一、账户与口令安全
/etc/pam.d/system-auth文件追加对应PAM模块配置;设置口令最小长度为8位,修改/etc/login.defs文件中的PASS_MIN_LEN参数;配置账户锁定策略,连续认证失败超过6次锁定账户,在/etc/pam.d/system-auth中添加pam_tally2.so模块;设置口令历史,禁止重复使用最近5次口令,在/etc/pam.d/system-auth中配置pam_unix.so模块的remember=5参数;设置口令生存期为90天,修改/etc/login.defs中的PASS_MAX_DAYS参数,并用chage --maxdays 90 <用户名>命令更新现有用户参数。adm、lp、sync等),通过/etc/passwd文件检测并锁定无用超级账户;保护口令文件,使用chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow命令设置不可更改属性,防止未授权修改。二、网络安全配置
firewalld或iptables配置防火墙,仅开放Informix必要端口(如默认的9088、9089、20000等),关闭其他不使用的端口,减少攻击面。/etc/profile文件,设置TMOUT参数(如TMOUT=300)限制root账户自动注销时限;修改/etc/pam.d/su文件,限制只有特定组(如wheel)的用户能使用su命令切换为root;修改/etc/inittab文件(若存在),禁用Ctrl+Alt+Delete组合键重启服务器。三、数据加密保护
onstat -g crypto命令检查TDE状态,使用onconfig文件配置加密密钥。ENCRYPT和DECRYPT函数实现数据加密;集成外部密钥管理器(如IBM KMIP),提升密钥管理的安全性。四、访问控制管理
GRANT/REVOKE语句分配用户对数据库对象的特权;使用基于角色的访问控制(RBAC),将常用特权合并到角色(如informix_dba角色),再分配给用户;实施基于标签的访问控制(LBAC),对数据行和列进行细粒度权限控制(如lbac策略)。useradd命令创建新用户,passwd命令设置强密码;定期审查用户组,删除多余或未使用的组,确保用户仅属于必要的组。五、日志与监控
$INFORMIXDIR/aaodir/adtcfg文件,设置ADTMODE参数(如ADTMODE=7,表示同时写入Informix审计记录和操作系统审计记录),启用数据库操作审计;使用Auditd工具监控系统日志,重点关注失败登录尝试(如/var/log/secure中的failed关键字)、权限变更等异常事件。grep -i "failed" /opt/informix/logs/online.log)、权限变更(如find $INFORMIXDIR -type f -perm /o+rwx -ls)和空密码用户(如dbaccess sysuser - <<EOF SELECT username FROM sysusers WHERE password IS NULL; EOF),及时发现潜在安全风险。六、系统与应用加固
setenforce 1设置为强制模式,利用SELinux的细粒度权限控制限制进程访问权限,增强系统安全性。./ids_install --i patch --optionfile /path/to/patch_response_file命令安装补丁,修复已知漏洞;制定备份策略,使用ontape命令加密备份(如ontape -s -L 0 -e -K "encryption_key" -o /secure/backup/location),将备份存储在安全位置。