Debian系统上加固Informix安全可从以下方面入手：

1. 密码策略

   • 编辑/etc/pam.d/common-password，添加pam_cracklib.so参数，要求密码包含至少3类字符（大小写字母、数字、特殊符号）。
   • 设置最小密码长度为8位，修改/etc/login.defs中PASS_MIN_LEN=8。
   • 启用账户锁定，连续失败6次后锁定，配置/etc/pam.d/system-auth或/etc/pam.d/password-auth中的pam_tally2.so。
   • 记录密码历史，禁止重复使用最近5次密码，配置pam_unix.so的remember=5。
   • 设置密码有效期90天，修改/etc/login.defs中PASS_MAX_DAYS=90，并使用chage命令更新用户密码。

2. 权限与访问控制

   • 以非root用户运行Informix服务，限制$INFORMIXDIR目录权限为750。
   • 使用最小权限原则，通过CREATE ROLE创建受限角色，避免授予DBA权限。
   • 配置sqlhosts文件限制网络接口绑定，启用加密连接（如SSL/TLS）。

3. 网络安全

   • 使用iptables或firewalld限制数据库端口（如9088）的访问，仅允许可信IP。
   • 禁用SSH默认端口，启用密钥认证，禁止root远程登录。

4. 审计与日志

   • 编辑$INFORMIXDIR/aaodir/adtcfg，设置ADTMODE=7启用全面审计（记录DBSSO和DBSA活动）。
   • 配置syslog集成，定期轮转和归档审计日志，监控异常行为。

5. 系统级加固

   • 定期更新操作系统和Informix补丁，禁用不必要的服务和端口。
   • 使用lsattr检查关键文件不可变属性（如i属性），防止未经授权的修改。
   • 备份数据时启用加密（如ontape工具），并异地存储备份文件。

参考来源：