本次是GaussDB V3R1版本的相关检查项参考链接https://3ms.huawei.com/km/blogs/details/22293765一、用户相关1、查询实例下所有用户信息select * from adm_users;2、登录超时退出数据库版本1.9.1及以上show parameter IDLE_TIMEOUT show parameter INTERACTIVE_TIMEOUTIDLE_TIMEOUT : 连接会话的超时时长。连接到数据库但在超时时长内没有进行任何操作该会话将会被关闭。默认值0连接不关闭。INTERACTIVE_TIMEOUTZSQL连接会话的超时时长。当一个ZSQL会话在超时时长内没有任何操作时该会话将被关闭。默认值1800单位秒。数据库版本1.9.1以下show parameter UNAUTH_SESSION_EXPIRE_TIME show parameter INTERACTIVE_TIMEOUTUNAUTH_SESSION_EXPIRE_TIME非鉴权会话老化时间。连接需CONNECT、AUTH-INIT、LOGIN三步非鉴权指没经过login步骤的会话。UNAUTH_SESSION_EXPIRE_TIME指客户端TCP建立完指定时间不鉴权服务端强制断开连接。INTERACTIVE_TIMEOUTZSQL连接会话的超时时长。当一个ZSQL会话在超时时长内没有任何操作时该会话将被关闭。默认值1800单位秒。3、登录失败处理策略3.1、登录失败次数限制用户密码错误的最大尝试登录次数超过该次数时用户将会被锁定。select * from adm_profiles where RESOURCE_NAMEFAILED_LOGIN_ATTEMPTS;3.2、登录失败用户锁定限制select * from adm_profiles where RESOURCE_NAMEPASSWORD_LOCK_TIME;用户密码登录错误次数超过 3.1中 FAILED_LOGIN_ATTEMPTS 时用户被锁定的天数。4、用户有效期select * from adm_profiles where RESOURCE_NAMEPASSWORD_LIFE_TIME;5、密码复杂度策略密码长度最小值select * from adm_profiles where RESOURCE_NAMEPASSWORD_MIN_LEN;Gauss100 OLTP设置了完善的密码安全策略保证数据安全。对用户密码要求如密码只能包含数字、大写字母、小写字母、空格或特殊字符中至少3种密码不能与用户名或用户名倒序相同等。有关密码复杂度详情可查看 数据库版本对应产品文档中 “”管理者指南”章节下“安全维护”-“数据库安全维护”-“设置密码安全策略”小节内容。6、密码重用select * from adm_profiles where RESOURCE_NAME in (PASSWORD_REUSE_MAX,PASSWORD_REUSE_TIME) order by 1;PASSWORD_REUSE_MAX : 当前密码被重用之前密码需要改变的次数PASSWORD_REUSE_TIME :当前密码不能重用前的天数。当PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME均为unlimited密码可以随意重用无任何限制。当PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME均为指定值必须满足这两个条件才可重用密码。当PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME两个有其中一个不为unlimited密码永远不能重用。7、用户权限select * from adm_sys_privs where granteeUSERNAME; select * from adm_role_privs where granteeUSERNAME; select * from adm_tab_privs where granteeUSERNAME;8、数据库用户密码的加密算法SHOW PARAMETER _ENCRYPTION_ALG二、数据库连接1、SSL策略--数据库版本 1.9.1及以上 select version from dv_session_ssl; --数据库版本 1.9.1以下 select PIPE_TYPE from dv_sessions;2、限制连接数据库IP范围登录数据库查询已配置的用户白名单 select * from dv_hba; 登录数据库查看已配置的IP黑白名单 SELECT VALUE FROM DV_PARAMETERS WHERE NAME TCP_INVITED_NODES; SELECT VALUE FROM DV_PARAMETERS WHERE NAME TCP_EXCLUDED_NODES; 检查是否已开启IP黑白名单检测 SELECT NAME, RUNTIME_VALUE, VALUE FROM DV_PARAMETERS WHERE NAME TCP_VALID_NODE_CHECKING;3、本地免密sysdba登录SHOW PARAMETER ENABLE_SYSDBA_LOGIN4、sys用户远程登录SHOW PARAMETER ENABLE_SYS_REMOTE_LOGIN三、数据库1、数据库版本select version();2、数据库审计SHOW PARAMETER AUDIT_LEVELAUDIT_LEVEL0表示关闭审计日志AUDIT_LEVEL0表示开启审计日志。AUDIT_LEVEL不同值表示不同审计级别。默认值3审计用户登录注销以及DDL和DCL操作。3、数据库日志show parameter log_home查看数据库日志所在目录该目录下audit文件夹下存放的是审计日志文件run文件夹下存放数据库运行日志文件。
