等保测评命令——南大通用数据库GBase

各位大佬，想看那种网络设备/操作系统/数据库/中间件的测评命令清单，可在留言区留言！

依据 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级”安全计算环境” 条款，结合南大通用各产品官方安全指南及现场测评实践。

适用产品：GBase 8a MPP Cluster / GBase 8s / GBase 8c / GBase XDM

一、GBase 8a MPP Cluster（分析型数据库）

1.1 身份鉴别

GBase 8a特有配置：

# 连接GBase 8a（coordinator节点）
gccli -u root -p-h192.168.1.100 -P5258

# 查看所有用户及认证方式
SELECT 
    user,
    host,
    authentication_string,
    plugin,
    password_lifetime,
    account_locked,
    password_expired
FROM gbase.user;

# 查看密码策略详细配置（GBase 8a V9.5+）
SHOW VARIABLES LIKE 'validate_password%';
-- validate_password_policy=MEDIUM（策略级别）
-- validate_password_length=8（最小长度）
-- validate_password_mixed_case_count=1（大小写）
-- validate_password_number_count=1（数字）
-- validate_password_special_char_count=1（特殊字符）

# 查看登录失败锁定配置（GBase特有）
SHOW VARIABLES LIKE 'gbase_login_lock%';
-- gbase_login_lock_enabled=ON（启用锁定）
-- gbase_login_lock_max_failed=5（最大失败次数）
-- gbase_login_lock_duration=1800（锁定时间秒）

# 查看被锁定账户
SELECT user, host, account_locked, lock_time 
FROM gbase.user 
WHERE account_locked='Y';

# 查看SSL配置
SHOW VARIABLES LIKE 'ssl%';
SHOW VARIABLES LIKE 'require_secure_transport';

# 查看当前连接加密状态
SELECT 
    id,
    user,
    host,
    ssl_type,
    ssl_cipher
FROM gbase.processlist
WHERE ssl_type IS NOT NULL;

1.2 访问控制

-- 查看GBase 8a权限系统（类似MySQL但增强）
SELECT
user,
    host,
    Select_priv,
    Insert_priv,
    Update_priv,
    Delete_priv,
    Create_priv,
    Drop_priv,
    Grant_priv,
    Super_priv
FROM gbase.user
WHEREuserNOTIN('gbase','root');

-- 查看数据库级权限
SELECT
    host,
    db,
user,
    Select_priv,
    Insert_priv,
    Create_priv
FROM gbase.db;

-- 查看表级权限
SELECT
    host,
    db,
user,
    table_name,
    table_priv
FROM gbase.tables_priv;

-- 查看GBase 8a特有角色（V9.5+）
SELECT
    role_name,
    role_type,
    is_default
FROM gbase.roles;

-- 查看用户角色映射
SELECT
user,
    host,
    role_name
FROM gbase.role_edges;

-- 查看资源队列（GBase 8a特有，用于访问控制）
SELECT
    queue_name,
    priority,
    max_memory,
    max_cpu,
    max_concurrency
FROM gbase.queues;

-- 查看用户资源限制
SELECT
user,
    max_queries_per_hour,
    max_updates_per_hour,
    max_connections_per_hour,
    max_user_connections
FROM gbase.user_resources;

1.3 安全审计

-- 查看审计总开关（GBase 8a企业版）
SHOW VARIABLES LIKE'gbase_audit%';

-- 查看审计详细配置
SHOW VARIABLES LIKE'gbase_audit_log%';
-- gbase_audit_log=ON（审计开关）
-- gbase_audit_log_file=/var/log/gbase/audit.log（审计文件路径）
-- gbase_audit_log_format=JSON（审计格式）
-- gbase_audit_log_buffer_size=16M（缓冲区大小）
-- gbase_audit_log_rotate_on_size=100M（轮转大小）
-- gbase_audit_log_rotations=10（保留文件数）

-- 查看审计规则（精细化审计）
SELECT
    audit_id,
    user_name,
    host_name,
    db_name,
    table_name,
    operation_type,
    enabled
FROM gbase.audit_rules;

-- 查看审计日志内容（需审计管理员权限）
SELECT
    event_time,
    user_name,
    host_name,
    operation_type,
    db_name,
    table_name,
    sql_text,
    return_code
FROM gbase.audit_log
WHERE event_time > DATE_SUB(NOW(),INTERVAL7DAY)
ORDERBY event_time DESC
LIMIT100;

-- 查看审计日志文件（操作系统层）
-- ls -la /var/log/gbase/audit*.log
-- 权限应为640 gbase:gbase

1.4 数据安全与加密

-- 查看透明加密配置（GBase 8a企业版）
SHOW VARIABLES LIKE'gbase_encrypt%';

-- 查看列级加密（GBase特有）
SELECT
    table_schema,
    table_name,
    column_name,
    encryption_algorithm
FROM gbase.encrypted_columns;

-- 查看数据脱敏策略（GBase 8a V9.5+）
SELECT
    policy_name,
    table_schema,
    table_name,
    column_name,
    mask_function
FROM gbase.masking_policies;

-- 查看脱敏策略应用
SELECT
    user_name,
    policy_name,
    grant_option
FROM gbase.masking_grants;

二、GBase 8s（事务型数据库，基于Informix）

2.1 身份鉴别

GBase 8s特有配置：

# 设置GBase 8s环境变量
exportGBASEDBTSERVER=gbase8s
exportGBASEDBTDIR=/opt/gbase8s
exportPATH=$GBASEDBTDIR/bin:$PATH
exportINFORMIXDIR=$GBASEDBTDIR
exportONCONFIG=onconfig.gbase8s

# 连接GBase 8s
dbaccess - -

# 查看数据库管理员（DBA）
SELECT 
    username,
    usertype,
    priority
FROM sysusers
WHERE usertype IN ('DBA', 'DBSA', 'DBSSO', 'AAO');

-- GBase 8s特有权限角色：
-- DBA: 数据库管理员
-- DBSA: 数据库系统管理员
-- DBSSO: 数据库安全官（审计）
-- AAO: 审计分析官

# 查看用户认证方式
SELECT 
    username,
    usertype,
    password,
    locked
FROM sysusers
WHERE username NOT LIKE 'public%';

# 查看密码策略（通过onconfig文件）
onstat -c|grep-E'PASSWORD|LOCK|SECURITY'

# 关键配置项：
-- DBSERVERALIAS: 监听别名
-- DB_LOCALE: 本地字符集
-- CLIENT_LOCALE: 客户端字符集
-- SECURITY_LOCALE: 安全策略
-- PASSWORD_HISTORY: 密码历史
-- PASSWORD_MIN_LENGTH: 最小长度
-- PASSWORD_MAX_AGE: 最大有效期
-- FAILED_LOGIN_ATTEMPTS: 失败尝试次数
-- LOCKOUT_TIME: 锁定时间

# 查看SSL配置
onstat -c|grep-i ssl
onstat -g ssl  # 查看SSL状态

# 查看当前会话
onstat -g ses |head-20

2.2 访问控制

-- 查看数据库级权限
SELECT
    d.grantor,
    d.grantee,
    d.tabauth[1,10],
    d.colauth[1,10]
FROM sysdbauth d;

-- 查看表级权限
SELECT
    t.grantor,
    t.grantee,
    t.tabname,
    t.tabauth
FROM systabauth t
WHERE t.grantee !='public';

-- 查看存储过程权限
SELECT
    p.grantor,
    p.grantee,
    p.procname,
    p.procauth
FROM sysprocauth p;

-- 查看角色（GBase 8s V14+）
SELECT
    rolename,
    owner
FROM sysroleauth;

-- 查看行级安全标签（LBAC，企业版）
SELECT
    labelid,
    labelname,
type
FROM sysseclabels;

-- 查看安全策略
SELECT
    policyid,
    policyname,
type,
    defaultlabel
FROM syssecpolicies;

2.3 安全审计

# 查看审计配置（onconfig）
onstat -c|grep-E'AUDIT|AAO'

# 关键审计配置：
-- ADTFILES: 审计文件数量
-- ADTPATH: 审计文件路径
-- ADTROWS: 审计行数限制
-- ADTMODE: 审计模式（0=关，1=开，2=连续）

# 查看审计日志
ls-la$GBASEDBTDIR/audit/
onaudit -l# 列出审计记录

# 查看审计规则
onaudit -c# 查看当前配置
onaudit -q# 查询审计记录

# 查看审计事件类型
onaudit -e# 查看事件掩码

# 查看AAO（审计分析官）配置
SELECT 
    username,
    usertype
FROM sysusers
WHERE usertype ='AAO';

2.4 数据加密

-- 查看列级加密（GBase 8s内置加密）
SELECT
    tabname,
    colname,
    coltype,
    extended_id
FROM syscolumns c
JOIN systables t ON c.tabid = t.tabid
WHERE coltype ='BLOB'-- 加密数据通常存储为BLOB
AND extended_id IN(
SELECT extended_id 
FROM sysxtdtypes 
WHERE name LIKE'%encrypt%'
);

-- 查看表空间加密（企业版）
SELECT
    name,
    fchunk,
    flags,
    is_encrypted
FROM sysdbspaces
WHERE is_encrypted =1;

-- 查看加密配置
SELECT
    cf_name,
    cf_effective,
    cf_default
FROM sysconfig
WHERE cf_name LIKE'%CRYPTO%'
OR cf_name LIKE'%ENCRYPT%';

三、GBase 8c（分布式数据库，基于PostgreSQL）

3.1 身份鉴别

GBase 8c特有配置：

# 连接GBase 8c（coordinator节点）
gsql -U gbase -d postgres -h192.168.1.100 -p5432

# 查看所有用户
SELECT 
    usename,
    usesuper,
    usecreatedb,
    valuntil,
passwd IS NULL as is_empty
FROM pg_user;

# 查看GBase 8c密码策略
SHOW passwordcheck;
SHOW passwordcheck.min_length;        -- 最小长度
SHOW passwordcheck.min_upper_case;    -- 大写字母
SHOW passwordcheck.min_lower_case;    -- 小写字母
SHOW passwordcheck.min_digit;         -- 数字
SHOW passwordcheck.min_special;     -- 特殊字符

# 查看GBase 8c特有登录锁定
SHOW gbase_login_lock.enabled;
SHOW gbase_login_lock.max_failed;     -- 最大失败次数
SHOW gbase_login_lock.lock_duration;  -- 锁定时间

# 查看锁定用户
SELECT * FROM gbase_login_lock_status WHERE is_locked =true;

# 查看SSL配置
SHOW ssl;
SHOW ssl_cert_file;
SHOW ssl_key_file;
SHOW ssl_ca_file;
SHOW gbase_ssl_ciphers;  -- GBase特有国密套件

3.2 访问控制

-- 查看GBase 8c三权分立
SHOW gbase_sepofpowers;

-- 查看安全管理员（gbase_security）
gsql -U gbase_security -c "SELECT current_user;"

-- 查看审计管理员（gbase_audit）
gsql -U gbase_audit -c "SELECT current_user;"

-- 查看普通管理员（gbase）
gsql -U gbase -c "SELECT current_user;"

-- 查看所有角色
SELECT
    rolname,
    rolsuper,
    rolinherit,
    rolcreaterole,
    rolcreatedb,
    rolcanlogin
FROM pg_roles
WHERE rolname !~'^pg_';

-- 查看行级安全策略
SELECT
    schemaname,
    tablename,
    rowsecurity
FROM pg_tables
WHERE rowsecurity =true;

-- 查看具体策略
SELECT*FROM pg_policies;

-- 查看分布式权限（GBase 8c特有）
SELECT
    node_name,
    node_type,
    node_host
FROM pgxc_node;

-- 查看节点级权限
SELECT
    grantor,
    grantee,
    node_name,
    privilege_type
FROM gbase.node_privileges;

3.3 安全审计

-- 查看GBase 8c审计总开关
SHOW gbase_audit.enable;

-- 查看审计详细配置
SHOW gbase_audit.log_directory;
SHOW gbase_audit.log_format;
SHOW gbase_audit.log_rotation_age;
SHOW gbase_audit.log_rotation_size;

-- 查看审计规则
SELECT*FROM gbase_audit_rules;

-- 查看审计日志（需审计管理员）
SELECT
    event_time,
    event_type,
    user_name,
    client_addr,
    database_name,
    query,
    result
FROM gbase_audit_log
WHERE event_time >NOW()-INTERVAL'7 days'
ORDERBY event_time DESC
LIMIT100;

-- 查看审计日志文件
-- ls -la $PGDATA/gbase_audit/
-- 权限应为640 gbase:gbase

3.4 数据安全

-- 查看透明加密（TDE）
SHOW gbase_transparent_encrypt;
SHOW gbase_transparent_encrypt_algorithm;-- SM4/AES256

-- 查看加密表空间
SELECT
    spcname,
    spcencrypt,
    spcencalgorithm
FROM pg_tablespace
WHERE spcencrypt =true;

-- 查看列级加密
SELECT*FROM gbase_encrypted_columns;

-- 查看数据脱敏
SELECT*FROM gbase_redaction_policies;
SELECT*FROM gbase_redaction_columns;

-- 查看国密支持
SHOW gbase_ssl_gm;
SHOW gbase_ssl_gm_ciphers;

四、通用安全检查（所有GBase产品）

4.1 操作系统层安全

# 查看进程运行用户（不应是root）
ps-ef|grep-E'gbase|gbased|gbasedbt'|grep-vgrep

# GBase 8a
ps-ef|grep gbased |head-5

# GBase 8s
ps-ef|grep oninit |head-5

# GBase 8c
ps-ef|grep gbase |grep-E'coordinator|datanode'|head-5

# 查看文件权限
ls-la /opt/gbase*/ 2>/dev/null |head-10
ls-la /opt/gbase8s/ 2>/dev/null |head-10

# 查看配置文件权限（应640或600）
find /opt/gbase* -name"*.conf"-o-name"*.cnf"-o-name"*.sql"2>/dev/null |xargsls-la|grep-v'rw-r-----'|grep-v'rw-------'|head-5

# 查看日志文件权限（应640）
ls-la /var/log/gbase*/ 2>/dev/null
ls-la$GBASEDBTDIR/audit/ 2>/dev/null

# 查看端口监听（应绑定特定IP）
ss -tulnp|grep-E'5258|9088|5432|15432'

# 查看GBase 8a集群节点
gcadmin
gcadmin showdistribution

4.2 国密算法支持检查

# GBase 8a国密检查
gccli -e"SHOW VARIABLES LIKE '%gm%';"

# GBase 8s国密检查
onstat -c|grep-i gm

# GBase 8c国密检查
gsql -U gbase -c"SHOW gbase_ssl_gm;"
gsql -U gbase -c"SHOW gbase_ssl_gm_ciphers;"

# 检查国密证书
ls-la /opt/gbase*/ssl/*gm* 2>/dev/null
ls-la$GBASEDBTDIR/ssl/ 2>/dev/null
ls-la$PGDATA/*.gm.* 2>/dev/null

4.3 备份与恢复

# GBase 8a备份检查
ls /backup/gbase8a/ 2>/dev/null
crontab-l|grep gbase

# GBase 8s备份检查
ls /backup/gbase8s/ 2>/dev/null
onstat -c|grep-E'LTAPEDEV|LTAPEBLK|LTAPESIZE'

# GBase 8c备份检查
ls /backup/gbase8c/ 2>/dev/null
gsql -U gbase -c"SHOW archive_mode;"
gsql -U gbase -c"SELECT * FROM pg_stat_archiver;"

# 查看备份计划任务
crontab-l|grep-E'gbase|rman|ontape|gs_basebackup'
ls /etc/cron.d/*gbase* 2>/dev/null

五、一键巡检脚本（GBase系列）

#!/bin/bash
# 南大通用数据库（GBase）等保三级一键巡检脚本
# 适用：GBase 8a / 8s / 8c

echo"===== 南大通用数据库等保三级巡检 ====="
echo"巡检时间：$(date)"
echo"主机名：$(hostname)"
echo""

# 检测GBase产品
detect_gbase(){
# 检测GBase 8a
if[-d"/opt/gbase"]||command-v gccli &> /dev/null;then
echo"GBase 8a"
fi

# 检测GBase 8s
if[-d"/opt/gbase8s"]||[-n"$GBASEDBTDIR"];then
echo"GBase 8s"
fi

# 检测GBase 8c
if[-d"/opt/gbase8c"]||command-v gsql &> /dev/null;then
echo"GBase 8c"
fi
}

PRODUCTS=$(detect_gbase)
if[-z"$PRODUCTS"];then
echo"未检测到GBase产品，请检查安装路径"
exit1
fi

echo"检测到以下GBase产品："
echo"$PRODUCTS"
echo""

# GBase 8a 巡检
check_gbase8a(){
echo"===== GBase 8a MPP Cluster 巡检 ====="

echo"--- 版本信息 ---"
    gccli -e"SELECT @@version;"2>/dev/null ||echo"无法连接"

echo"--- 用户检查 ---"
    gccli -e"SELECT user, host, plugin, password_lifetime, account_locked FROM gbase.user WHERE user NOT IN ('gbase','root');"2>/dev/null

echo"--- 密码策略 ---"
    gccli -e"SHOW VARIABLES LIKE 'validate_password%';"2>/dev/null

echo"--- 登录锁定 ---"
    gccli -e"SHOW VARIABLES LIKE 'gbase_login_lock%';"2>/dev/null

echo"--- SSL配置 ---"
    gccli -e"SHOW VARIABLES LIKE 'ssl%';"2>/dev/null

echo"--- 审计配置 ---"
    gccli -e"SHOW VARIABLES LIKE 'gbase_audit%';"2>/dev/null

echo"--- 集群状态 ---"
    gcadmin 2>/dev/null |head-10||echo"gcadmin命令不可用"
echo""
}

# GBase 8s 巡检
check_gbase8s(){
echo"===== GBase 8s 巡检 ====="

echo"--- 版本信息 ---"
    onstat -V2>/dev/null ||echo"无法获取版本"

echo"--- 数据库管理员 ---"
echo"DBSA: $(onstat -c|grep DBSA 2>/dev/null)"
echo"DBSSO: $(onstat -c|grep DBSSO 2>/dev/null)"
echo"AAO: $(onstat -c|grep AAO 2>/dev/null)"

echo"--- 安全配置 ---"
    onstat -c|grep-E'PASSWORD|SECURITY|LOCK|AUDIT'2>/dev/null |head-10

echo"--- SSL状态 ---"
    onstat -g ssl 2>/dev/null |head-5||echo"SSL未配置"

echo"--- 审计配置 ---"
    onaudit -c2>/dev/null |head-10||echo"审计未配置"

echo"--- 会话状态 ---"
    onstat -u2>/dev/null |head-10
echo""
}

# GBase 8c 巡检
check_gbase8c(){
echo"===== GBase 8c 分布式数据库 巡检 ====="

echo"--- 版本信息 ---"
    gsql -U gbase -c"SELECT version();"2>/dev/null |head-1

echo"--- 三权分立 ---"
    gsql -U gbase -c"SHOW gbase_sepofpowers;"2>/dev/null

echo"--- 密码策略 ---"
    gsql -U gbase -c"SHOW passwordcheck.enable;"2>/dev/null

echo"--- 登录锁定 ---"
    gsql -U gbase -c"SHOW gbase_login_lock.enabled;"2>/dev/null

echo"--- SSL配置 ---"
    gsql -U gbase -c"SHOW ssl;"2>/dev/null

echo"--- 审计配置 ---"
    gsql -U gbase -c"SHOW gbase_audit.enable;"2>/dev/null

echo"--- 透明加密 ---"
    gsql -U gbase -c"SHOW gbase_transparent_encrypt;"2>/dev/null

echo"--- 国密支持 ---"
    gsql -U gbase -c"SHOW gbase_ssl_gm;"2>/dev/null
echo""
}

# 执行巡检
forproductin$PRODUCTS;do
case$productin
"GBase 8a")
            check_gbase8a
;;
"GBase 8s")
            check_gbase8s
;;
"GBase 8c")
            check_gbase8c
;;
esac
done

echo"===== 通用安全检查 ====="
echo"--- 文件权限检查 ---"
find /opt/gbase* -type f \(-name"*.conf"-o-name"*.cnf"-o-name"*.sql"\)-perm /o+rwx -ls2>/dev/null |head-5||echo"配置文件权限正常"

echo"--- 端口监听检查 ---"
ss -tulnp|grep-E'5258|9088|5432|15432|6150'2>/dev/null |head-5

echo"--- 国密库检查 ---"
find /opt/gbase* -name"*gm*"-o-name"*sm2*"-o-name"*sm3*"-o-name"*sm4*"2>/dev/null |head-5||echo"未检测到国密库文件"

echo"--- 备份检查 ---"
ls /backup/gbase*/ 2>/dev/null |head-5||echo"未找到标准备份目录"

echo""
echo"===== 巡检完成 ====="
echo"详细结果请查看上方输出，重点关注以下高风险项："
echo"1. 默认root/gbase账户口令未修改"
echo"2. 未启用SSL加密连接"
echo"3. 未启用密码复杂度策略"
echo"4. 未配置登录失败锁定"
echo"5. 审计功能未启用"
echo"6. 未启用三权分立（GBase 8c）"
echo"7. 未启用透明数据加密"
echo"8. 备份策略未配置"

六、高风险项重点核查清单

七、南大通用产品对比

八、等保测评执行要点

1. 产品版本确认

• GBase 8a V9.5+ 完整支持国密和高级安全特性
• GBase 8s V14+ 支持LBAC和高级审计
• GBase 8c V2.0+ 完整支持三权分立和国密SSL

2. 国密合规检查重点

# GBase 8a国密检查
gccli -e"SELECT @@ssl_cipher;"
gccli -e"SHOW STATUS LIKE 'Ssl_cipher';"

# GBase 8s国密检查
onstat -g ssl |grep-i sm

# GBase 8c国密检查
gsql -U gbase -c"SELECT * FROM pg_stat_ssl;"

# 检查密码机接入
gccli -e"SHOW VARIABLES LIKE 'gbase_hsm%';"# GBase 8a
gsql -U gbase -c"SHOW gbase_kms_type;"# GBase 8c

3. 现场访谈要点

• GBase 8a集群节点间通信是否加密
• GBase 8s的DBSA/DBSSO/AAO是否由不同人员担任
• GBase 8c的coordinator和datanode间是否启用SSL
• 是否定期更换管理员口令（≤90天）
• 是否定期验证备份可恢复性

4. 版本差异

参考标准：GB/T 22239-2019、GB/T 28448-2019、GM/T 0054-2018（国密数据库标准）、南大通用GBase安全加固指南

适用版本：GBase 8a V9.0+ / GBase 8s V12+ / GBase 8c V2.0+

验证环境：x86_64 / ARM64 / 国产化芯片（飞腾/鲲鹏/龙芯/海光/兆芯/申威）