Oracle大数据库系统加固要求规范Word格式文档下载.docx

Oracle大数据库系统加固要求规范Word格式文档下载.docx

《Oracle大数据库系统加固要求规范Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《Oracle大数据库系统加固要求规范Word格式文档下载.docx（27页珍藏版）》请在冰点文库上搜索。

dropuserAcascade;

//就这样用户就被删除了

判断依据

标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险

高

重要等级

★★★

备注

1.1.2SHG-Oracle-01-01-02

SHG-Oracle-01-01-02

删除或锁定无效账号

删除或锁定无效的账号，减少系统安全隐患。

允许非法利用系统默认账号

alteruserusernamelock;

//锁定用户

dropuserusernamecascade;

//删除用户

删除新增加的帐户

首先锁定不需要的用户

在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除

1.1.3SHG-Oracle-01-01-03

SHG-Oracle-01-01-03

限制超级管理员远程登录

限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

。

允许数据库超级管理员远程非法登陆

查看spfile,sqlnet.ora内容

在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。

在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。

还原spfile,sqlnet.ora文件配置

判定条件

1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。

2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。

检测操作

1.以Oracle用户登陆到系统中。

2.以sqlplus‘/assysdba’登陆到sqlplus环境中。

3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。

ShowparameterREMOTE_LOGIN_PASSWORDFILE

4.检查在

$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。

1.1.4SHG-Oracle-01-01-04

SHG-Oracle-01-01-04

权限最小化

在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

账号权限越大,对系统的威胁性越高

select*fromuser_sys_privs;

select*fromuser_role_privs;

select*fromuser_tab_privs;

记录用户拥有权限

1、参考配置操作

grant　权限　tousername;

revoke权限　fromusername;

用第一条命令给用户赋相应的最小权限

用第二条命令收回用户多余的权限

还原添加或删除的权限

业务测试正常

★

1.1.5SHG-Oracle-01-01-05

SHG-Oracle-01-01-05

数据库角色

使用数据库角色（ROLE）来管理对象的权限。

账号管理混乱

select*fromdba_role_privs;

记录用户拥有的role

一．创建角色,修改角色

1.创建角色，不指定密码：

createroletestrole；

2．创建角色，指定密码：

createroletestroleidentifiedbypasswd;

3．修改角色：

alterroletestroleidentifiedbypasswd;

4.给角色授予权限。

GrantselectonTable_nametotestrole;

把角色赋予用户：

（特别说明，授予角色不是实时的。

如下：

）

granttestroletoUser_Name;

二、起用角色：

给用户赋予角色，角色并不会立即起作用。

1．角色不能立即起作用。

必须下次断开此次连接，下次连接才能起作用。

2.或者执行命令：

有密码的角色setroletestroleidentifiedbypasswd立即生效；

3．无密码的角色：

setroletestrole；

删除相应的Role

revoke 

role_name 

user_name

对应用用户不要赋予DBARole或不必要的权限

1.1.6SHG-Oracle-01-01-06

SHG-Oracle-01-01-06

用户profile

对用户的属性进行控制，包括密码策略、资源限制等。

账号安全性低.

SELECTprofileFROMdba_usersWHEREusername=’user_name’;

记录用户赋予的profile

可通过下面类似命令来创建profile，并把它赋予一个用户

SQL>

showparameterresource_limit

altersystemsetresource_limit=true;

CREATEPROFILEprofile_nameLIMIT

FAILED_LOGIN_ATTEMPTS6

PASSWORD_LIFE_TIME60

PASSWORD_REUSE_TIME60

PASSWORD_REUSE_MAX5

PASSWORD_VERIFY_FUNCTIONverify_function

PASSWORD_LOCK_TIME1/24

PASSWORD_GRACE_TIME90;

ALTERUSERuser_namePROFILEprofile_name;

alteruserdinyaprofiledefault;

恢复默认

1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。

2.可通过设置profile来限制数据库账户的CPU资源占用。

4、检测操作

1.以DBA用户登陆到sqlplus中。

2.查询视图dba_profiles和dba_usres来检查profile是否创建。

1.1.7SHG-Oracle-01-01-07

SHG-Oracle-01-01-07

数据字典保护

启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。

数据库安全性低.

ShowparameterO7_DICTIONARY_ACCESSIBILITY

记录当前状态

通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。

altersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;

修改O7_DICTIONARY_ACCESSIBILITY为原来属性

以普通用户登陆到数据库，不能查看X$开头的表，比如：

select*fromsys.x$ksppi;

3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。

Show

parameterO7_DICTIONARY_ACCESSIBILITY

1.1.8SHG-Oracle-01-01-08

SHG-Oracle-01-01-08

检查DBA组用户

限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户。

影响组用户管理

Cat/etc/passwd

参考配置操作

通过/etc/passwd文件来检查是否有其它用户在DBA组中。

#userdelusername;

锁定用户：

1）修改/etc/shadow文件，用户名后加*LK*

2）将/etc/passwd文件中的shell域设置成/bin/false

3）#passwd-lusername

只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

还原/etc/passwd文件

无其它用户属于DBA组。

1.2口令

1.2.1SHG-Oracle-01-02-01

SHG-Oracle-01-02-01

缺省密码长度复杂度限制

对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

增加密码被暴力破解的成功率

为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度

示例:

CREATEORREPLACEFUNCTIONmy_password_verify（usernameVARCHAR2,passwordVARCHAR2,old_passwordVARCHAR2）RETURNBOOLEANIS

2BEGIN

3IFLENGTH（password）<

6THEN

4raise_application_error（-20001,'

'

Passwordmustbeatleast6characterslong'

）;

5ENDIF;

6RETURN（TRUE）;

7END;

createprofileTEST_PROFILElimit

2 

password_verify_functionMY_PASSWORD_VERIFY;

alteruseruser_nameprofiledefault;

1、判定条件

修改密码为不符合要求的密码，将失败

2、检测操作

alteruseruser_nameidentifiedbypasswd;

将失败

低

1.2.2SHG-Oracle-01-02-02

SHG-Oracle-01-02-02

缺省密码生存周期限制

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。

密码被非法利用，并且难以管理

为用户建相关profile，指定PASSWORD_GRACE_TIME为90天

在90天内，需要修改密码

3、判定条件

到期不修改密码，密码将会失效。

连接数据库将不会成功

4、检测操作

connectusername/password报错

1.2.3SHG-Oracle-01-02-03

SHG-Oracle-01-02-03

密码重复使用限制

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

密码破解的几率增加

为用户建profile,指定PASSWORD_REUSE_MAX为５

当前使用的密码，必需在密码修改５次后才能再次被使用

重用修改５次内的密码，将不能成功

alteruserusernameidentifiedbypassword1;

如果password1在５次修改密码内被使用，该操作将不能成功

1.2.4SHG-Oracle-01-02-04

SHG-Oracle-01-02-04

密码重试限制

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

允许暴力破解密码

为用户建profile，指定FAILED_LOGIN_ATTEMPTS为６

如果连续６次连接该用户不成功，用户将被锁定

连续６次用错误的密码连接用户，第７次时用户将被锁定

connectusername/password，连续６次失败，用户被锁定

中

1.2.5SHG-Oracle-01-02-05

SHG-Oracle-01-02-05

修改默认密码

更改数据库默认帐号的密码。

可能被破解密码

询问管理员账号密码,并记录

1.可通过下面命令来更改默认用户的密码：

ALTERUSERuser_nameIDENTIFIEDBYpasswd;

2.下面是默认用户密码列表：

CTXSYSCTXSYS

DBSNMPDBSNMP

LBACSYSLBACSYS

MDDATAMDDATA

MDSYSMDSYS

DMSYSDMSYS

OLAPSYSMANAGER

ORDPLUGINSORDPLUGINS

ORDSYSORDSYS

OUTLNOUTLN

SI_INFORMTN_SCHEMASI_INFORMTN_SCHEMA

SYSCHANGE_ON_INSTALL

SYSMANCHANGE_ON_INSTALL

SYSTEMMANAGER

不能以用户名作为密码或使用默认密码的账户登陆到数据库。

2.检查数据库默认账户是否使用了用户名作为密码或默认密码。

2日志配置

2.1.1SHG-Oracle-02-01-01

SHG-Oracle-02-01-01

启用日志记录功能

数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。

无法对用户的登陆进行日志记录

createtablelogin_log--登入登出信息表

（

session_idintnotnull,--sessionid

login_on_timedate,--登入时间

login_off_timedate,--登出时间

user_in_dbvarchar2（30）,--登入的dbuser

machinevarchar2（20）,--机器名

ip_addressvarchar2（20）,--ip地址

run_programvarchar2（20）--以何程序登入

createorreplacetriggerlogin_on_info--记录登入信息的触发器

afterlogonondatabase

Begin

insertintologin_log（session_id,login_on_time,login_of

f_time,user_in_db,machine,ip_address,run_program）

selectAUDSID,sysdate,null,sys.login_user,machine,SYS_CO

NTEXT（'

USERENV'

'

IP_ADDRESS'

）,program

fromv$sessionwhereAUDSID=USERENV（'

SESSIONID'

--當前SESSION

END;

createorreplacetriggerlogin_off_info--记录登出信息的触发器

beforelogoffondatabase

Begin

updatelogin_logsetlogin_off_time=sysdate

wheresession_id=USERENV（'

--当前SESSION

exception

whenothersthen

null;

ALTERTRIGGER名称DISABLE;

droptrigger名称;

登录测试，检查相关信息是否被记录

补充说明

触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。

特别是RAC环境，资源消耗较大。

2.1.2SHG-Oracle-02-01-02

SHG-Oracle-02-01-02

记录用户对设备的操作

数据库应配置日志功能，记录用户对数据库的操作

无法对用户的操作进行日志记录

createtableemployees_log（

whovarchar2（30）,

actionvarchar2（20））;

whendate）;

createorreplacetriggerbiud_employ_copy

beforeinsertorupdateordelete

onemployees_copy

declare

l_actionemployees_log.action%type;

begin

ifinsertingthen

l_action:

='

insert'

;

elsifupdatingthen

delete'

elsifdeletingthen

update'

else

raise_application_error（-2001,'

youshouleneverevergetthiserror.'

endif;

insertintoemployees_log（who,action,when）

values（user,l_action,sysdate）;

endbiud_employ_copy;

2.1.3SHG-Oracle-02-01-03

SHG-Oracle-02-01-03

记录系统安全事件

通过设置让系统记录安