Skip to main content

身份鉴别

测评项:a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

1)应核查用户在登录时是否采用了身份鉴别措施;

使用DM管理工具进行登录时提供了四种身份验证方式,四种身份鉴别方式均需要提供登录口令,如图:

image.png

2)应核查用户列表确认用户身份标识是否具有唯一性;

无法创建同名账户,一般默认符合;

SELECT USERNAME FROM DBA_USERS;

image.png

3)应核查用户配置信息或测试验证是否不存在空口令用户;

注意:使用SYSDBA查看用户表发现所有账户password字段均为NULL,通过网上查询似乎是数据库为了安全性隐藏了这些信息。在配置向导中可以配置SYSDBA用户口令为空(但是仅能通过DIsql.exe空口令登录),使用SYSDBA创建其他普通账户时强制要求了口令,其他管理账户默认均有口令,建议手动测试账户是否配置了登录口令。

查看用户以及口令信息:

SELECT USERNAME, PASSWORD FROM DBA_USERS;

image.png

image.png

4)应核查用户鉴别信息是否具有复杂度要求并定期更换。

口令策略:除了在创建用户语句中指定该用户的口令策略,DM 的 INI 参数 PWD_POLICY 可以指定系统的默认口令策略,缺省值为 ≥2。

SELECT * FROM V$PARAMETER WHERE NAME= 'PWD_POLICY';

image.png

PWD_POLICY的数值策略含义(位掩码组合)

数值 策略含义(位掩码组合) 说明
0 无策略(不启用密码策略) 密码无复杂度、有效期等限制
1 密码长度 ≥8 位 仅限制长度
2 密码含大写、小写、数字、标点 至少三类 强制复杂度
4 启用密码有效期(需结合 PWD_MAX_LIFE_TIME 密码到期需修改
8 密码 禁止与用户名相同 防弱密码
16 登录失败锁定(需结合 PWD_LOCK_TIME 防暴力破解
32 密码重用限制(需结合 PWD_HISTORY 禁止重复使用历史密码

使用自带的DM 控制台工具查看(开发版没查出来):

image.png

登录超时:使用自带的DM管理工具,SYSDBA登录后查看用户,点击用户属性,在DLL中查看口令有效期“password_life_time”的值(密码有效期30天)。

注意:修改系统参数需要 SYSDBA 或 PUBLIC 角色的 ALTER SYSTEM 权限。若当前用户权限不足,会提示参数错误

image.png

测评项:b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连 接超时自动退出等相关措施。

1)应核查是否配晋并启用了登录失败处理功能;

SELECT 
    so.NAME AS "达梦数据库用户名",--列名都需要查表,so 是 SYSOBJECTS 表的别名(通过 JOIN SYSOBJECTS so 指定)。
    su.FAILED_NUM AS "失败次数限制",--su 是 SYSUSERS 表的别名(通过 FROM SYSUSERS su 指定)。
    su.FAILED_ATTEMPS AS "失败尝试次数",
    su.LOCK_TIME AS "锁定时间(min)"
FROM SYSUSERS su
JOIN SYSOBJECTS so ON su.ID = so.ID
WHERE so.SUBTYPE$ = 'USER';--这个subtype字段需要查表

参数解释:

PASSWORD_LOCK_TIME:锁定账户的时间,默认值为1,系统预设管理员用户默认无限制。

FAILED_LOGIN_ATTEMPTS:允许的失败登录尝试次数,默认值为3,系统预设管理员用户默认无限制。

image.png

2)应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;

同上第一小点

3)应核查是否配置并启用了登录连接超时及自动退出功能;

参数解释:

CONNECT_TIME:会话连接的总时长限制,默认无限制。

CONNECT_IDLE_TIME:会话空闲状态的时长限制,默认无限制。

登录超时命令行查询:

SELECT PROFILE, RESOURCE_NAME, LIMIT 
FROM DBA_PROFILES 
WHERE RESOURCE_NAME IN ('CONNECT_TIME', 'CONNECT_IDLE_TIME');

image.png

如果上述命令查询失败,可使用如下两条命令替换:                                                                                                                      ---- 查看连接存活超时(死连接检测)配置
SELECT * FROM V$PARAMETER WHERE NAME = 'SQLNET_EXPIRE_TIME';

-- 查看会话空闲超时(自动退出)配置
SELECT * FROM V$PARAMETER WHERE NAME = 'IDLE_TIME';

测评项:c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

DM 提供两种通信加密方式:一基于传输层的 SSL 协议加密;二基于应用层的消息包加密。当未采用通信加密时,为了提高安全性,数据库系统自动对登录消息中的用户名密码使用内部算法进行了简单的加解密操作。

详情查阅:https://eco.dameng.com/document/dm/zh-cn/pm/communication-encryption.html

测评项:d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

通过访谈以及验证,确认是否采用了其他的身份鉴别技术。

No comments to display

Back to top