安全和审计
对于 Db2® Mirror 的配置和管理,存在安全注意事项和审计日志条目。
安全性注意事项
- 管理 Db2 Mirror 的权限需求
要管理 Db2 Mirror 环境,可能需要向用户授予对服务或对象的权限以执行某些任务。 某些任务甚至可能需要功能使用或特殊权限。 缺省情况下, *PUBLIC 只能查看 Db2 镜像设置。
请参阅 Db2 镜像服务 ,以获取有关为配置和管理 Db2 镜像而提供的所有服务的详细信息。
有关每个 Db2 Mirror 服务的详细权限需求和缺省 *PUBLIC 权限,请参阅 授权 。
可以使用 Db2 镜像 GUI 中的 Db2 镜像数据访问 功能来修改对 Db2 镜像对象的访问。 GUI 将在两个节点上配置权限。
图 1。 Db2 镜像 GUI 中的 Db2 镜像数据访问 
- 复制条件列表权限注意事项
复制条件列表 (RCL) 包含可用于确定节点上是否存在对象的对象复制规则。 缺省情况下,对 RCL 物理文件 QSYS2/MIRROR_RCL 的 *PUBLIC 权限为 *EXCLUDE。
可以使用 "授予对象权限" (GRTOBJAUT) 和 "撤销对象权限" (RVKOBJAUT) CL 命令来修改对 RCL 文件的访问。 负责配置对象复制和管理复制列表规则的管理员将需要对 RCL 文件的访问权。
有关用于管理 RCL 的每个服务的授权需求的详细信息,请参阅 复制服务 。
- 对象跟踪列表权限注意事项
缺省情况下,对对象跟踪列表 (OTL) 物理文件 QRECOVERY/QADBRSYSTS 的 *PUBLIC 权限为 *EXCLUDE。
可以使用 Db2 镜像 GUI 中的 Db2 镜像数据访问 功能来修改对 OTL 文件的访问。 监视再同步进度的系统管理员将需要访问 OTL。
OTL 包含有关复制对象和跟踪操作的元数据。 当授予用户对 OTL 的权限时,无论用户是否对复制的对象具有对象级别权限,都可以看到此元数据。 OTL 不包含数据库文件行映像。 建议将已被授予选择特权的用户数限制为 OTL。
对于超出文件本身权限的 OTL ,存在额外的安全注意事项。 在某些情况下,您可能希望从 OTL 中除去未处理的条目。 当用户延迟来自 OTL 的条目时,会将 Db2 Mirror 定向到不再尝试处理与该条目相关的再同步主题。 通过延迟该条目,相关对象在节点对之间将不再相同。 OTL 条目的用户延迟不是常见情况,但在某些恢复场景中可能是必需的。 因此,用户需要以授权 QIBM_DB2_MIRROR 函数用法标识的形式进行额外授权。
建议仅向同时具有管理此关键 Db2 镜像主题的知识和责任的管理员授予 QIBM_DB2_MIRROR 函数使用权限。
- 提交的作业跟踪程序权限注意事项
IBM® i 服务用于管理 "已提交的作业跟踪程序" 功能部件。 请参阅 工作管理服务 ,以获取有关用于管理 "已提交的作业跟踪程序" 的每个服务的授权需求的详细信息。
提交的作业跟踪程序维护大量物理文件以存储要跟踪的作业队列列表,并存储有关每个被跟踪作业的作业参数和作业状态信息。 缺省情况下,对于以下每个物理文件1,将 *PUBLIC 权限设置为 *EXLUDE:- 作业队列列表 (JQL) 物理文件是 QSYS/QAMRDJQL。
- 作业跟踪文件的物理文件为 QSBMJOBTRK/QAMRDJTS 和 QSBMJOBTRK/QAMRDJTT。
- 复制与安全性相关的系统值的注意事项
如果已使用 "启动服务工具" (STRSST) 中的选项来阻止更改某些与安全性相关的系统值,那么不允许更改这些值。 如果尝试更改已使用此功能锁定的系统值,那么将不允许进行更改。 有关可以锁定哪些系统值的更多信息,请参阅 与安全性相关的系统值的锁定功能 。
锁定系统值不是复制的功能,因此如果在目标节点上锁定系统值,那么这些系统值的复制或再同步将失败。
有关其他安全注意事项,请参阅 安全准则
审计
您可以审计 Db2 Mirror 环境的配置,管理和状态。
- 审计 Db2 镜像操作
要审计 Db2 镜像操作,请配置 IBM i 安全性审计级别以包含 *SYSMGT。 请参阅 安全性审计日志项 ,以获取在指定 *SYSMGT 时审计的操作的完整描述。
使用 "更改安全性审计" (CHGSECAUD) 命令来设置系统值并创建 QAUDJRN 日志 (如果它尚不存在)。
- 设置期间的审计行为
从第三个节点启动的克隆操作将在设置源节点上生成 M0 审计日志项。 如果设置源节点在操作时断电,那么将改为在第三个节点上写入审计日志项。
- 活动复制期间的审计行为
当复制处于活动状态时,当在每个节点上同步进行更改时,将对每个节点上的大多数操作自然进行审计。 一个例外是 IFS 操作,它将仅在 IASP 联机的节点上生成审计记录。
- 再同步期间的审计行为
在 QSECOFR 用户概要文件下运行的 QDBMSRVR 作业中的目标节点上处理暂挂复制时跟踪的更改的再同步。 由于再同步而在目标节点上写入的审计日志项或数据日志项将记录为用户 QSECOFR ,而不是最初在源节点上进行更改的用户。
- 审计已提交的作业跟踪程序操作
要审计 "已提交作业跟踪程序" 操作,请配置 IBM i 安全性审计级别以包含 *OBJAUD。 当指定了 *OBJAUD 时,请参阅 规划对象访问的审计 ,以获取对安全性审计日志中对象的审计访问的完整描述。
使用 "更改安全性审计" (CHGSECAUD) 命令来设置系统值并创建 QAUDJRN 日志 (如果它尚不存在)。
缺省情况下,没有为 "已提交的作业跟踪程序" 所使用的文件启用对象审计。 以下示例使用 Change Object Auditing (CHGOBJAUD) CL 命令来更改 "已提交作业跟踪程序" 所使用的每个物理文件的对象审计值:- 要使用对象审计来收集有关 JQL 的更改访问权的信息,请执行以下命令:
CHGOBJAUD OBJ(QSYS/QAMRDJQL) OBJTYPE(*FILE) OBJAUD(*CHANGE) - 要使用对象审计来收集有关针对作业跟踪文件的更改和读访问权的信息,请执行以下命令1:
CHGOBJAUD OBJ(QSBMJOBTRK/QAMRDJTS) OBJTYPE(*FILE) OBJAUD(*ALL) CHGOBJAUD OBJ(QSBMJOBTRK/QAMRDJTT) OBJTYPE(*FILE) OBJAUD(*ALL)
可以使用 使用查询或程序分析审计日志项 中描述的方法来分析审计日志项
- 要使用对象审计来收集有关 JQL 的更改访问权的信息,请执行以下命令:
- Db2 镜像审计日志条目
- 以下审计日志项将写入 Db2 Mirror 环境中的 QAUDJRN 日志:
- 查看 Db2 镜像审计日志条目
- 可以从 Db2 Mirror GUI 查看和管理主节点和辅助节点的 Db2 镜像审计日志条目。 将鼠标悬停在安全图标 (锁定) 上,然后单击 审计记录。
图 2。 在 Db2 Mirror GUI 中启动审计记录 
下图显示了 Db2 Mirror GUI 中的 "审计记录" 视图。图 3。 查看特定于 Db2 镜像的审计记录 
还可以使用以下 SQL 表函数来检查 Db2 镜像审计日志条目: