SybaseASE安全“着陆”Linux
作者:try | 来源:互联网 | 2017-11-07 06:23
文章标题:SybaseASE安全“着陆”Linux。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类
在各种操作系统中,这两年的流行色是Linux。越来越多的主流数据库厂商将它们的产品移植到Linux操作系统平台。现在Linux平台上的数据库产品有Oracle for Linux、Sybase ASE for Linux、Informix for Linux等,它们都是自由软件。在这几种产品中,Sybase ASE是一个非常不错的选择。它紧凑的程序分发包里包含了全部的文档、数据库备份、监视等工具,同时它对系统的要求不高。它的安装、配置过程与其它产品相比也显得简单易行。 数据库应用采用客户端/服务器(C/S)架构,服务器端在某一个端口监听网络连接请求。客户端申请连接,输入合法的用户名和相应的口令,进入服务器,然后运行需要的命令。这样,在数据库用户的配置管理方面如果出现安全漏洞,势必会给系统和数据带来非常大的威胁。ASE for Linux在正常安装完成后,数据库超级用户的账号没有设置口令。这样,互联网上每一个知道服务器端口号的用户或者本机上的所有可登录用户,都可以以超级用户身份对数据库随意操作。所以管理员在将数据库连上网络之前,一定要设置好包括超级用户口令和其它账号权限在内的安全防线,否则,上网的数据库将是一个“不设防城市”! 接下来介绍一下ASE for Linux的安装过程和配置,并分析缺省配置下的安全问题以及相应的安全加强措施。 ASE for Linux的应用 首先需要下载ASE for Linux软件包,互联网上可以比较容易找到RPM格式的二进制发行包,包括sybase-ase-11.0.3.3-1.i386.rpm(主程序包)、sybase- doc-11.0.3.3-1.i386.rpm(文件包)。RPM是Redhat公司的软件包管理程序,使用它可以非常方便地安装、卸载程序包,并保持它们之间的依赖关系。 然后,以超级用户的身份键入命令: #rpm -i sybase-ase-11.0.3.3-1.i386.rpm 之后按照提示操作。我们可以sybase登录继续配置,也可以使用 #su - s ybase 改变身份来继续对sybase进行安装。屏幕上将会看到: 1.Release directory:/opt/sybase 2.Edit / View Interfaces File 3.Configure a Server product 4.Configure an Open Client/Server product Ctrl-a Accept and Continue, Ctrl-x Exit Screen, ? Help. Enter the number of your choice and press return: 选择3来配置服务器,在该选项中将会一同配置服务器监听端口。接下来可以配置一个新的SQL服务器。配置备份服务器可以在SQL服务器配置完成后再来。由于是第一次安装,所以选择配置新的服务器。 下面的屏幕提示要求选择服务器的名字,缺省为Sybase。这与Sybase的交互式访问工具isql的缺省服务器名字是一致的。 ADD NEW SQL SERVER SQL Server name:SYBASE 接下来的配置关系到了数据库的具体细节,包括端口号、设备、语言、字符集等。 按照提示继续作下去,依次分别是配置SYBASE系统进程数据库、错误日志、缺省备份服务器、字符集、数据库排序、激活审计等。其中的缺省备份服务器和激活审计配置对于数据库安全较为重要。备份服务器在管理员希望对数据库进行备份时需要。 安全加强措施 按照信任计算机系统评估标准DoD52.00.28-STD,也就是通常所说的桔皮书,Sybase ASE的设计标准为C2级,它提供了四种安全机制,分别是访问控制、认证控制、角色划分、数据库审计。具体说,Sybase数据库系统设定了三种主要角色:系统管理员(sa_role),系统安全员(sso_role),系统操作员(oper_role)。数据库审计系统可以对系统的登录、退出、数据库启动、远程过程调用、角色的变化、对各种对象的访问等操作提供记录和审查。 下面总结以下三种角色的各自主要权利和任务: * sa_role:管理磁盘使用,改变系统各种运行参数,诊断系统出现的各种问题,备份和恢复数据库,对其他用户赋予或者取消sa-role,创建用户数据库并为它们授予合适的属主,建立用户组,等等。 * sso-role:创建登录账号并初始化口令,更改其他所有账号的口令,对其他用户赋予或者取消sso-role以及oper-role,设定口令时限以及管理审计系统等。 * oper-role:备份和恢复各种数据库。 Sybase ASE在安装完成时在系统中创建了用户sa,它同时具有sa-role和ss o-role两种角色。从上面的权限说明中,大家可以看到此时的用户“sa”在服务器中具有无限的权利,相当于一般Unix系统的root,一个没有口令的root! 这样,任何蓄意的联网用户都可以完全控制该SQL服务器。为此,强烈建议管理员在完成下面的安全配置之前切勿将服务器接入网络! 首先,利用Sybase提供的交互式访问工具isql连接服务器。键入以下命令: $/opt/sybase/bin/isql -Usa -P -Smysybase 表示以用户sa、空口令连接服务器mysybase。更改sa的口令。 〉sp_password NULL,"NewPassWd" 〉go 将原来的空口令(NULL)改为当前的“NewPassWd"。这里的口令最少为6个字符长度,可以由任何可打印字符、字母、数字等组成。 角色的划分可以说是Sybase数据库相对于普通Unix系统在安全体制方面的进步。大家知道,拥有无限权利的超级用户一方面是系统的保护者,但是更多的时候是给系统的安全带来了巨大的安全威胁。简单说,超级用户一个低级的误操作就可能毁掉整个服务器。从攻击的角度讲,攻击者只要获得了超级用户的身份就表明他已经彻底攻克了该系统。而对于经过特权分割安全加固的系统来说,攻击者必须将若干个特权用户全部破解,才能够完全控制该系统。可以说超级权利用户的存在是区分C级和B级安全系统的一个重要标志。 建议服务器管理员在设置sa账号的口令以后,通过创建新用户和分别sa的角色并关闭sa进一步加强服务器的安全。Sybase提供了几个相应的命令sp_addlogi n, sp_role等来完成上述操作。 〉sp_addlogin sa_user,“Sa,PassW” 〉sp_addlogin sso_user,“Sso,Pass” 〉sp_role“grant”,sa_role,sa_user 〉sp_role “grant”,sso_role,sso_user 〉sp_locklogin sa,“lock” 上述命令创建了两个用户sa_user、sso_user,并分别设置了口令“Sa,Pass W”、“Sso,Pass”和角色sa_role、sso_role,然后关闭了账号sa。
推荐阅读
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ...
[详细]
蜡笔小新 2023-12-14 14:01:06
本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ...
[详细]
蜡笔小新 2023-12-13 20:24:11
一、Hadoop来历Hadoop的思想来源于Google在做搜索引擎的时候出现一个很大的问题就是这么多网页我如何才能以最快的速度来搜索到,由于这个问题Google发明 ...
[详细]
蜡笔小新 2023-12-14 18:58:01
这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ...
[详细]
蜡笔小新 2023-12-14 16:19:10
本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目,以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数,以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ...
[详细]
蜡笔小新 2023-12-14 14:06:10
本文介绍了在Hibernate配置lazy=false时无法加载数据的问题,通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程,包括运行环境和数据库的配置信息。 ...
[详细]
蜡笔小新 2023-12-14 13:59:45
本文介绍了adg架构设置在企业数据治理中的应用。随着信息技术的发展,企业IT系统的快速发展使得数据成为企业业务增长的新动力,但同时也带来了数据冗余、数据难发现、效率低下、资源消耗等问题。本文讨论了企业面临的几类尖锐问题,并提出了解决方案,包括确保库表结构与系统测试版本一致、避免数据冗余、快速定位问题等。此外,本文还探讨了adg架构在大版本升级、上云服务和微服务治理方面的应用。通过本文的介绍,读者可以了解到adg架构设置的重要性及其在企业数据治理中的应用。 ...
[详细]
蜡笔小新 2023-12-14 13:05:22
VNCViewerforMac是一款运行在Mac平台上的远程桌面工具,vncviewermac版可以帮助您使用Mac的键盘和鼠标来控制远程计算机,操作简 ...
[详细]
蜡笔小新 2023-12-14 12:55:15
本文详细介绍了云服务器API接口的概念和作用,以及如何使用API接口管理云上资源和开发应用程序。通过创建实例API、调整实例配置API、关闭实例API和退还实例API等功能,可以实现云服务器的创建、配置修改和销毁等操作。对于想要学习云服务器API接口的人来说,本文提供了详细的入门指南和使用方法。如果想进一步了解相关知识或阅读更多相关文章,请关注编程笔记行业资讯频道。 ...
[详细]
蜡笔小新 2023-12-14 12:43:39
一、GAN原理介绍学习GAN的第一篇论文当然由是IanGoodfellow于2014年发表的GenerativeAdversarialNetworks(论文下载链接arxiv:[h ...
[详细]
蜡笔小新 2023-12-14 11:39:45
本文是一位在技术公司工作十年的职场人士对自己职业生涯的总结回顾。她的职业规划与众不同,令人深思又有趣。其中涉及到的内容有机器学习、创新创业以及引用了女性主义者在TED演讲中的部分讲义。文章表达了对职业生涯的愿望和希望,认为人类有能力不断改善自己。 ...
[详细]
蜡笔小新 2023-12-14 11:31:05
本文介绍了Hyperledger Fabric外部链码构建与运行的相关知识,包括在Hyperledger Fabric 2.0版本之前链码构建和运行的困难性,外部构建模式的实现原理以及外部构建和运行API的使用方法。通过本文的介绍,读者可以了解到如何利用外部构建和运行的方式来实现链码的构建和运行,并且不再受限于特定的语言和部署环境。 ...
[详细]
蜡笔小新 2023-12-13 21:47:39
本文主要介绍了Java中String和StringBuffer的区别,String是不可变的,而StringBuffer是可变的。StringBuffer在进行字符串处理时不生成新的对象,内存使用上要优于String类。因此,在需要频繁对字符串进行修改的情况下,使用StringBuffer更加适合。同时,文章还介绍了String和StringBuffer的应用场景。 ...
[详细]
蜡笔小新 2023-12-13 19:21:06
本文对MyBatis的错题进行了分析和解析,同时介绍了使用MyBatis时需要注意的一些事项,如resultMap的使用、SqlSession和SqlSessionFactory的获取方式、动态SQL中的else元素和when元素的使用、resource属性和url属性的配置方式、typeAliases的使用方法等。同时还指出了在属性名与查询字段名不一致时需要使用resultMap进行结果映射,而不能使用resultType。 ...
[详细]
蜡笔小新 2023-12-13 18:40:17