等保测评数据库安全相关检查

本次是GaussDB V3R1版本的相关检查项

参考链接

https://3ms.huawei.com/km/blogs/details/22293765

一、用户相关

1、查询实例下所有用户信息

select * from adm_users;

2、登录超时退出

数据库版本1.9.1及以上

show parameter IDLE_TIMEOUT show parameter INTERACTIVE_TIMEOUT

IDLE_TIMEOUT : 连接会话的超时时长。连接到数据库但在超时时长内没有进行任何操作，该会话将会被关闭。默认值0，连接不关闭。
INTERACTIVE_TIMEOUT：ZSQL连接会话的超时时长。当一个ZSQL会话在超时时长内没有任何操作时，该会话将被关闭。默认值1800，单位：秒。

数据库版本1.9.1以下

show parameter UNAUTH_SESSION_EXPIRE_TIME show parameter INTERACTIVE_TIMEOUT

UNAUTH_SESSION_EXPIRE_TIME：非鉴权会话老化时间。连接需CONNECT、AUTH-INIT、LOGIN三步，非鉴权指没经过login步骤的会话。
UNAUTH_SESSION_EXPIRE_TIME指客户端TCP建立完，指定时间不鉴权，服务端强制断开连接。
INTERACTIVE_TIMEOUT：ZSQL连接会话的超时时长。当一个ZSQL会话在超时时长内没有任何操作时，该会话将被关闭。默认值1800，单位：秒。

3、登录失败处理策略

3.1、登录失败次数限制

用户密码错误的最大尝试登录次数，超过该次数时，用户将会被锁定。

select * from adm_profiles where RESOURCE_NAME='FAILED_LOGIN_ATTEMPTS';

3.2、登录失败用户锁定限制

select * from adm_profiles where RESOURCE_NAME='PASSWORD_LOCK_TIME';

用户密码登录错误次数超过 3.1中 FAILED_LOGIN_ATTEMPTS 时，用户被锁定的天数。

4、用户有效期

select * from adm_profiles where RESOURCE_NAME='PASSWORD_LIFE_TIME';

5、密码复杂度策略

密码长度最小值

select * from adm_profiles where RESOURCE_NAME='PASSWORD_MIN_LEN';

Gauss100 OLTP设置了完善的密码安全策略，保证数据安全。对用户密码要求：如密码只能包含数字、大写字母、小写字母、空格或特殊字符中至少3种，密码不能与用户名或用户名倒序相同等。
有关密码复杂度详情可查看 数据库版本对应产品文档中 “”管理者指南”章节下“安全维护”->“数据库安全维护”->“设置密码安全策略”小节内容。

6、密码重用

select * from adm_profiles where RESOURCE_NAME in ('PASSWORD_REUSE_MAX','PASSWORD_REUSE_TIME') order by 1;

PASSWORD_REUSE_MAX : 当前密码被重用之前密码需要改变的次数
PASSWORD_REUSE_TIME :当前密码不能重用前的天数。
当PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME均为unlimited，密码可以随意重用，无任何限制。
当PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME均为指定值，必须满足这两个条件才可重用密码。
当PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME两个有其中一个不为unlimited，密码永远不能重用。

7、用户权限

select * from adm_sys_privs where grantee='USERNAME'; select * from adm_role_privs where grantee='USERNAME'; select * from adm_tab_privs where grantee='USERNAME';

8、数据库用户密码的加密算法

SHOW PARAMETER _ENCRYPTION_ALG

二、数据库连接

1、SSL策略

--数据库版本 1.9.1及以上 select version from dv_session_ssl; --数据库版本 1.9.1以下 select PIPE_TYPE from dv_sessions;

2、限制连接数据库IP范围

登录数据库查询已配置的用户白名单 select * from dv_hba; 登录数据库查看已配置的IP黑白名单 SELECT VALUE FROM DV_PARAMETERS WHERE NAME = 'TCP_INVITED_NODES'; SELECT VALUE FROM DV_PARAMETERS WHERE NAME = 'TCP_EXCLUDED_NODES'; 检查是否已开启IP黑白名单检测 SELECT NAME, RUNTIME_VALUE, VALUE FROM DV_PARAMETERS WHERE NAME = 'TCP_VALID_NODE_CHECKING';

3、本地免密sysdba登录

SHOW PARAMETER ENABLE_SYSDBA_LOGIN

4、sys用户远程登录

SHOW PARAMETER ENABLE_SYS_REMOTE_LOGIN

三、数据库

1、数据库版本

select version();

2、数据库审计

SHOW PARAMETER AUDIT_LEVEL

AUDIT_LEVEL=0表示关闭审计日志，AUDIT_LEVEL>0表示开启审计日志。
AUDIT_LEVEL不同值表示不同审计级别。默认值3，审计用户登录，注销以及DDL和DCL操作。

3、数据库日志

show parameter log_home

查看数据库日志所在目录
该目录下audit文件夹下存放的是审计日志文件，run文件夹下存放数据库运行日志文件。