A1 | 连接配置(Checking Connection configuration) |
侦听主机上IP地址检查:禁止侦听主机上所有IP地址 对外服务端口检查:确保对外服务端口使用非默认端口号 数据库实例的最大连接数检查:确保数据库实例的最大连接数配置正确 Database的最大连接数检查:确保Database的最大连接数配置正确 管理员使用的连接数检查:确保系统管理员使用的连接数配置正确 用户的最大连接数检查:确保用户的最大连接数配置正确 UNIX域套接字的访问权限检查:确保UNIX域套接字的访问权限配置正确 host条目使用md5认证检查:确保没有host条目使用md5认证 hostnossl条目检查:确保没有hostnossl条目 host条目的源地址指定为0.0.0.0/0检查:确保没有host条目的源地址指定为0.0.0.0/0 服务端使能SSL连接检查:确保服务端使能SSL连接 |
A2 | 文件目录安全(File directory security) |
数据库安装目录权限检查:确保数据库安装目录权限最小化 共享目录权限检查:确保共享目录权限最小化 二进制文件目录权限检查:确保二进制文件目录权限最小化 数据目录权限检查:确保数据目录权限最小化 日志归档目录权限检查:检查${GAUSSHOME}/archive目录,确保日志归档目录权限最小化 postgresql.conf文件权限检查:确保postgresql.conf文件权限最小化 pg_hba.conf文件权限检查:确保pg_hba.conf文件权限最小化 日志目录权限检查:确保日志目录权限最小化 |
A3 | 安全认证配置(Security authentication configuration) |
客户端认证超时时间检查:确保客户端认证超时时间配置正确 认证加密迭代次数检查:确保认证加密迭代次数配置正确 账户登录失败尝试次数检查:确保账户登录失败尝试次数配置正确 |
A4 | 账号口令管理(Account_password_management) |
密码复杂度校验检查:确保开启密码复杂度校验 密码加密方式检查:确保密码加密方式配置正确 密码不可重用天数检查:确保密码不可重用天数配置正确 账户自动解锁时间检查:确保账户自动解锁时间配置正确 首次登录时修改初始用户的密码检查:确保首次登录时修改初始用户的密码 用户的有效期限检查:确保配置用户的有效期限 密码的有效期限检查:确保配置密码的有效期限 |
A5 | 权限管理(Permission management) |
pg_authid系统表的权限检查:禁止PUBLIC角色拥有pg_authid系统表的权限 public模式下CREATE权限检查:禁止PUBLIC角色在public模式下拥有CREATE权限 对象的所有权限检查:禁止将对象的所有权限授予PUBLIC角色 普通用户非必须的管理权限检查:确保撤销普通用户非必须的管理权限 三权分立配置检查:确保开启三权分立配置 管理员服务端文件COPY权限检查:确保取消系统管理员服务端文件COPY权限 |
A6 | 数据库审计(Database auditing) |
数据库审计功能检查:确保开启数据库审计功能 用户登录和注销审计检查:确保开启用户登录和注销审计 数据库启动、停止、恢复和切换审计检查:确保开启数据库启动、停止、恢复和切换审计 用户锁定和解锁审计检查:确保开启用户锁定和解锁审计 权限授予和回收审计检查:确保开启权限授予和回收审计 数据库对象的添加、删除、修改审计检查:确保开启数据库对象的添加、删除、修改审计 数据库对象的查询审计检查:确保开启数据库对象的查询审计 审计优先策略检查:确保审计优先策略配置正确 单个审计文件的最长记录时间检查:确保单个审计文件的最长记录时间配置正确 单个审计日志文件的最大容量检查:确保单个审计日志文件的最大容量配置正确 审计日志文件占用的最大磁盘空间检查:确保所有审计日志文件占用的最大磁盘空间配置正确 审计日志文件最大数目检查:确保审计日志文件最大数目配置正确 |
A7 | 错误报告和日志配置(Error reporting and logging configuration) |
日志收集器检查:确保开启日志收集器 日志名称检查:确保日志名称配置正确 日志文件权限检查:确保日志文件权限配置正确 覆盖写入同名日志文件检查:禁止覆盖写入同名日志文件 单个日志文件最大记录时间检查:确保单个日志文件最大记录时间配置正确 单个日志文件最大容量检查:确保单个日志文件最大容量配置正确 客户端日志等级检查:确保客户端日志等级配置正确 服务器日志等级检查:确保服务器日志等级配置正确 记录产生错误的SQL语句日志级别检查:确保记录产生错误的SQL语句日志级别配置正确 用户登录时日志记录功能检查:确保开启用户登录时日志记录功能 用户注销时日志记录功能检查:确保开启用户注销时日志记录功能 写入服务器日志的详细度检查:确保写入服务器日志的详细度配置正确 日志记录主机名检查:确保日志不记录主机名 解析树调试打印检查:确保关闭解析树调试打印开关 执行计划调试打印检查:确保关闭执行计划调试打印开关 查询重写调试打印检查:确保关闭查询重写调试打印开关 |
A8 | 备份配置(Backup configuration) |
WAL信息记录级别检查:确保WAL信息记录级别配置正确 归档模式检查:确保开启归档模式 |
A9 | 运行环境配置(Runtime environment configuration) |
文件权限掩码检查:确保文件权限掩码配置正确 用户进程信息检查:确保对其他用户隐藏进程信息 NTP时钟同步检查:确保开启NTP时钟同步 |
A10 | 其它配置(Other configurations) |
backslash_quote参数检查:确保backslash_quote参数配置正确 系统表结构检查:禁止修改系统表结构 |
B1 | 设置连接配置(Set Connection configuration) |
侦听主机IP地址设置:当参数值为 * 时,进行修改设置 数据库实例的最大连接数设置:当参数值不为5000时,进行修改设置为默认值为5000 Database的最大连接数设置:当参数值为-1或大于1024时表示不限制连接,进行修改设置为1024 管理员使用的连接数设置:当参数值不为3时,进行修改设置 用户的最大连接数设置:当用户允许无限制连接时,进行修改设置为1024 UNIX域套接字的访问权限设置:当参数值不为0700时,进行修改设置 服务端使能SSL连接设置:确保该功能开启,如果不开启则修改设置 |
B2 | 设置文件目录安全(Set File directory security) | 数据库安装目录权限设置:当数据库安装目录权限不是最小化时,对其进行修改设置。 共享目录权限设置:当数据库共享目录权限不是最小化时,对其进行修改设置。 二进制文件目录权限设置:当二进制文件目录权限不是最小化时,对其进行修改设置。 数据目录权限设置:当数据目录权限不是最小化时,对其进行修改设置。 日志归档目录权限设置:当日志归档目录权限不是最小化时,对其进行修改设置。 postgresql.conf文件权限设置:当postgresql.conf文件权限不是最小化时,对其进行修改设置。 pg_hba.conf文件权限设置:当pg_hba.conf文件权限不是最小化时,对其进行修改设置。 日志目录权限设置:当日志目录权限不是最小化时,对其进行修改设置。 |
B3 | 设置安全认证配置(Set Security authentication configuration) | 客户端认证超时时间设置:当参数值不为1min时,对其进行修改设置。 认证加密迭代次数设置:当参数值小于10000时,对其进行修改设置 账户登录失败尝试次数设置:当参数值为0时,对其进行修改设置为默认值10 |
B4 | 设置账号口令管理(Set Account password management) | 密码复杂度校验设置:当参数值不为1时,对其进行修改设置。 密码加密方式设置:当参数值为0或1则失败,对其进行修改设置参数为2 密码不可重用天数设置:当参数值为0时,对其进行修改设置为60 账户自动解锁时间设置:当参数值为0时,对其进行修改设置为1d 用户有效期限设置:当存在未配置有效期的用户时,对其进行修改配置 密码有效期配置:当参数值为0时,对其进行修改配置为90 |
B5 | 设置权限管理(Set Permission management) | pg_authid表权限用户设置:禁止PUBLIC角色拥有pg_authid系统表的权限 public模式create权限设置:禁止PUBLIC角色在public模式下拥有CREATE权限 角色所有权限设置:禁止将对象的所有权限授予PUBLIC角色 普通用户管理权限设置:确保撤销普通用户非必须的管理权限 三权分立设置:当参数值不为on时,对其修改确保开启三权分立配置 管理员copy权限设置:确保取消系统管理员服务端文件COPY权限 |
B6 | 设置数据库审计(Set Database auditing) | 数据库审计功能设置:如果数据库审计功能为开启,将该功能开启。 用户登录和注销审计设置:当参数值不为7时,对其进行修改设置 数据库启动、停止、恢复和切换审计设置:当参数值不为1时,对参数进行修改 用户锁定和解锁审计设置:当参数值不为1时,对其进行修改设置 权限授予和回收审计设置:当参数值不为1时,对其进行修改设置 数据库对象的添加、删除、修改和审计设置:当参数之小于67121159时,对其进行设置为默认值67121159 数据库对象的查询审计设置:当参数值不为1时,对其进行修改设置 审计优先策略设置:当该功能未开启时,进行设置开启 单个文件的最长记录时间设置:当单个记录时间不为1d时,进行设置推荐设置为默认值1d 单个审计日志文件的最大容量设置:当参数值不为10MB时,进行设置推荐设置为10MB 所有审计日志文件占用的最大磁盘空间设置:当参数值不为1GB时,进行设置推荐配置不小于1GB 审计日志文件最大数目设置:当参数值不为1048576时,进行设置推荐设置为默认值1048576 |
B7 | 设置错误报告和日志配置(Set Error reporting and logging configuration) | 日志收集器设置:当该功能未开启时进行设置开启。 日志名称设置:当参数值不为默认配置时,进行修改配置 日志文件权限设置:当参数值不为0600时,进行修改设置 覆盖写入同名文件设置:当参数值不为off时进行设置 单个日志文件文件最大记录时间设置:当参数值不为1d时进行设置,推荐设置为默认值1d 单个日志文件最大容量设置:当参数值不为20MB时,推荐设置为默认值20MB 客户端日志等级设置:当参数值不为notice时,进行设置 服务器日志等级设置:当参数值不为warning时,进行设置 记录产生错误的SQL语句日志级别设置:当参数值不为error时进行设置 用户登录时日志记录设置:当参数值不为on时,进行设置修改 用户注销时日志记录设置:当该功能不开启时,进行设置开启 写入服务器日志的详细度设置:当参数值不为default时,进行设置修改 日志不记录主机名设置:当参数值不为off时进行设置修改 解析树调试设置:当参数值设置不为off时,进行设置修改 执行计划调试打印设置:当参数值不为off时,进行设置修改 重写调试打印设置:当参数值不为off时,进行设置修改 |
B8 | 设置备份配置(Set Backup configuration) | WAL信息记录级别设置:检查该参数的值是否为hot_standby,如果不是进行设置修改 |
B9 | 设置运行环境配置(Set Runtime environment configuration) | 文件权限掩码设置:当该参数值不为0077时,进行修改设置,需用户手动执行source ~/.bashrc命令 |
B10 | 设置其它配置(Set Other configurations) | backslash_quote参数设置:当该参数值不为safe_encoding时,进行修改设置 系统表结构设置:当参数值不为off时,进行修改设置 |