Debian系统上加固Informix安全可从以下方面入手:
-
密码策略
- 编辑
/etc/pam.d/common-password,添加pam_cracklib.so参数,要求密码包含至少3类字符(大小写字母、数字、特殊符号)。 - 设置最小密码长度为8位,修改
/etc/login.defs中PASS_MIN_LEN=8。 - 启用账户锁定,连续失败6次后锁定,配置
/etc/pam.d/system-auth或/etc/pam.d/password-auth中的pam_tally2.so。 - 记录密码历史,禁止重复使用最近5次密码,配置
pam_unix.so的remember=5。 - 设置密码有效期90天,修改
/etc/login.defs中PASS_MAX_DAYS=90,并使用chage命令更新用户密码。
- 编辑
-
权限与访问控制
- 以非root用户运行Informix服务,限制
$INFORMIXDIR目录权限为750。 - 使用最小权限原则,通过
CREATE ROLE创建受限角色,避免授予DBA权限。 - 配置
sqlhosts文件限制网络接口绑定,启用加密连接(如SSL/TLS)。
- 以非root用户运行Informix服务,限制
-
网络安全
- 使用
iptables或firewalld限制数据库端口(如9088)的访问,仅允许可信IP。 - 禁用SSH默认端口,启用密钥认证,禁止root远程登录。
- 使用
-
审计与日志
- 编辑
$INFORMIXDIR/aaodir/adtcfg,设置ADTMODE=7启用全面审计(记录DBSSO和DBSA活动)。 - 配置
syslog集成,定期轮转和归档审计日志,监控异常行为。
- 编辑
-
系统级加固
- 定期更新操作系统和Informix补丁,禁用不必要的服务和端口。
- 使用
lsattr检查关键文件不可变属性(如i属性),防止未经授权的修改。 - 备份数据时启用加密(如
ontape工具),并异地存储备份文件。
参考来源: