2023年8月1日发(作者:)
postgresql数据库进⾏等保测评(审计)需要修改的参数postgresql数据库进⾏等保测评(审计) 需要修改的参数⽂章⽬录前⾔本周因需要对postgresql数据库 进⾏等保测评 修改了部分参数,记录如下 :(部分数据已做保密处理)⼀、⾝份鉴别1.⾝份标识和鉴别1. 数据库通过账号密码登录?密码长度多少位、复杂度是(⼤写字母、⼩写字母、数字、特殊字符)⼏种组合,通过什么函数或机制实现的,是否强制多久更换⼀次密码(通过技术机制还是管理制度⽅式)解决办法针对这个测评项,postgresql采⽤⽤户名+⼝令的⽅式进⾏⾝份标识和鉴别,⾸先我们需要确认⽤户当前⼝令的组成情况,来判断当前⼝令是否达到等保要求,⼀般要求⼝令由⼤写字母、⼩写字母、数字、特殊字符中的三种组成,且长度8位以上。密码复杂度模块配置:在postgresql数据库中可以通过 模块来实现密码复杂度要求,此模块可以检查密码,如果密码太弱,他会拒绝连接创建⽤户或修改⽤户密码时,强制限制密码的复杂度,限制密码不能重复使⽤修改参数shared_preload_libraries为‘$libdir/passwordcheck’重启服务后⽣效2. 数据库是否配置相应策略:连续尝错⼏次后锁定账户或IP多长时间;登录连接超时多长时间⾃动退出?⽬前pg数据库好像不⽀持此功能(知道的请告知,谢谢)
2.1查询密码到期时间select * from pg_shadow ;–查看valuntil字段通过Navicat管理⼯具这⾥可以直接设置3. 通过什么⽅式或⼯具远程连接数据库来防⽌鉴别信息被窃听;在⽂件下操作把ssl改为offpg_hba⽂件下修改把认证⽅式改为md5加密加密⽅式解释是常⽤的密码认证⽅式,如果你不使⽤ident,最好使⽤md5。密码是以md5形式传送给数据库,较安全,且不需建⽴同名的操作系统⽤户。-----是以明⽂密码传送给数据库,建议不要在⽣产环境中使⽤。-----是只要知道数据库名就不需要密码或ident就能登录,建议不要在⽣产环境中使⽤。md5:--------password:--------trust:--------加密⽅式reject:-----解释是拒绝认证。4. 登录数据库采⽤什么⽅式进⾏⾝份鉴别postgresql采⽤⽤户名+⼝令的⽅式进⾏⾝份标识和鉴别这个可以在Navicat管理⼯具上查看⼆、访问控制1. 数据库分配了⼏个登录账号,不同账号对应的权限是什么,是否实现权限分离这个在Navicat管理⼯具上⾯可以查看2. 是否存在默认账户postgres,若存在默认账户的话是否修改默认⼝令这个没啥可说的 ,修改⼀下密码就⾏3. 数据库都有哪些账户,是否存在多余、过期的账户(如测试账户test),每个实际运维⼈员就有⼀个账户还是所有运维⼈员均使⽤同⼀个账户,这个也是在Navicat管理⼯具上⾯可以查看 ,根据实际回答就⾏三、安全审计1. 数据库是否开启相关审计功能,能对⽤户⾏为和安全事件进⾏审计;在⽂件下操作logging_collector = on2. 审计记录内容包括哪些参数 log_statementlog_statement参数控制记录哪些SQL语句。有效值是none(off),ddl,mod和all(所有语句)。ddl记录所有数据定义语句,例如CREATE,ALTER和DROP语句。mod记录所有ddl语句,以及数据修改语句,如INSERT,UPDATE,DELETE,TRUNCATE和COPY FROM。默认值是none。只有超级⽤户可以更改此设置。总结这是我根据对⽅提供的等保测评对pg数据库做了⼀定的修改,如果有不对的地⽅请指出,谢谢
2023年8月1日发(作者:)
postgresql数据库进⾏等保测评(审计)需要修改的参数postgresql数据库进⾏等保测评(审计) 需要修改的参数⽂章⽬录前⾔本周因需要对postgresql数据库 进⾏等保测评 修改了部分参数,记录如下 :(部分数据已做保密处理)⼀、⾝份鉴别1.⾝份标识和鉴别1. 数据库通过账号密码登录?密码长度多少位、复杂度是(⼤写字母、⼩写字母、数字、特殊字符)⼏种组合,通过什么函数或机制实现的,是否强制多久更换⼀次密码(通过技术机制还是管理制度⽅式)解决办法针对这个测评项,postgresql采⽤⽤户名+⼝令的⽅式进⾏⾝份标识和鉴别,⾸先我们需要确认⽤户当前⼝令的组成情况,来判断当前⼝令是否达到等保要求,⼀般要求⼝令由⼤写字母、⼩写字母、数字、特殊字符中的三种组成,且长度8位以上。密码复杂度模块配置:在postgresql数据库中可以通过 模块来实现密码复杂度要求,此模块可以检查密码,如果密码太弱,他会拒绝连接创建⽤户或修改⽤户密码时,强制限制密码的复杂度,限制密码不能重复使⽤修改参数shared_preload_libraries为‘$libdir/passwordcheck’重启服务后⽣效2. 数据库是否配置相应策略:连续尝错⼏次后锁定账户或IP多长时间;登录连接超时多长时间⾃动退出?⽬前pg数据库好像不⽀持此功能(知道的请告知,谢谢)
2.1查询密码到期时间select * from pg_shadow ;–查看valuntil字段通过Navicat管理⼯具这⾥可以直接设置3. 通过什么⽅式或⼯具远程连接数据库来防⽌鉴别信息被窃听;在⽂件下操作把ssl改为offpg_hba⽂件下修改把认证⽅式改为md5加密加密⽅式解释是常⽤的密码认证⽅式,如果你不使⽤ident,最好使⽤md5。密码是以md5形式传送给数据库,较安全,且不需建⽴同名的操作系统⽤户。-----是以明⽂密码传送给数据库,建议不要在⽣产环境中使⽤。-----是只要知道数据库名就不需要密码或ident就能登录,建议不要在⽣产环境中使⽤。md5:--------password:--------trust:--------加密⽅式reject:-----解释是拒绝认证。4. 登录数据库采⽤什么⽅式进⾏⾝份鉴别postgresql采⽤⽤户名+⼝令的⽅式进⾏⾝份标识和鉴别这个可以在Navicat管理⼯具上查看⼆、访问控制1. 数据库分配了⼏个登录账号,不同账号对应的权限是什么,是否实现权限分离这个在Navicat管理⼯具上⾯可以查看2. 是否存在默认账户postgres,若存在默认账户的话是否修改默认⼝令这个没啥可说的 ,修改⼀下密码就⾏3. 数据库都有哪些账户,是否存在多余、过期的账户(如测试账户test),每个实际运维⼈员就有⼀个账户还是所有运维⼈员均使⽤同⼀个账户,这个也是在Navicat管理⼯具上⾯可以查看 ,根据实际回答就⾏三、安全审计1. 数据库是否开启相关审计功能,能对⽤户⾏为和安全事件进⾏审计;在⽂件下操作logging_collector = on2. 审计记录内容包括哪些参数 log_statementlog_statement参数控制记录哪些SQL语句。有效值是none(off),ddl,mod和all(所有语句)。ddl记录所有数据定义语句,例如CREATE,ALTER和DROP语句。mod记录所有ddl语句,以及数据修改语句,如INSERT,UPDATE,DELETE,TRUNCATE和COPY FROM。默认值是none。只有超级⽤户可以更改此设置。总结这是我根据对⽅提供的等保测评对pg数据库做了⼀定的修改,如果有不对的地⽅请指出,谢谢
发布评论