomments.text"2.2.2.错误日志配置【目的】设置登陆成功和登陆失败记录。
【具体配置】exec sp_configure "log audit logon failure"exec sp_configure "log audit logon success"2.3. 用户级安全2.3.1.组【目的】数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
【具体配置】列举某数据库的所有组:use DBNameexec sp_helpgroup列举某组内的用户:use DBNameexec sp_helpgroup GroupName2.3.2.角色【目的】检查数据库角色的相关信息【具体配置】检查服务器角色和用户定义的角色:select name, password, pwdate, status from syssrvroles检查每个角色的详细信息:exec sp_displayroles "RoleName", expand_up检查每个用户的详细信息:exec sp_displayroles UserName, expand_down检查角色中空口令用户:select name from syssrvroles where password = NULL2.3.3.用户【目的】检查用户相关信息。
【具体配置】检查某数据库的所有用户:exec sp_helpuser检查散列用户口令:select name, password from syslogins检查特定用户的详细信息:sp_displaylogin UserNameDefault login name:默认登陆名Default database:默认数据库Auto login script:自动登陆脚本Roles assigned :角色分配Whether this account locked:用户锁定状态Last date of password change:最后口令更改日期Password expiration interval:口令有效时间Whether password got expired:口令是否过期Minimum password length :最短口令长度Maximum failed logins:最大登陆尝试次数Current failed login attempts:当前登陆失败尝试次数检查每个数据库的用户权限:use DBNameexec sp_helprotect2.3.4.其它用户安全选项【目的】通过用户安全选项增强数据库安全。
【具体配置】增强sa用户口令删除sa的’sa_role’和’sso_role’角色将’sa_role’赋予DBA用户;将’sso_role’赋予系统安全管理员删除除master和tempdb之外的所有数据库的’guest’用户从组的级别设定对象访问权限2.3.5.口令安全参数【目的】增强口令策略。
【具体配置】检查口令过期时间,建议设置为14天exec sp_configure "password expiration interval"'0' – 密码从不过期'n' – 天数. 检查口令是否至少包含一位数字exec sp_configure "check password for digit"‘1’-强制用户口令中至少包含一个数字检查最小密码长度,建议为8位以上 sexec sp_configure "minimum password length"删除无用的系统帐号,并检查下列系统帐号的口令:用户名缺省口令注释Mon_user mon_user 服务器监视用户sybmail User defined 当安装’Sybase Mail Service’时创建Dba SQL 在Enterprise Portal Express Edition中创建entldbdbo dbopswd Database Access Control创建entldbreader rdrpswd Database Access Control创建jagadmin 空Enterprise Portal Application Server创建PIAdmin PIAdmin Enterprise Portal Application Server创建pkiuser pkipasswd Enterprise PortalPortalAdmin sybase Enterprise Portalpso 123qwe Enterprise Portal2.4. 数据级安全2.4.1.权限【目的】检查关键表、过程、触发器的权限,检查赋予public组权限的对象。
【具体配置】use DBNameexec sp_helprotect ObjectName输出:用户权限列表所有对象的权限类型是否设置WITH GRANT权限2.4.2.存储过程【目的】删除无用的存储过程【具体配置】1、列出数据库中所有扩展存储过程:use sybsystemprocsselect name from sysobjects where type='XP'2、删除扩展存储过程xp_cmdshell,并删除sybsyesp.dllexec sp_dropextendedproc xp_cmdshell如果需要使用xp_cmdshell,则审核其权限分配::use sybsystemprocsexec sp_helprotect “xp_cmdshell”3、检查其它存储过程,如like sendmail, freemail, readmail, deletemail,startmail, stopmail,删除无用的存储过程,并删除mail帐号'sybmail’.2.5. 审计Sybase默认不会安装审计工具,必须在默认安装之外额外安装。
Sybase审计存储过程位于审计工具安装后创建的sybsecurity库里。
检验Sybase是否安装审计工具的方法是检查sybsecurity库是否存在。
Sybase 由此可以产生嵌入的审计机制。
Sybase将会把审计配置的细节和审计跟踪表储存在位于sybsecurity库中的sysaudits_01-sysaudits_08表。
2.5.1.检查审计功能是够打开【具体配置】use masterexec sp_configure "auditing”以下部分仅在审计功能被安装且激活的情况下起作用。