Ubuntu Informix安全设置方法

Ubuntu 上 IBM Informix 的安全加固清单

以下清单面向在 Ubuntu 上运行的 IBM Informix，覆盖身份鉴别、访问控制、加密、审计、网络与系统加固等关键环节，可直接对照实施。

一 身份鉴别与账户安全

• 创建专用系统账户与组，最小化权限运行数据库服务，禁止共享账号与 root 直跑实例。
  • 示例：groupadd informix；useradd -g informix -d /opt/informix -m informix；chmod 755 /opt/informix。
• 启用强口令策略（Ubuntu 使用 PAM）：
  • 复杂度：在 /etc/pam.d/common-password 的 pam_cracklib 行追加 ucredit/lcredit/dcredit/ocredit 至少选 3 类（如 ucredit=-1, lcredit=-1, dcredit=-1），强制包含大小写字母、数字与特殊字符。
  • 最小长度：在 /etc/login.defs 设置 PASS_MIN_LEN 8。
  • 锁定策略：在 /etc/pam.d/common-auth 配置 pam_tally2.so，建议 deny=6、unlock_time=300（可按需调整）。
  • 口令历史：在 /etc/pam.d/common-password 的 pam_unix.so 行添加 remember=5，禁止复用最近 5 次口令。
  • 口令生存期：在 /etc/login.defs 设置 PASS_MAX_DAYS 90，并对存量用户执行 chage --maxdays 90 。
• 仅允许 informix 用户及必要维护账号访问数据库相关目录与文件，避免其他系统账号介入。

二 数据库与文件权限

• 数据目录与空间文件：如 /dbs/rootdbs、/dbs/datadbs1 等，属主与属组设为 informix:informix，权限 660；父目录 /dbs 建议 755，避免其他用户列目录与写入。
• 软件与配置目录：如 $INFORMIXDIR（常见为 /opt/informix）建议 755；配置文件（如 $INFORMIXDIR/etc/onconfig）建议 600/640，仅 informix 可读写。
• 审计日志目录：在 $INFORMIXDIR/aaodir/adtcfg 中检查 ADTPATH，审计文件权限建议 660，仅 informix 与审计管理员可访问。

三 审计与日志

• 启用内置审计（AAO）：编辑 $INFORMIXDIR/aaodir/adtcfg，设置 ADTMODE=7（同时写入 Informix 审计记录并自动审计 DBSSO/DBSA 活动），并确认 ADTPATH 指向安全目录。
• 审计日志保护：确保审计文件权限 660，定期归档与清理，防止被篡改或删除。
• 系统侧日志：开启并监控 syslog/auditd，对关键操作（登录、权限变更、DDL）进行集中采集与留存，满足合规与取证需要。

四 加密与网络安全

• 传输加密（客户端/服务器与复制链路）：
  • 客户端/应用连接：启用 CSM 客户端/服务器加密，配置 ENCRYPT_CIPHERS、ENCRYPT_MAC、ENCRYPT_MACFILE、ENCRYPT_SWITCH 等参数，确保通信链路机密性与完整性。
  • HDR 复制：配置 ENCRYPT_HDR 并在主备端保持加密参数一致；若使用可更新辅助服务器，启用 ENCRYPT_SMX 以加密从辅助到主服务器的流量。
• 存储加密与传输层安全：
  • 对静态数据可采用 LUKS 等文件系统级加密保护磁盘/分区；对敏感数据或合规场景，评估 TDE（透明数据加密）能力。
  • 在应用与网关侧启用 TLS/SSL 保护客户端与数据库之间的传输通道，避免明文传输。

五 系统与服务加固

• 最小暴露面：仅开放必要端口（如 Informix 监听端口），使用 ufw/iptables 限制来源 IP；变更默认端口并仅在内网可达范围暴露。
• 服务与进程隔离：以 informix 用户运行实例，禁用不必要的 SUID/SGID 与自启动服务；通过 AppArmor/SELinux 对 informix 二进制与目录进行最小权限约束。
• 安全维护：保持 Ubuntu 与 Informix 补丁为最新，定期核查安全公告与 CVE；对备份介质与离线副本实施同等强度的访问控制与加密。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！