指挥调度平台系统安全性加固~等保测评
smarteye 系统等保加固参考
一、密码策略
1、输入vi /etc/pam.d/system-auth
2、找到同时有 “password” 和 “pam_cracklib.so” 字段, 改为
password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
注释:
# retry 允许重试 3 次
# difok=N:新密码必需与旧密码不同的位数 difok=3 新密码必须与旧密码有 3 位不同
# minlen 最小位数
# ucredit 大写字母位数# lcredit 小写字母位数
# dcredit=N: N >= 0:密码中最多有多少个数字;N < 0 密码中最少有多少个数字. dcredit=-1 密码中最少有 1 个数字
# ocredit=N:特殊字母的个数
ocredit=-1 密码中至少有 1 个特殊字符
# 它表示密码必须至少包含一个大写字母(ucredit),一个小写字母
(lcredit),一个数字(dcredit)和一个标点符号(ocredit)。
密码有效期设置:
Vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_LEN 8
PASS_WARN_AGE 30
注:
PASS_MAX_DAYS--新建用户密码有效期,默认 99999 表示永不过期PASS_MIN_DAYS--新建用户密码可修改的最短日期,默认为 0,表示随时可以修改
PASS_MIN_LEN--新建用户密码最短长度PASS_WARN_AGE--密码过期前开始警告的天数
二、登录失败处理
编辑系统/etc/pam.d/system-auth 文件,在 auth 字段所在的那一部分策 略下面添加如下策略参数:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
注意添加的位置,要写在第一行,即#%PAM-1.0 的下面。
以上策略表示:普通帐户和 root 的帐户登录连续 5 次失败,就统一锁定 300 秒,300 秒后可以解锁。如果不想限制 root 帐户,可以把even_deny_root root_unlock_time
这两个参数去掉, root_unlock_time 表示 root 帐户的 锁定时间注释
deny: 登 录 失 败 次 数 unlock_time:锁定时间,秒even_deny_root:表示适用root 用户onerr=fail 表示连续失败
三、登录超时自动退出
vim /etc/profile
export TMOUT=900 # 设置闲置时间为 15 分钟,单位为秒;如果没有此行则直接添加进去
注释:重启后生效
四、敏感数据清除保护
vim /etc/profile
将HISTSIZE=1000 改成 0 或 1
五、日志发送到日志审计设备
vim /etc/rsyslog.conf
*.* @@172.20.10.245:514
在配置文件末尾插入一行,添加以上内容(172.20.10.245 为远程rsyslog 服务ip,需联系网络管理部门明确地址),:wq 保存退出
重启rsyslog 服务
systemctl restart rsyslog.service
六、登录地址限制
1. 修改hosts.allow 主机允许配置文件,添加允许地址vim /etc/hosts.allow
sshd:192.168.2.130:allow //添加只允许连接的 IP 地址
sshd:192.168.3.0/24:allow //允许 3.0/24 这个网段内的 IP 连接
2. 修改hosts.deny 主机拒绝配置文件
sshd:ALL //这里的ALL 表示除了上面文件中允许的,其他的IP 地址都拒绝
同时设置上述两个文件时,hosts.allow 文件中规则的优先级更高,参考上述两个文件进行设置时,服务器只允许 192.168.2.130 这个 IP 地址以及 192.168.3.0/24 这个 IP 地址段通过 SSH 进行登录,其他的 IP 都会被拒绝SSH 登录。
3. 重启ssh 服务systemctl restart sshd
七、设置用户权限分离
审计账号只用于审计功能,其权限可在普通账号基础上进行修改1) 创建审计账号 shenji
[root@localhost ~]# useradd shenji [root@localhost ~]# passwd shenji
2) 修改审计账号权限使其只具有查看功能
修改/etc/sudoers 文件,为审计用户添加查看的权限,添加内容如下:
shenji ALL = (root): /usr/bin/cat , /usr/bin/less , /usr/bin/more ,
/usr/bin/tail , /usr/bin/head
至此,审计账号的权限便设置完成了,此时的审计账号只有查看的
注释:
用户管理
添 加 useradd
# 创建用户xitong
useradd xitong;
# 创建用户xitong,加入附加组 wuhd
useradd -G wuhd xitong;
# 创建用户xitong,指定登录目录/www,不创建宿主目录/home/test
useradd -d /www -M xitong; 八、关闭Telnet
(1) 关闭telnet 服务
a)vi /etc/xinetd.d/telnet,将 disable=no 改成 disable=yes;
b)chkconfig telnet off;如果需要设置telnet 服务不为开机自启动,使用命令 chkconfig -del telnet 或者chkconfig --del telnet
(2) 使用命令server xinetd restart 或者/etc/init.d/xinetd restart 使更改生效。
Windows 服务器加固参考
密码策略
步骤:[控制面板]->[管理工具]->[本地安全策略]->[账户策略]->[密码策略]
1、密码必须符合复杂性要求
2、密码长度最小值
3、密码最短使用期限 ——启用
——8(位)
——无需更改
4、密码最长使用期限 ——90(天)
5、强制密码历史 ——无需更改
6、用可还原的加密存储密码 ——禁用
登录失败处理
步骤:[控制面板]->[管理工具]->[本地安全策略]->[账户策略]-> [账户锁定策略]
1、帐户锁定阈值 ——5(次数)
2、帐户锁定时间 ——5(分钟)
3、重置帐户锁定计数器 ——5(分钟)
登录超时自动退出
步骤:右键点击桌面找到屏幕保护程序
1、屏幕保护的样式 ——不可设置为无,任选
2、勾选在恢复时显示登录屏幕
3、时间设置为 15 分钟
日志审计
步骤:[控制面板]->[管理工具]->[本地安全策略]->[本地策略]->[审核策略]
1、将全部策略设置为成功、失败
2、安全日志审计插件将日志发送到日志审计设备(联系网络管理部门)
剩余信息清除保护
步骤: [控制面板]->[管理工具]->[本地安全策略]->[本地策略]->[安全选项]
1、交互式登录:不显示上次登录用户名 ——启用
2、关机:清除虚拟内存页面文件 ——启用
关闭默认共享
方法 1:如果你不在局域网使用共享服务,干脆将“本地连接”属性中的“网络的文件和打印机共享”卸载掉,默认共享就可以彻底被关闭了
方法 2:
批处理自启动法
打开记事本,输入一下内容(记得每行最后要回车):
代码如下:
net share c$ /delete
net share d$/delete
net share ipc$/delete
net share admin$/delete
保存为 share.bat(注意后缀),然后把这个批处理文件拖到“程序”
-->“启动”项,这样每次开机就会运行它,也就是通过 net 命令关闭共享。
注:如果没有把批处理文件放到“启动”下,通过 cmd 页面删除的共享,重启电脑后将自动恢复。
方法 3:注册表改键值法
首先从注册表里永久禁止打开默认共享:
如果要禁止 C$、D$、E$一类的共享,可以单击“开始运行”命令, 在运行窗口键入“Regedit”后回车,打开注册表编辑器。依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lan manserver\parameters ] 分 支 , 将 右 侧 窗 口 中 的 DOWRD 值“AutoShareServer”设置为“0”即可。
如果要禁止 ADMIN$共享,可以在同样的分支下,将右侧窗口中的DOWRD 值“AutoShareWKs” 设置为“0”即可。
如果要禁止 IPC$ 共享,可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] 分支,将右侧窗口中的 DOWRD 值“restrictanonymous”设置值为“1” 即可。
权限分离
如果默认没有组, 可以根
官网信息自己
上需要的组
配置 RDP 加密
首先在键盘上按下 win+R 的 合键,在弹出来的运行窗口里输入
gpedit.msc,打开组策略管理器,在组 略中点击管理模板,然后在
右边在找到windows 组件。双击 windows 组件。在 windows 组件 的选项比较多,需要点击右边的滚动条往下拉,一直到最下面找到 程
桌面服务。如下面图中所示,双击远程桌面服 。
双击打开设置客户端加密级别,如下面图中所示,可以看到默认是未配置,然后加密级别是未配置的灰色选项,点击已启用按钮,启用这个配置,然后点击下面的加密级别,将它改为高级别,确认无误后, 点击右下角的确定保存配置,就可以将RDP 的加密级别设置为高级了。
登录地址限制
wi +r 打开运行
输入 gpedit.msc 打开组策
依次选择
右键空白处选择创建 IP 安全策略
点击下一步
输入名称, 点击下一步
不需要勾选点击下一步
激活 认响应规则(仅限于 Windows 的早期版本),
默认选择编辑属性,点击完成
弹出的窗口取消选择“使用添加向导” , 点击添
弹出的窗口取消选择“使用添加向导” , 点击添 (名称可自拟)
源地址选择“任何 IP 地址” ,目的地址选择“我的 IP 地址” , 取消勾选镜像。点击上方协议。
协议选择 TCP, 从任意端就写多少),点击确认。
到此端口 63389(远程端口是多少
在此处再次点击确定
在新规则
属性窗
点击筛选器操作,取消勾选“ 使用添加向
导”,点击添加
安全方法选择阻止,点击确定
勾选新筛选器操作,点击应用
切换到 IP 筛选器列表标签页,勾选新建的筛选器列表,单击 确定。
下面是放通部分 IP 的过程点击右键-属性
点击添加
源地址选择“一个特定的 IP 地址或子网“ IP 地址处填入公网
地址或者地址段,目标地址选择“ 的 IP 地址”取消勾选“ 镜
像",然后点击上方 "协议"。
协议选择 TCP,从任意端口,到此端口( 填入远程端口),点击确定
在新规则属性处点击添加
勾选"许可 ,点击应用
点击"IP 筛选器列 ",勾选新建的 IP 筛选,点击" 用",确定
点击右键-分配, 随后策略已指派栏变为是。
Mysql 数据库整改
密码策略
目标密码策略
目标密码策略:至少一个大写、至少一个小写、至少一
数字、 少
一个字符、长度至少 9 位、60 天密码 期。
我的版本号: 5.7.21
一、至少一个大写、至少一个小写、长度至少 9 位
少一个数字、至少一个字符、
1. 看当前配置
show variabl s like 'validate_password%';
查了下,我的mysql 没密码验证插件
有这个插件的应该是下面这样
直接在 my.cnf 配置文件中修改了密码策略,系统就默认为我们 装
密码插件, 件的。
然在刚开始的时候我们的数据库是默认没有安装密 插
2. 看现有插件
查看插件的路径 show variab es like 'plugin_dir';
有我需要的“validate_password.so”这个插件
3. 加插件
修改my.cnf
# 件库的文件名是 validate_password.文件名后缀根据平台的不 而
不同(例如,linux 是.so 对于 indows 是.dll)。
li ux 添加:
重启后查询show variables like 'validate_
assword
' 结果如下图。
4. 码策略详细配置
密码策略变量含义:
validate_password.policy:密码策略,检查用户的密码。
0:(Low)密码长度最少8 个字符
1:(Mediumpolicy)至少包含 1 个数字,1 个小写字母,1 个大写字母和 1 个特殊字符组成(默认值)
2:(Strongpolicy)长度为 4 或更长的密码子字符串不得与字典文件中的单词匹配
validate_password.length:需要密码最小字符数,默认为 8
validate_password.number_count:需要密码的最小数字字符数,默认为 1
validate_password.mixed_case_count:需要密码的小写和大写的最小字符数,默认为 1
validate_password.special_char_count:需要密码的特殊字符的最小字符数,默认为 1
validate_password.dictionary_file:用于检查密码的字典文件的路径名, 默认没有
下面是我的配置:
1 个数字,1 个小写字母,1 个大写字母和 1 个特殊字符组成, 少
9 。
5. 略成果测试
二、设置 180 天密码过期
sel ct * from mysql.user;
N 为不过期,Y 为过期。默认为N 不过期。
将密码设
为过期的语句为: alter
user ‘ 用户名’@‘host’
password expire; 如 :
alter user 'ro 这时候输入
t'@'local
ost' pass
ord expire;
sel ct * from mysql.user;
查看 root 的 password_expired 字段已经变为 Y,再重新登录时会 现
已经连接不上,提示密码过期。解决办法是修 登录密码就可以。
查看网上的说法,可以修改过期的天数(多少天过期),以天为单位, 如:
ALTER USER 'root'@'localhost' PASSWORD EXPIRE INTERVAL 180 DAY;
或者修改密码永不过期,如:
ALTER USER 'root'@'localhost' PASSWORD EXPIRE NEVER;
或这种方式修改密码不过期:
SET GLOBAL default_password_lifetime = 0; 我这里执行:
ALTER USER 'root'@'%' PASSWORD EXPIRE INTERVAL 180 DAY;
(图中为 60 天过期) 执行结果:
三、整体变更方案
分享下最后的变更 案
#----------------
目标密码策略#----------------
至少一个大写、至少一个小写、至少一个数字、至少一 字符、 度至少 9 位、60 天密码过期。
#----------------
修改root 密码过期时间,不需重启#----------------
主从分别如下步骤执行: 1.更改过期时间
ALTER USER 'root'@'%' PASSWORD EXPIRE INTERVAL 60 DAY;
2. 查看执行结果,password_lifetime 为 60 select * from mysql.user;
#----------------
至少一个大写、至少一个小写、至少一个数字、至少一个字符、长度 至少 9 位,需重启数据库
#----------------
0.
数据库启动顺序
停应用 ->停数据库(先备后主) ->改配置 -> 启数据库(先主后备)
-> 启应用https://blog.csdn.net/qq_41466440/article/details/125104962
1.
停应用
2.
关闭MySQL 从库
a.先查看当前的主从同步状态show slave statusG;看是否双yes b.执行stop slave
c. 停止从库服务mysqladmin shutdown -u 用户名 -p 密码 (service mysqld stop)
d. 查看是否还有mysql 的进程ps -ef | grep mysql d.如果部署了多个实例,那每个实例都要按照以上步骤来操作
3.
关闭MySQL 主库
a. 停止主库服务mysqladmin shutdown -u 用户名 -p 密码 (service mysqld stop)
b. 查看是否还有mysql 的进程ps -ef | grep mysql
4.
编辑配置文件vim /etc/my.cnf 添 加 : [mysqld]
plugin-load-add=validate_password.so
#服务器在启动时加载插件,并防止在服务器运行时删除插件。validate-password=FORCE_PLUS_PERMANENT
#密码策略validate_password_policy=1 validate_password_length=9
5.
启动MySQL 主库
a. 启动主库服务 mysqladmin start -u 用户名 -p 密码 (service mysqld start)
b. 查看mysql 的进程ps -ef | grep mysql
6.
启动MySQL 从库
a. 启动从库服务 mysqladmin start -u 用户名 -p 密码 (service mysqld start)
b. 启动复制start slave;
c. 检查同步状态show slave statusG;是否双yes
d. 查看mysql 的进程ps -ef | grep mysql
7.
查看插件及策略是否添加成功
登录失败处理
设置mysql 失败处理
1、进入 my q
2、安装插件(windows 中为connection_control.so ")
" connection_control.dll ",
liunx 中 为 "
3、查看是否安装成
以上是插件默认参数,我们可以根据需求自己 改参数
查看参数
卸载该插件的命令
登录地址限制
注:未开启远程管理则此项无需修改一、设置 root 用户远程连接的IP 限制
新搭建好的MySQL 是没有开启远程连接的,开启 MySQL 服务, 本机连接试一下,发现现在能 ping 通连不上
设置用户远程连接只要修改 mysql 库中 user 表 host 列就可以, 认
值为localhost 就是禁止的,可以直接将 localhost 修改为 ,相当 开
放所有 IP 程访问,但肯定没有人这么做因为数据库非常重要,所
以可以将 localhost 修改为指定的 IP 访问。
修改的命令是
先改成开放所有 IP 一下
现在这样的话同局域网内的所有终端都可以访样很不安全,所以可以设置成指定的 IP
我的数据库了, 这
这样就只有名单内的用户可以远程访问了
如果想要添加多个远程用户的话可以使用一下 令,添加多条策略
删除策略:delete from user w
ere host='172.16.1
.1';
然后试一下,当我的 IP 不在列表里面时可以是不是可以连接数据库
权限分离
mysql 分配 理员权限的账号
注:新建用户 shenji,为其赋予查询权限,新建用户 anquan,为 赋予修改权限
(1) mysql 用 管理
a)r
ot 是 mysql 默 认
用户(超级管理员),才有权限去创建其他 mysql
用户
b) ysql 用户信息是存储在mysql 库中 user 表中
如何创建 mysql 用户
create user 户名@服务器名称 identified by '密码';
create user xiaoming@localhost identified by '123';
修改密码(root 或者当前登录用户都可以修改密码)
set password for 用户名@服务器名称 = password('新密码');
set password for xiaoming@localhost = password('12345');
删除用户(在root 账户下)
drop user 用户名@服务器名称
drop user xiaoming@localhost;
用户权限(在root 账户下)
//赋予权限
grant 权限列表 on 对象列表 to 用户列表;
权限列表:
(1)All:所有权限(增删改查)
(2) Create 创建权限
(3) drop 删除权限
(4) alter 修改权限
(5) select 查询权限
(6) insert 数据的添加权限
(7)update
(8)delete
对象列表(数据库或数据表)
*.* //第一个*是数据库,第二个*是数据表
数据库名称.* //数据库中的所有表
数据库名称.表名 //一个数据中的某个表
grant All on *.* to xiaoming@localhost;
grant All on demo.* to xiaoming@localhost;
收回权限(在root 账户下)
revoke 权限列表 on 对象列表 from 用户列表;
revoke All on *.* from xiaoming@localhost;
revoke All on demo.* from xiaoming@localhost;
开启日志功能
MySQL 日志类型
功能 general log 开启
1. 方式一:更改my.cnf 配置文件添加以下:
grep general_log /etc/my.cnf general_log = 1
general_log_file = /tmp/general.log
重新启动 mysql,这个操作相当于是永久生效。
2. 方式二:在mysql 命令控制台操作需要root 用户才有访问此文件的权限查看状态
show global variables like '%general%';
-- 输出:general_log | OFF 默认是关闭的设置日志文件保存位置
- set global general_log_file='/tmp/general_log'; 开启日志功能
- set global general_log=on; 查看状态
- show global variables like '%general%';
- 输出:general_log | ON
方式三:将日志保存在mysql 数据库 general_log 表中设置输出类型为 table
- set global log_output='table'; 开启日志功能
set global general_log=on; 切换到数据库:mysql use mysql;
设置输出类型为 table select * from general_log; 二、命令总结
# 查看日志是否开启
show variables like 'general_log';
# 查看日志输出类型 table 或file show variables like 'log_output';
# 查看日志文件保存位置
show variables like 'general_log_file'; # 设置日志文件保存位置
set global general_log_file='/tmp/general_log'; # 开启日志功能
set global general_log=on; # 设置输出类型为 table
set global log_output='table'; # 设置输出类型为 file
set global log_output='file';
三、关闭
SET GLOBAL general_log = 'OFF'; 四 、 开 启 log_bin 日 志1.方式一:更改my.cnf 配置文件log-bin=mysql
server-id=1
重 启 service mysqld restart
成功开启 log_bin 日志
日志备份
Oracle
一、 密码策略、登录失败处理
Oracle 默认提供了一个密码策略的 sql 执行文件 utlpwdmg.sql。linux/unix 默认路径是$ORACLE_HOME/rdbms/admin/utlpwdmg.sql 。windows 路径位置可以通过搜索来获得。
首先我们先看一下 Oracle 默认安装后密码策略设置是怎样的。
通过配置文件可以发现目前密码策略中密码长度设置为不小于 4
位,同时也设置了密码存活时间为 180 天,密码警告时间为 7 天,登
录失败次数显示为 10 次,锁定时间为 1 分钟,注意,图片中所示为
180 天,需要改为 90 天。
接下来我们通过测试来看一下此策略设置脚本是否生效。
修改scott 的口令tiger 为 123 成功,说明utlpwdmg.sql 脚本文件未被执行。
下面我们重新修改好utlpwdmg.sql 配置,然后执行。
执行脚本:
然后我们查看是否密码长度、密码复杂度检测功能是否已经开启。
其实针对用户的profile 的设置可以直接通过以下命令单独来设置: ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 20 ——密码过期告警时间
PASSWORD_GRACE_TIME 180 ——密码过期时间,若到期未修改,用户会被锁定
PASSWORD_REUSE_TIME 100 ——指定天数内,密码不可重复
PASSWORD_REUSE_MAX 200 ——指定了当前密码被重用之前密码改变的次数。
FAILED_LOGIN_ATTEMPTS 5 ——输错5 次密码锁定
用户,对应等保测评中“登录失败处理测评项”
PASSWORD_LOCK_TIME 1/1440 ——输错密码锁定时间PASSWORD_VERIFY_FUNCTION verify_function_11G;
补充:
1. 其中verify_function_11G 是 utlpwdmg.sql 文件中一段针对
用户密码的复杂度检包含一个数字、一个
函数,要求密码长度8 位以上,至少符。
2. PASSWORD_LOCK_TIME 1/1440 其中的单 都是天 这
里/1440 是除以 1440(24*60)的意思,综合此处意思为锁定时间为1 分钟。
二、 修改 认账户的默认密码
三、 Oracle 开启审计日志
Oracle 审计可以查询到某个用户对 DB 做了哪查询到具体的sql 语句,很有用。
操作,10g 后, 以
审计功能开户的整个过程:
1. show parameter audit,可以查询到audit_trail 的值,取值包括{none | os
| db | db,extended | xml | xml,extended }
2. alter system set audit_trail=DB scope=spfile;
执行以上操作后,重新启动数据库。
注:
如果数据库是使用 Database Configuration Assistant (DBCA)创建的,默认情况下,audit_trail 参数设置为 DB。当 AUDIT_TRAIL 设置为 DB 时,默认的行为是将审计线索记录到数据库的 AUD$表中。对于大多数站点而言,这类审计不会对数据库性能造成太大影响。Oracle 建议使用操作系统审计线索文件。如果数据库是手动创建的(使用CREATE DATABASE 命令),默认将 AUDIT_TRAIL 设置为NONE。
----------------------------------------------------------------------------------------------
--------------------------------
audit_trail:
None:是默认值,不做审计;
DB:将 audit trail 记录在数据库的审计相关表中,如 aud$,审计的结果只有连接信息,审计除了 SYSDBA、SYSOPER 权限用户以外的其他用户特定操作。
DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句,填充 SYS.AUD$表的SQLBIND 列和SQLTEXT CLOB 列。
OS:将 audit trail 记录在操作系统文件中,文件名由 audit_file_dest 参数指定;
XML:审计记录会写入 AUDIT_FILE_DEST 参数指向的目 录中的XML 文件。使用 V$XML_AUDIT_TRAIL 视图可查看此目录中的所有 XML 文 件 。
xml,extended 启用数据库审计,输出审计记录的所有列,包括 SqlText 和SqlBind 的值。
----------------------------------------------------------------------------------------------
-----------------------------
Extended 参数:会填充用户执行的确切 SQL 文本及与 SQL 文本一起使用的绑定变量
四、 日志备份
nohup exp parfile=exp_aud_table.par nohup 为
Linux 系统命令,表示不间断的运行此命令
exp_aud_table.par 内容如下:
userid='/ as sysdba' file=/tmp/aud_tab.dmp log=/tmp/exp_aud_tab.log
buffer=50000000 缓冲
区
rows=y 表明导出
数据行(默认为 y) tables=sys.aud$
filesize=4G ------- filesize 若导出的数据文件大,应该用该参数,限制文件大小不要超过 4g
resumable_timeout=999999 当磁盘空间不足、超过最大段
数、超过空间配额限制时会
使用此参数,此时会有如下动作(向 alert 日志写入相关信息、系统记录挂起警告、会触发 AFTER SUSPEND
触发器)
resumable=y 默认值:n,表示是否启用
resumable space allocation 特性;oracle 9i引 入 特 性 resumable space allocation;如果一个事务由于空间分配的原因导致挂起, resumable space allocation 特性可以使事务继续进行;
如果空间分配出现文件,那么export 会等待空间分配问题解决, 然后继续进行导出任务。等待时间取决于 RESUMABLE_TIMEOUT
参数的大小,如果超过这个值,导出仍然会失败。
此参数应与 RESUMABLE_NAME
和 RESUMABLE_TIMEOUT 配 合
使用。resumable_name=exp_999999_ccrs_aud_table feedback=10000
query="where ntimestamp#>to_date('2016-12-19 00:00:00','yyyy-mm-dd hh24:mi:ss')"
脚本 参数 释义
nohup exp
parfile=exp_aud_table
.par
nohup nohup 为 Linux 系统命令,表示不
间断的运行此命令
buffer 缓冲区大小
rows=y 表明导出数据行(默认为 y)
exp_aud_table.par
内容如下:
filesize 若导出的数据文件大,应该用该
参数,限制文件大小不要超过 4g
userid='/ as sysdba' file=/tmp/aud_tab.d mp log=/tmp/exp_aud_t ab.log buffer=50000000
resumable
_timeout= 999999 当磁盘空间不足、超过最大段数、超过空间配额限制时会使用此参数,此时会有如下动作(向 alert 日志写入相关信息、系统记录挂起 警 告 、 会 触 发 AFTER
SUSPEND 触发器)
resumable 默认值:n,是否启用 resumable
rows=y tables=sys.aud$ filesize=4G resumable_timeout=9
resumable=y resumable_name=exp
_999999_ccrs_aud_ta ble
feedback=10000 query="where ntimestamp#>to_date ('2016-12-19
00:00:00','yyyy-mm-dd
hh24:mi:ss')" =y space allocation 特性。oracle 9i 引入特性resumable space allocation。如果一个事务由于空间分配的原因导致挂起, resumable space allocation 特性可以使事务继续进行。如果空间分配出现文件,那么 export 会等待空间分配问题解决,然后继续进行导出任务。等待 时 间 取 决 于RESUMABLE_TIMEOUT 参数的
大小,如果超过这个值,导出仍然 会 失 败 。 此 参 数 应 与RESUMABLE_NAME 和RESUMABLE_TIMEOUT 配 合 使
用。
resumable
_name 默 认 值 : 'User USERNAME (USERID), Session SESSIONID,
Instance INSTANCEID’ RESUMABLE_NAME 会被插入USER_RESUMABLE 或 者DBA_RESUMABLE 视图中
此参数只有在RESUMABLE=y 的
情况下才有效。
feedback 显示进度
query 默认:none
当导出模式为表模式时,此参数可以选择这些表中的子集。query 参数的相当于在 select 语句中增加了 where 条件。此条件应用于tables 参数中的所有表。需要注意的是,query 参数必须适合所有表,比如有某张表无 where 中的列,那就会报错。
query 参数限制:
1 不能用在 full,user,表空间导出模式。
2 参数应用于所有表,不能特别指定某张表。
3 direct path export 不能使用query 参数。因为 direct path export 没有通过 sql 应用层,不会使用 where
条件去应用query 参数。
4 不能应用于嵌套表。
5 不能确定结果集是否是 query 的结果集
五、 登录超时自动退出
数据库会话的 PROFILE 中的 IDLE_TIME 参数:它定义了用户空闲多长时间后会话被认为是超时并断开。超时时间是以分钟为单位的
设置数据库会话的 PROFILE 中的 IDLE_TIME 参数
使用ALTER PROFILE 命令来修改当前用户的 PROFILE:
ALTER PROFILE default LIMIT IDLE_TIME 15;
这样,如果用户在空闲 15 分钟后没有进行任何操作,会话将被自动断开。
另外,你还可以将该语句嵌入到程序中,程序会在用户登录后执行该语句,将用户的 PROFILE 修改为指定的超时时间。
注:
从测评安全性角度,时间不应超过 15 分钟,但从业务角度,可能需应有软件长时间连接数据库,因此需要在安全性与实际场景中作抉择
六、 用户权限分离
创建审计管理员账户
授予shenji 用户查看审计表的权限
grant select on sys.aud$ to shenji; sys.aud$代表审计记
录所在表
grant CONNECT to shenji;
注 : sys;//系统管理员,拥有最高权限
system;//本地管理员,次高权限
scott;//普通用户,密码默认为tiger,默认未解锁
oracle 有三个默认的用户名和密码~ 1.用户名:sys 密码:change_on_install 2. 用 户 名 :system 密 码 :manager 3.用户名:scott 密码:tiger
----------------------------------------------------------------------------------------------
-------------------------------
预定义角色是在数据库安装后,系统自动创建的一些常用的角色。下面简单的介绍一下这些预定角色。角色所包含的权限可以用以下语句查询:
复 制 代 码 代 码 如 下 : sql>select*fromsys_role_privswhererole=' 角 色 名 '; 1.CONNECT,RESOURCE,DBA(Oracle 中存在这三种预定角色)
这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。oracle 建议用户自己设计数据库管理和安全的权限规划,而不要简单的使用这些预定角色。将来的版本中这些角色可能不会作为预定义角色。
eblogic
一、 密码 略
更改 weblogic 后台用户名密码策略
要求:不使用默认用户密码、弱密码。密码长度最小 8
以上, 符
合密码复杂要求(密码组成至少存在数字、大小写字母和特殊字符)。 实际操作:
主页 >安
领域概要 >my ealm >
户和组
>myrealm >提 程
序 >SystemPassword alidator>提供程序特定
二、 登录 败处理
要求:密码重试次数 5 次,锁定时间 30 分钟(默认配置)
实际操作:
主页 >安全领域概要
>myrealm >配置>用户封锁
三、 登录 时自动退出
1) 依次点击:WebLogic 管理控制台-环境-服务器-AdminS rve(r 管 )
-协议-一般 息
2) 设置超时时间为 5 分钟
四、 日志 计
要求:开启访问日志,按时间滚动,并保留 180 天(图中为 60 , 需要改为 180)
实际操作:
环境> 服务器 > Adminserver > 日志记录
开启日志并将日志保存到另一磁盘
五、 远程 理使用 https 加密协议
1) 依次点击:WebLogic 管理控制台-服务器-AdminServe (管理)-一般信息
2) 启用 SSL 监听端口
六、 管理 户权限分离
1) 依次点 :WebLogic 管理控制台-安全领域-myrealm-用户和组-点
击新建-
名称和口令是必填项,其
可以默
-点击新创建的用户-
点击组,然后选择 monitors,点击右移箭头,将 monitors 移到右 。
然后保存。至此,
们创建了一个新的用户,
用户属于 monito s。
只能读取信息,而不能修 。非常适用于访客。
2) 所属 ad inistrators 组用户可定义为安全管理员,审计管理员、系
统管理员分配到 onitors 组。
注:
Administrators:创建域时系统用户默认为此组,管理权限最大。可以浏览、配置、修改服务器配置及停止、启动服务器,部署和取消应用 程序。
Deployers:部署和取消应用程序(包括创建连接池数据源)。可以浏览但不能修改服务器配置(主要是指 myserver 中各选项参数等)。如果用户属于此组时,在控制台看不见安全性选项即Security。
Monitors:只能浏览服务器配置,监视服务器性能,不能修改任何东西。如果用户属于此组时,在控制台看不见安全性选项即Security。
Operators:启动和关闭服务器,并可以浏览服务器配置。不能部署取消应用程序(包括创建连接池河数据源)。如果用户属于此组时,在控制台看不见安全性选项即Security。
Tomcat
SQL Server
(参考文档https://www.modb.pro/db/415859)
一、 密码策略
1) SQL server 数据库本身没有密码复杂度策略设置,它是使用 Windows 操作系统的校验函数来校验账户密码的,所以查看 SQL server 数据库密码复杂度需要结合操作系统本地安全策略的密码策略来看。SQL server 密码策略要同时满足开启 Windows 密码策略并且勾选 SQL server 账户的强制实施密码策略才算是符合,但即使这样的话一样
可以设置 6 位长度的口令, 所以还要设置服务器的密码
最小长度值。
检查是否开启强制密码策略。
二、 登录失败处
SQL server 账户锁定策略原理也是一样的,都是参照 Windows 作
系统的校验函数来校验的,所以需要勾选账户的强制密开启操作系统的账户锁定策略。勾选数据库强制密码过系统密码锁定策略。
过期, 且
,设置 作
三、 登录连接超时自动退出
SQL Server 数据库连接超时包含三类:远程登录超时、客户端连接数据库超时、sql 语句执行超时(主要关注远程登录超时),其中:
远程登录超时:
在Microsoft SQL Server Management Studio 中登录服务器并展开,右键点击服务器,选择“属性”,选择“高级”项,查看登录超时设定。也可在 Microsoft SQL Server Management Studio 的查询中输入命令: “sp_configure” 查看数据库启动的配置参数;其中 remote login timeout 为远程登录超时设定。
客户端连接数据库 时:
四、 远程加密
根据了解,SQL Server 的加密分成两 部分,一个是对数据的加密,
一个是对连接的加密。对于数据的加密,主要是通过一系列的函 如
EncryptbyKey,或者 TDE 来完成的。另外一部分是连接加密, 己
分的话还能分成两个阶段。一个是建立连接时候的加密。另外一 阶段是连接建立起来之后,客户端和 SQL Server 在其上传输数据时 的
加密。可以通过抓包判定SQ
Server 已经使用
SSL 来加密。
SQL Server 自动生成的证书是一种自签名的证书,而通过自签名 书
实现的 SSL 并不能提供很强的安全性。 他对 间人攻击
(man-in-th -middle attack)不具有抵抗能力。因此建议在生产环境中,
应该手动给 SQL Server 配置证书,而 是让它使用自动生成的证书。
默认情况下 SQL Server 是不加密收发的数据包信息,需要通过 SQL
Server 的configuration Manager 配置SQL Server 使得它加密和客户 之间收发的数据包信息。
其中包含客户端的加密配置和服务器端的加密 置:
客户端的加密配置:
服务器端的加密配 :
默认状态下客户端和服务器端这个选项是设置
No 的
SQL Server
对数据包的收发不进行加密,反之,当选项设置为 yes 时,SQL Server 对数据包的收发进行加密。
五、 管理用户权 分离
1)询问数据库管理员管理账户是否按照最 权限进行划分。在
Mi rosoft SQL Server Management Studio 中的查询中输入命 :
“sp_helplogins” 查看所有数据库登录用户的信息及其权限。在
Mi rosoft SQL Server Management Studio 的查询中输入命 :“select *
from sys.sql_logins”,查看 SQL Server 份认证模式的能够登录账户,
其中is_disa
led 值为 1,则登
账户被锁定;输
命令:“select * from
sys syslogins”,查看所有登录账户,其中 “de ylogin”的值为 1 时,
拒绝账户连接到数据库引擎,“sysadmin”的值为 1 时,具有系 管
理员权限。Sa 之类的系统管理员账户不负责操 业务数据库;业 数
据库管理员不应具备系统管理权限(如删除数据库、表和存储过程等)。
六、 开启日志
查看SQL server 日志是否有日志审计记录,检查安全性中是否创 了
审核目标。
Microsoft SQL Server Man
gement Studio 中登录服务 并
展开,右键点击服务器,选择“属性”,选择“安全性”项,查 登
录审核和是否启用
C2 审计跟踪。也可在
Microsoft
SQL Server
Management Studio 的查询中输入命令:“sp_configure”查看“c2 audit
mode”项的值,“0”是未开启 C2 审 ,“1”是开启 C2 审计。SQL
Server 数据库的审计内容包括SQL Ser
er 日志和应用程
日志。SQL
Server 的 SQL Server 日 志 可 通 过 Microsoft SQL Server Studio 进行查看,展开服务器点击“管理-〉SQL Server
Management 日志";SQL
Server 的应用程序日志可通过操作系统的日志进行查看。
---------------------------- -------------------
SQL Server
本文内容
审核(数据库引擎)
SQL Server 审核组件
使用 SQL Server 审核概述注意事项
使用 Transact-SQL 创建和管理审核显示另外 4 个
适用于:SQL ServerAzure SQL 托管实例
“审核”SQL Server 数据库引擎或单个数据库的实例涉及到跟踪和记录数据库引擎中发生的事件。 通过SQL Server 审核,您可以创建服务器审核,其中可以包含针对服务器级别事件的服务器审核规范和针对数据库级别事件的数据库审核规范。 可将审核的事件写入事件日志或审核文件。
重要
在 Azure SQL 托管实例上,此 T-SQL 功能对行为进行了一些更改。要详细了解所有 T-SQL 行为变更,请参阅 Azure SQL 托管实例与SQL Server 之间的 T-SQL 差异。
SQL Server 有多个审核级别,具体取决于针对安装的政府要求或标准要求。 SQL Server 审核提供必备的工具和流程让我们启用、存储和查看有关各个服务器和数据库对象的审核。
您可以记录每个实例的服务器审核操作组,或记录每个数据库的数据库审核操作组或数据库审核操作。 在每次遇到可审核操作时,都将发生审核事件。
SQL Server 的所有版本均支持服务器级审核。 从 SQL Server 2016 (13.x) SP1 开始,所有版本都支持数据库级审核。 在此之前,数据库级审核限制为 Enterprise、Developer 和 Evaluation 版本。 有关详细信息,请参阅 SQL Server 2016 各个版本支持的功能。
备注
本主题适用于 SQL Server。 有关 SQL 数据库的信息,请参阅 SQL 数据库审核入门。
SQL Server 审核组件
“审核”是将若干元素组合到一个包中,用于执行一组特定服务器操 作或数据库操作。 SQL Server 审核的组件组合生成的输出就称为审核,就如同报表定义与图形和数据元素组合生成报表一样。
SQL Server 审核使用“扩展事件”以帮助创建审核。 有关扩展事件的详细信息,请参阅 扩展事件。
SQL Server 审 核
“SQL Server 审核” 对象收集单个服务器实例或数据库级操作和操作组以进行监视。 这种审核处于 SQL Server 实例级别。 每个 SQL Server 实例可以具有多个审核。
定义审核时,将指定结果的输出位置。 这是审核的目标位置。 审核是在禁用状态下创建的,因此不会自动审核任何操作。启用审核后, 审核目标将从审核接收数据。
服务器审核规范
“服务器审核规范” 对象属于审核。 可以为每个审核创建一个服务器审核规范,因为它们都是在 SQL Server 实例范围内创建的。
服务器审核规范可收集许多由扩展事件功能引发的服务器级操作组。您可以在服务器审核规范中包括“审核操作组” 。 审核操作组是预定义的操作组,它们是数据库引擎中发生的原子事件。 这些操作将发送到审核,审核将它们记录到目标中。
SQL Server 审核操作组和操作文章介绍了服务器级别的审核操作组。
数据库审核规范
“数据库审核规范”对象也属于 SQL Server 审核。 针对每个审核, 您可以为每个 SQL Server 数据库创建一个数据库审核规范。
数据库审核规范可收集由扩展事件功能引发的数据库级审核操作。你可以向数据库审核规范添加审核操作组或审核事件。 审核事件是可以由 SQL Server 引擎审核的原子操作。“审核操作组”是预定义的操作组。 它们都位于 SQL Server 数据库作用域。 这些操作将发送到审核,审核将它们记录到目标中。 在用户数据库审核规范中不要包括服务器范围的对象,例如系统视图。
SQL Server 审核操作组和操作文章介绍了数据库级别的审核操作组和审核操作。
目标
审核结果将发送到目标,目标可以是文件、Windows 安全事件日志或 Windows 应用程序事件日志。 必须定期查看和归档这些日志, 以便确保目标具有足够的空间来写入更多记录。
重要
任何经过身份验证的用户可以读取和写入到 Windows 应用程序事件日志。 应用程序事件日志要求的权限比 Windows 安全事件日志
低,安全性低于 Windows 安全事件日志。
必须将 SQL Server 服务帐户应添加到生成安全审核策略中才能写入Windows 安全日志。 默认情况下,本地系统、本地服务和网络服务都是此策略的一部分。 此设置可通过使用安全策略管理单元(secpol.msc) 配置。 此外,对于“成功” 和“失败” 均必须启用“审核对象访问” 安全策略。 此设置可通过使用安全策略管理单元(secpol.msc) 配置。 在 Windows Vista 或 Windows Server 2008(及更高版本)中,可通过使用审核策略程序 (AuditPol.exe) 从命令行设置更详细的应用程序生成策略。 有关启用 Windows 安全日志写入的步骤的详细信息,请参阅 将 SQL Server 审核事件写入安全日志。有关 Auditpol.exe 程序的详细信息,请参阅知识库文章 921469 如何使用组策略配置详细的安全审核设置。 Windows 事件日志对于Windows 操作系统具有全局性。 有关 Windows 事件日志的详细信息,请参阅 事件查看器概述。 如果需要关于审核的更精准权限,请使用二进制文件目标。
将审核信息保存到某一文件时,为了帮助避免被篡改,可以通过以下 方式限制对文件位置的访问:
SQL Server 服务帐户必须同时具有读取和写入权限。
审核管理员通常需要读取和写入权限。 这就假设审核管理员是Windows 帐户,可以管理审核文件(例如,将审核文件复制到其他共享、备份这些文件等等)。
获得授权可读取审核文件的审核读取者必须具有读取权限。
甚至当数据库引擎正在写入某个文件时,其他 Windows 用户如果具有权限,也可以读取该审核文件。 数据库引擎并未采用排他锁来防止读取操作。
因为数据库引擎可以访问文件,所以,具有 CONTROL SERVER 权限的 SQL Server 登录可以使用数据库引擎来访问审核文件。 要记录任何正在读取审核文件的用户,请在 master.sys.fn_get_audit_file 中定义审核。 这将记录具有 CONTROL SERVER 权限且已通过 SQL Server 访问审核文件的登录。
如果审核管理员将文件复制到其他位置(用于存档等),新位置的访问控制列表 ACL 应降至以下权限:
审核管理员 - 读/写
审核读取者 - 读
建议从 SQL Server 的单独实例(例如,SQL Server Express 的实例) 生成审核报告(只有审核管理员或审核读取者可以访问此实例)。 通过使用数据库引擎的单独实例进行报告,可以帮助防止未获授权的用户访问审核记录。
可以通过使用 Windows BitLocker 驱动器加密或 Windows 加密文件系统对存储审核文件的文件夹进行加密,从而提供附加保护机制来防止未授权的访问。
有关写入目标的审核记录的详细信息,请参阅 SQL Server Audit Records。
使用 SQL Server 审核概述
可以使用 SQL Server Management Studio 或 Transact-SQL 定义审核。在创建并启用审核后,目标将接收各项。
您可以使用 Windows 中的 “ 事件查看器” 实用工具来读取Windows 事件。 对于文件目标,可以使用 SQL Server Management Studio 中的“日志文件查看器”或 fn_get_audit_file 函数来读取目标文件。
以下是创建和使用审核的一般过程。
创建审核并定义目标。
创建映射到审核的服务器审核规范或数据库审核规范。 启用审核规范。
启用审核。
通过使用 Windows“事件查看器” 、“日志文件查看器” 或fn_get_audit_file 函数来读取审核事件。
有关详细信息,请参阅 创建服务器审核和服务器审核规范 和 创建服务器审核和数据库审核规范。
注意事项
如果在启动审核期间出现问题,则服务器不会启动。在这种情况下, 可以在命令行中使用 -f 选项来启动服务器。
如果由于为审核指定了 ON_FAILURE=SHUTDOWN 导致审核失败, 从 而 进 一 步 导 致 服 务 器 关 闭 或 不 启 动 , 则MSG_AUDIT_FORCED_SHUTDOWN 事件将写入日志。 由于在第
一次遇到此设置时出现关机,将写入一次此事件。 在出现有关审核导致关闭的失败消息后,将写入此事件。 管理员可以使用 -m 标志以单用户模式启动 SQL Server,从而绕过审核引起的关闭。 如果在单用户模式下启动,则会将指定了 ON_FAILURE=SHUTDOWN 的任何审核降级为在相应会话中以 ON_FAILURE=CONTINUE 运行。使 用 “-m” 标 志 启 动 SQL Server 时 , MSG_AUDIT_SHUTDOWN_BYPASSED 消息将写入错误日志。
有关服务启动选项的详细信息,请参阅 数据库引擎服务启动选项。
将数据库附加到已定义的审核
如果附加的数据库具有审核规范并且指定的 GUID 在服务器上不存在,则将导致“孤立”审核规范。 由于服务器实例上不存在具有匹配 GUID 的审核,将不记录审核事件。 若要更正此情况,请使用ALTER DATABASE AUDIT SPECIFICATION 命令将孤立审核规范
连接到现有服务器审核。 或者,使用 CREATE SERVER AUDIT 命令创建一个具有指定 GUID 的新服务器审核。
可以将定义了审核规范的数据库连接到不支持 SQL Server 审核的另一 SQL Server 版本(如 SQL Server Express),但不会记录审核事件。
数据库镜像和 SQL Server 审核
已定义了数据库审核规范并使用数据库镜像的数据库将包括此数据库审核规范。 若要对已镜像的 SQL 实例进行正确的处理,必须配置下列项:
镜像服务器必须拥有具有相同 GUID 的审核才能使数据库审核规范能够写入审核记录。 这可以通过使用命令 CREATE AUDIT WITH GUID =<GUID from source Server Audit> 进行配置。
对于二进制文件目标,镜像服务器服务帐户对要写入审核记录的位置必须具有相应的权限。
对于 Windows 事件日志目标,镜像服务器所在计算机上的安全策略必须允许服务帐户访问安全事件日志或应用程序事件日志。
审核管理员
sysadmin 固定服务器角色的成员在每个数据库中均标识为 dbo 用户。若要审核管理员的操作,请审核 dbo 用户的操作。
使用 Transact-SQL 创建和管理审核
可以使用 DDL 语句、动态管理视图和函数以及目录视图来实现SQL Server 审核的所有方面。
数据定义语言语句
可以使用下列 DDL 语句创建、更改和删除审核规范:
DDL 语句 说明
ALTER AUTHORIZATION 更改安全对象的所有权。
ALTER DATABASE AUDIT SPECIFICATION 使 用 SQL Server 审
核功能更改数据库审核规范对象。
ALTER SERVER AUDIT使用 SQL Server 审核功能更改服务器审核对象。
ALTER SERVER AUDIT SPECIFICATION 使 用 SQL Server 审 核
功能更改服务器审核规范对象。
CREATE DATABASE AUDIT SPECIFICATION 使 用 SQL Server 审
核功能创建数据库审核规范对象。
CREATE SERVER AUDIT 使用 SQL Server 审核创建服务器审核对象。
CREATE SERVER AUDIT SPECIFICATION 使用 SQL Server 审核
功能创建服务器审核规范对象。
DROP DATABASE AUDIT SPECIFICATION 使用 SQL Server 审核
功能删除数据库审核规范对象。
DROP SERVER AUDIT 使用 SQL Server Audit 功能删除服务器审核对象。
DROP SERVER AUDIT SPECIFICATION 使用 SQL Server 审核功能
删除服务器审核规范对象。动态视图和函数
下表列出了可用于 SQL Server 审核的动态视图和函数。
动态视图和函数 说明
sys.dm_audit_actions 为可在审核日志中报告的每项审核操作以及可配置为 SQL Server 审核一部分的每个审核操作组返回一行。sys.dm_server_audit_status 提供有关当前审核状态的信息。sys.dm_audit_class_type_map 返回一个表,将审核日志中的 class_type 字段映射到 sys.dm_audit_actions 中的 class_desc 字段。fn_get_audit_file 从由服务器审核创建的审核文件返回信息。
目录视图
下表列出了可用于 SQL Server 审核的目录视图。
目录视图 说明
sys.database_audit_specifications 包含有关服务器实例上 SQL Server 审核中的数据库审核规范的信息。sys.database_audit_specification_details 包含所有数据库的服务器实例上 SQL Server 审核中的数据库审核规范的相关信息。sys.server_audits 服务器实例中每个 SQL Server 审核都各占一行。sys.server_audit_specifications 包含有关服务器实例上 SQL Server 审核中的服务器审核规范的信息。
sys.server_audit_specifications_details 包含服务器实例上的 SQL Server 审核中的服务器审核规范详细信息(操作)的相关信息。sys.server_file_audits 包含有关服务器实例上 SQL Server 审核中的文件审核类型的存储扩展信息。
权限
SQL Server 审核的每一个功能和命令都有其独特的权限需求。
若要创建、更改或删除服务器审核或服务器审核规范,服务器主体要 求具有 ALTER ANY SERVER AUDIT 或 CONTROL SERVER 权限。
若要创建、更改或删除数据库审核规范,数据库主体必须具有 ALTER ANY DATABASE AUDIT 权限或针对该数据库的 ALTER 或CONTROL 权限。 此外,主题还必须具有连接到数据库的权限或者具有 ALTER ANY SERVER AUDIT 或 CONTROL SERVER 权限。
拥有 VIEW ANY DEFINITION 权限,可有权查看服务器级别审核视图;拥有 VIEW DEFINITION 权限,可有权查看数据库级别审核视图。 拒绝这些权限,则无法查看目录视图,即使主体拥有 ALTER ANY SERVER AUDIT 或 ALTER ANY DATABASE AUDIT 权限,
也是如此。
有关如何授予权限的详细信息,请参阅授权(Transact-SQL)。
注意
具有 sysadmin 角色的主体可以篡改任意审核组件;具有 db_owner 角色的主体可以篡改数据库中的审核规范。 SQL Server 审核将验证将创建或更改审核规范的登录帐户是否至少具有 ALTER ANY DATABASE AUDIT 权限。 但是,它不会在您附加数据库时进行验证。 您应假定所有的数据库审核规范的可信度只是相当于具有sysadmin 或 db_owner 角色的主体。
网络设备
华三
密码策略
password-control aging enable
password-control aging 90 //配置密码使用到 90 天时必须修改密码
password-control login-attempt 5 exceed lock-time 1 //配置密码登陆失败 5 次后,锁定 1 分钟
password-control lenght enable //开启密码长度限制
password-control length 8 //强制密码长度为 8 位
password-control enable //开启密码策略
password-control complexity { same-character | user-name } check 注:
same-character:指定检查密码中是否包含连续三个或以上相同的字符。
user-name:指定检查密码中是否包含用户名或者颠倒的用户名。
登录超时自动退出
password-control login idle-time 0.02
idle-time:用户帐号的闲置时间,取值范围为 0~365,单位为天。0 表示对用户帐号闲置时间无限制。
登录失败处理
password-control login-attempt login-times [ exceed { lock | lock-time time
| unlock } ]
login-times:用户登录尝试次数,取值范围为 2~10。
exceed:用户登录尝试失败后的行为。
lock:表示永久禁止该用户登录。
lock-time time:表示禁止该用户一段时间后,再允许该用户重新登录。其中,time 为禁止该用户的时间,取值范围为 1~360,单位为分钟。
unlock:表示不禁止该用户,允许其继续登录。
支持红外夜视IRCUT的4G智能安全帽BW620Y,内部主板型号有,SAE01, W20, k61v1_32_bsp_1g, k62v1_64_bsp, soq_azw_05_Natv,soq_azw_01_Natv,AZW003,aqm6816,soq_azw_01_Natv,SC161, W25,比传统的白光照明灯效果要好很多,可以避免图像中间大块的亮光斑,可以在雾天使用。https://www.bilibili.com/video/BV1594y1E7tB/
危险气体检测仪,通过4G/5G执法记录仪或者4G/5G智能安全帽上报到平台,https://www.besovideo.com/detail?t=1&i=273
智能安全帽~生命体征检测与危险气体检测一体化集成设计还是蓝牙无线外挂式方式好?https://www.besovideo.com/detail?t=1&i=279
智能安全帽~生命体征采集上报,https://www.besovideo.com/detail?t=2&i=506
智能安全帽,检测生命体征上报平台, https://v.douyin.com/e3oP4Yx/
AIoT万物智联,智能安全帽生产厂家,执法记录仪生产厂家,为大型国企央企提供移动视频类产品的ODM/OEM服务,单北斗定位智能安全帽、智能头盔、智能头箍、头盔记录仪、独立北斗定位执法记录仪、智能视频分析/边缘计算AI盒子、车载视频监控/车载DVR/NVR、布控球、智能眼镜、智能手电、智能电子工牌、无人机4G补传系统等统一接入大型统一视频平台~融合通信可视指挥调度平台VMS/smarteye 。
什么是智能安全帽,如何选购智能安全帽,智能安全帽的主要功能,https://www.besovideo.com/detail?t=1&i=109
目前支持的AI智能算法、视频智能分析算法有哪些,https://www.besovideo.com/detail?t=1&i=297
视频演示1~单独北斗定位智能安全帽助力光伏新能源, 视频演示2~石油石化
海康、大华等5000路固定点摄像头走国标GB28181接入统一视频平台smarteye,支持eHome,ISUP, SIP,萤石云,CMSV6等
海康等IP摄像头走国标GB28181接入smarteye平台, https://www.besovideo.com/detail?t=1&i=244
国网+南网电力施工作业现场安全生产风险管控应用方案,https://www.besovideo.com/detail?t=1&i=50
轻危大型厂矿可视化监管系统方案(有内部作业视频数据安全保密的需求),https://www.besovideo.com/detail?t=1&i=258
小微型4G/WiFi执法记录仪、胸牌记录仪大全~智慧养老+银发经济,https://www.besovideo.com/detail?t=2&i=1784
超薄款4G工牌视频记录仪BH128,https://www.besovideo.com/detail?t=2&i=1575
4G/5G执法记录仪前端人脸识别、人脸比对使用说明,https://www.besovideo.com/detail?t=1&i=365
防抖执法记录仪、智能安全帽、头盔记录仪大全,https://www.besovideo.com/detail?t=2&i=1692
可拆卸智能安全帽、绑带式、粘贴式、贴合式、分体式智能头盔记录仪、智能头箍记录仪大全,https://www.besovideo.com/detail?t=2&i=1697
定位安全帽大全,人员定位考勤、电子围栏脱岗检查 all in smarteye,https://www.besovideo.com/detail?t=2&i=1843
支持南方电网WAPI无线网络的4G/5G执法记录仪、智能布控球、智能安全帽产品,https://www.besovideo.com/detail?t=1&i=404
各种布控球分类列表大全,https://www.besovideo.com/detail?t=1&i=339
北斗双频高精度定位智能工卡、电子工牌大全,https://www.besovideo.com/detail?t=2&i=1689
无人机4G/5G图传到远程指挥中心统一视频平台smarteye或者海康等国标大平台, https://www.besovideo.com/detail?t=2&i=1775
县级应急指挥调度系统建设, https://www.besovideo.com/detail?t=1&i=411
智慧铁路,铁路应急指挥通信系统建设,可视化作业现场风险管控系统应用方案,https://www.besovideo.com/detail?t=1&i=413
智慧港口可视化作业风险管控系统建设方案,https://www.besovideo.com/detail?t=1&i=414
石油石化可视化巡检系统安全风险管控系统应用方案,https://www.besovideo.com/detail?t=1&i=415
车载视频监控产品,车载DVR/NVR、4G行车记录仪系列产品,https://www.besovideo.com/detail?t=2&i=1850
为什么武警、特警拉练演习的MESH自组网系统都不约而同的选择了smarteye平台?https://www.besovideo.com/detail?t=2&i=1215
anti-jitter, EIS, groupPTT/push2talk/PoC, star-light night vision, explosion-proof 4G/5G/GPS body camera DVR, 4G/5G/GPS helmet camera DVR/hardhat camera, ODM/OEM acceptable, AI box, vehicle mount mDVR, GPS tracker, 4G/5G HDMI DVR for drones/UAV, walkie talkie, fixed/cable IPcamera, all-in-one dome PTZ 4G/5G camera, RTK/UWB, 4G torch camera DVR, glass camera/AR glass camera, all in large scale VMS/smarteye, RTSP to milestone.
police law enforcement solution, https://www.besovideo.com/en/detail?t=1&i=2