数据库安全基线

Oracle数据库安全基线目录Oracle数据库系统安全基线配置规范 错误!未定义书签Linux版本 错误!未定义书签。删除无用帐号 错误!未定义书签。默认帐号修改口令 错误!未定义书签。限制数据库SYSDBA帐号 错误!未定义书签。口令策略 错误!未定义书签。帐号锁定策略 错误!未定义书签。用户权限最小化 错误!未定义书签。public权限 错误!未定义书签。数据库角色管理 错误!未定义书签。启用日志审计 错误!未定义书签。日志记录及保存 错误!未定义书签。日志文件保护 错误!未定义书签。开启监听器日志 错误!未定义书签。数据字典保护 错误!未定义书签。监听器口令 错误!未定义书签。监听服务连接超时 错误!未定义书签。监听器管理限制 错误!未定义书签。禁止远程操作系统认证 错误!未定义书签。IP访问限制 错误!未定义书签。1.1.2. Windows版本 错误!未定义书签。数据库主机管理员帐号 错误!未定义书签。删除无用帐号 错误!未定义书签。默认帐号修改口令 错误!未定义书签。限制数据库SYSDBA帐号 错误!未定义书签。口令策略 错误!未定义书签。帐号锁定策略 错误!未定义书签。用户权限最小化 错误!未定义书签。1.1.2.8. public权限 错误!未定义书签。数据库角色管理 错误!未定义书签。启用日志审计 错误!未定义书签。日志记录及保存 错误!未定义书签。开启监听器日志 错误!未定义书签。数据字典保护 错误!未定义书签。监听器口令 错误!未定义书签。监听服务连接超时 错误!未定义书签。监听器管理限制 错误!未定义书签。禁止远程操作系统认证 错误!未定义书签。IP访问限制 错误!未定义书签。

1.数据库安全基线配置规范l.l.Oracle数据库系统安全基线配置规范Linux版本.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一：锁定用户SQL>alteruservusername>accountlock;方法二：删除用户SQL>dropuser<username>cascade;补充说明：应删除常用账号外的其他帐号，消除潜在危险帐号，可到附录检查项中查看当前开放的所有数据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。1.1.1.2.默认帐号修改口令要求内容修改默认帐户和密码，攻击者可能利用系统帐户默认密码和弱密码侵入系统，危胁系统安全。操作指南修改默认帐户和密码，执行如下命令：SQL〉alteruserusernameidentifiedbynewpassword;修改密码：SQL>alteruser〈用户名〉identifiedby<新密码〉；锁定帐号：SQL>alteruser〈用户名〉accountlock;检测方法Oracle10以内版本查看默认帐户和密码SQL>selectusername,password,account_status,profilefromdba_可以获取到用户名，密码散列值，用户状态，策略文件。users;用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCctxsysctxsys24ABAB8B06281B4Cmdsysmdsys72979A94BAD2AF80odmodmC252E8FA117AF049odmmtrmtrpwA7A32CD03D3CE8D5

ordpluginsordplugins88A2B2C183431F00ordssordsys7EFA02EC7EA6B86Foutlnoutln4A3BA55E08595C81scotttigerF894844C34402B67wkproxyunknown3F9FBD883D787341wksysunknown79DF7A1BD138CF11wmsyswmsys7C9BA362F8314299xdbchange_on_install88D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oaspublicoaspublic9300C0977D7DC75EwebsysmanagerA97282CE3D94E29ElbacsyslbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatperfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemasi_informtn_schema84B8CBCA4D477FA3syschange_on_installD4C5016086B2DC6ASystemManagerD4DF7931AB130E37确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码，可以使用以下方法检查默认密码：方法一：从SYS.USER$基表中检查，在基表的password字段中仍然可以查到HASH后的值。SQL〉SELECTname,passwordFROMuser$WHEREname二'SCOTT';NAME PASSWORDSCOTT F894844C34402B67方法二：这是推荐的方法，最简单的方法，11g中可以使用的方法，11g提供了新的DBA_USERS_WITH_DEFPWD视图，该视图中包含了所有还在使用默认密码的用户名。SQL〉SELECT*FROMDBA_USERS_WITH_DEFPWDWHEREusername='SCOTT';USERNAMESCOTT

//存在默认密码SQL〉ALTERuserscottIDENTIFIEDBYtigerl;Useraltered.SQL>SELECT*FROMDBA_USERS_WITH_DEFPWDWHEREusername='SCOTT';norowsselected//密码已修改.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)权限的用户远程登录及自动登录。操作指南1、参考配置操作1、 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfile二NONEscope二spfile2、 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件以Oracle用户登陆到系统中。以sqlplus‘/assysdba'登陆到sqlplus环境中。使用showparameter命令来检查参数REMOTELOGINPASSWORDFILE是否设置为NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATIONSERVICES是否被设置成NONEo.口令策略要求内容对于米用静态口令认证技术的数据库，需对口令策略进行安全设置。操作指南1、 参考配置操作为用户建profile，设置PASSWORD_VERIFY_FUNCTION8,密码复杂度8个字符PASSWORD_LIFE_TIME90,口令有效期90天PASSWORD_REUSE_MAX5,5个不同口令使用后可重复使用PASSWORD_GRACE_TIME5,更改密码宽限期5天2、 补充操作说明检测方法1、 判定条件修改密码为不符合要求的密码，将失败重用修改5次内的密码，将不能成功输错6次口令锁定帐户5分钟。2、 检测操作

alteruserabcdlidentifiedbyabcdl;将失败alteruserusernameidentifiedbypasswordl;如果password1在5次修改密码内被使用，该操作将不能成功3、补充说明.帐号锁定策略要求内容对于米用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。操作指南1、 参考配置操作为用户建profile，设置FAILED_LOGIN_ATTEMPTS5,认证失败5次锁定账号PASSWORD_LOCK_TIME.00694,认证失败帐户锁定10分钟（基本单位是:天）2、 补充操作说明如果连续5次连接该用户不成功，用户将被锁定检测方法1、 判定条件连续5次用错误的密码连接用户，第6次时用户将被锁定10分钟后解锁，可再次连接2、 检测操作connectusername/password，连续5次失败，用户被锁定.用户权限最小化要求内容数据库用户应设置最小权限。操作指南1、 使用数据库角色（ROLE）来管理对象的权限，使用Grant命令将相应的系统、对象或Role的权限赋予应用用户2、 grant权限tousername;给用户赋相应的最小权限revoke权限fromusername; 收回用户多余的权限检测方法以DBA用户登陆到sqlplus中。通过杳询dbaroleprivs、dbasysprivs和dbatabprivs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBARole或不必要的权限.public权限要求内容清理public各种默认权限，攻击者可能利用程序包的public角色执行权限获得非法访问，危胁系统安全。操作指南1、参考配置操作以DBA身份登录sqlplus，执行：SQL〉selecttable_namefromdba_tab_privswheregrantee二'PUBLIC'andprivilege='EXECUTE'andtable_namein('UTL_FILE','UTL_TCP','UTL_HTTP', 'UTL_SMTP', 'DBMS_L0B', 'DBMS_SYS_SQL','DBMSJOB','DBMSSCHEDULER');selectt^blB_noiii£frond!ba_tab_priuswheregranites—*PUBLIC^andprivilccr^EKECLTE1<tndtable_nanein<PUTL_F[LEP.UTLJCT■^UTLJTTP1,鼻UTL_SHTUPBBWSLLOB-",”DRE盟」YE_SQLJ.JBEUSJOBJ,7DEffi_SCHEBULER“>;rABLE_NflimEUTL_FILEUILJCPUILJIIWPpiLjmppEH£_gCHEDiULER如撤消不必要的public角色包执行权限,执行：SQL〉revokeexecuteon〈包名称〉frompublic;1、判定条件SQL>selecttable_namefromdba_tab_privswheregrantee二'PUBLIC'andprivilege='EXECUTE'andtable_namein('UTL_FILE','UTL_TCP','UTL_HTTP', 'UTL_SMTP', 'DBMS_LOB', 'DBMS_SYS_SQL','DBMS_JOB','DBMS_SCHEDULER');是否还有public角色执行权限1.1.1.8.数据库角色管理要求内容使用数据库角色（ROLE）来管理对象的权限。操作指南参考配置操作：SQL>revokedbafromA;收回用户A的DBA权限说明：除了默认用户(sys、system和sysman),其他用户都不应赋予dba角色权限。查看除默认用户(sys、system和sysman)外有DBA权限的用户：SQL>selecta.usernamefromdba_usersaleftjoindba_role_privsbona.username=b.granteewheregranted_role='DBA'anda.usernamenotin('SYS','SYSMAN','SYSTEM');检测方法1、 判定条件对应用用户不要赋予DBARole或不必要的权限。2、 检测操作以DBA用户登陆到sqlplus中。通过杳询dbaroleprivs、dbasysprivs和dbatabprivs等视图来检查是否使用ROLE来管理对象权限。.启用日志审计要求内容数据库应配置日志功能，记录对与数据库相关的安全事件。操作指南1、参考配置操作设置AUDIT_TRAIL-OS,记录到系统日志中。SQL〉altersystemsetaudit_trail二'OS'scope二spfile重启服务

SQL〉shutdownnormalSQL〉startup2、补充操作说明系统日志设置及保存要求见主机基线规范检测方法1、判定条件1、 SQL〉showparameteraudit2、 SQL〉selectname,valuefromv$parameterwherenamelike'audit%';2、补充说明AUDIT_TRAIL取值为：NONE（不审核）,DB（记录到数据库）,OS（记录到系统日志）。启用审核并设置审核级别，记录对数据库的操作，便于日后检查。登陆审核：auditsession;只记录失败登陆：auditsessionwhenevernotsuccessful;只记录成动登陆：auditsessionwheneversuccessful;0.日志记录及保存要求内容数据库应配置日志功能，记录对与数据库相关的安全事件。操作指南1、参考配置操作创建ORACLE登录触发器，记录相关信息.建表LOGON_TABLE建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT('USERENV‘，'SESSION_USER'),SYSDATE);END;2、补充操作说明检测方法1、 判定条件做相关测试，检查是否记录成功2、 检测操作3、 补充说明触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。1.日志文件保护要求内容设置访问日志文件权限操作指南对于日志文件应删除任意可读写权限$chmodo-rwfilename$chmodu-sfilename

检测方法以oracle身份执行：$find$ORACLEBASE/-typef\(-perm-o+wa-perm-o+x\)|xargsls-al2.开启监听器日志要求内容开启监听器日志功能是为了捕获监听器命令和防止密码被暴力破解操作指南切换到oracle的管理员，执行下列命令$ORACLE_HOME/bin/lsnrctlLSNRCTL〉setlog_directory〈oracle_home路径〉/network/adminLSNRCTL〉setlog_file<sid名称>.logLSNRCTL〉setlog_statusonLSNRCTL〉saveconfig检测方法查看$ORACLE_HOME/network/admin/listener.ora中是否设置日志监听，例如LOGGING_LISTENER=ONLOG_FILE_LISTENER=1.logLOG_DIRECTORY_LISTENER =/uOl/app/oracle/product/10.1.0/Dbl/network/admin3.数据字典保护要求内容启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。操作指南1、 参考配置操作通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE2、 补充操作说明检测方法1、 判定条件以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*fromsys.x$ksppi;2、 检测操作以Oracle用户登陆到系统中。以sqlplus‘/assysdba'登陆到sqlplus环境中。使用showparameter命令来检查参数O7DICTIONARYACCESSIBILITY是否设置为FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY3、补充说明4.监听器口令要求内容为数据库监听器（LISTENER）的关闭和启动设置密码。操作指南1、参考配置操作通过下面命令设置密码：$lsnrctlLSNRCTL〉changepassword

Oldpassword:〈OldPassword〉NotdisplayedNewpassword:〈NewPassword〉NotdisplayedReenternewpassword:〈NewPassword〉NotdisplayedConnecting to(DESCRIPTI0N=(ADDRESS=(PR0T0C0L=TCP)(H0ST=prolinl)(P0RT=1521)(IP=FIRST)))PasswordchangedforLISTENERThecommandcompletedsuccessfullyLSNRCTL〉save_config2、补充操作说明检测方法1、 判定条件使用lsnrctlstart或lsnrctlstop命令起停listener需要密码2、 检测操作检查$0RACLE_H0ME/network/admin/listener.ora文件中是否设置参数PASSW0RDS_LISTENER。3、 补充说明5.监听服务连接超时要求内容设置监听器连接超时。操作指南1、 参考配置操作编辑$0RACLE_H0ME/network/admin/listener.ora在listener.ora文件中手动加入下面这样一仃：connect_timeout_listener=102、 补充操作说明检测方法1、判定条件检查$0RACLE_H0ME/network/admin/listener.ora文件中是否设置参数connecttimeoutlistener=6.监听器管理限制要求内容检查是否设置关闭监听器管理功能。如果不设置监听器管理限制，攻击者可能远程非法配置和攻击监听器，危胁系统安全。操作指南1、参考配置操作编辑$0RACLE_H0ME/network/admin/listener.ora在listener.ora文件中手动加入下面这样一仃：ADMINRESTRICTI0NSlistenername=0N检测方法1、判定条件查看$0RACLE_H0ME/network/admin/listener.ora中是否设置管理限制，应包含如下参数设置：ADMINRESTRICTI0NSlistenername=0N7.禁止远程操作系统认证

要求内容设置登陆认证方式禁止远程操作系统认证。攻击者可能利用数据库对远程操作系统的信任关系危胁系统安全。操作指南1、参考配置操作设置REMOTE_OS_AUTHENT=FALSE在数据库初始化文件init_实例.ora中修改：SQL〉altersystemsetREMOTE_OS_AUTHENT二FALSEscope二spfileSQL〉shutdownnormalSQL>startup检测方法1、判定条件SQL>showparameterREMOTEOSAUTHENT8.IP访问限制要求内容设置网络连接限制，只允许安全的IP地址连接数据库进行操作。不必要的网络连接增加了攻击者入侵系统的机会，可能危胁系统安全。操作指南1、参考配置操作修改$ORACLE_HOME\network\admin目录下面的sqlnet.ora文件，类似设置如下：visqlnet.ora#开启ip限制功能tcp.validnode_checking=yes#允许访问数据库的IP地址列表，多个IP地址使用逗号分开tcp.invited_nodes=(,ip2,ip3・・・..)#禁止访问数据库的IP地址列表，多个IP地址使用逗号分开tcp.excludednodes=(,ip2,ip3・・・..)检测方法1、 判定条件测试tcp_invited_nodes=(192.168.0.1,ip2,ip3・・・..)中的IP才能连接数据库进行操作。在非信任的客户端以数据库账户登陆被提示拒绝。2、 检测操作检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnodechecking和tcp.invitednodes。1.1.2.Windows版本1.1.2.1.数据库主机管理员帐号要求内容控制默认主机官理贝账号，禁止使用oracle或administrator作为数据库主机管理员帐号操作指南1.参考配置操作建立新的系统用户分配用户权限，把该新建用户作为数据库主机管理员帐号，设置新建用户为oracle相关执行文件配置文件的所有者，以WINDOWS系统为例

进入“控制面板-〉管理工具-〉计算机管理”，在“系统工具-〉本地用户和组”：新用户-〉创建-〉隶属于-〉管理员组Oracle安装目录-〉属性-〉安全-〉高级-〉所有者-〉更改为新的系统用户检测方法检查oracle安装目录相关执行文件配置文件的所有者，是否为oracle或administrator以外的用户。.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一：锁定用户SQL>alteruservusername>accountlock;方法二：删除用户SQL>dropuser<username>cascade;补充说明：应删除常用账号外的其他帐号，消除潜在危险帐号，可到附录检查项中查看当前开放的所有数据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。.默认帐号修改口令要求内容修改默认帐户和密码，攻击者可能利用系统帐户默认密码和弱密码侵入系统，危胁系统安全。操作指南修改默认帐户和密码，执行如下命令：SQL〉alteruserusernameidentifiedbynewpassword;修改密码：SQL〉alteruser〈用户名〉identifiedby<新密码〉；锁定帐号：SQL>alteruser〈用户名〉accountlock;检测方法Oracle10以内版本查看默认帐户和密码SQL>selectusername,password,account_status,profilefromdba_可以获取到用户名，密码散列值，用户状态，策略文件。users;用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCctxsysctxsys24ABAB8B06281B4Cmdsysmdsys72979A94BAD2AF80odmodmC252E8FA117AF049odmmtrmtrpwA7A32CD03D3CE8D5ordpluginsordplugins88A2B2C183431F00ordssordsys7EFA02EC7EA6B86F

outlnoutln4A3BA55E08595C81scotttigerF894844C34402B67wkproxyunknown3F9FBD883D787341wksysunknown79DF7A1BD138CF11wmsyswmsys7C9BA362F8314299xdbchange_on_install88D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oaspublicoaspublic9300C0977D7DC75EwebsysmanagerA97282CE3D94E29ElbacsyslbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatperfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemasi_informtn_schema84B8CBCA4D477FA3syschange_on_installD4C5016086B2DC6ASystemManagerD4DF7931AB130E37确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码，可以使用以下方法检查默认密码：方法一：从SYS.USER$基表中检查，在基表的password字段中仍然可以查到HASH后的值。SQL〉SELECTname,passwordFROMuser$WHEREname二'SCOTT';NAME PASSWORDSCOTT F894844(方法二：这是推荐的方法，最简单的方法，1了新的DBA_USERS_WITH_DEFPWD视图，该视码的用户名。SQL〉SELECT*FROMDBA_USERS_WITH_DEFP\USERNAMEC34402B671g中可以使用的方法，11g提供图中包含了所有还在使用默认密WDWHEREusername二'SCOTT';ger1;SCOTT//存在默认密码SQL>ALTERuserscottIDENTIFIEDBYti]

Useraltered.SQL〉SELECT*FROMDBA_USERS_WITH_DEFPWDWHEREusername='SCOTT';norowsselected//密码已修改.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)权限的用户远程登录及自动登录。操作指南2、参考配置操作1、 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfile二NONEscope二spfile2、 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件以Oracle用户登陆到系统中。以sqlplus‘/assysdba'登陆到sqlplus环境中。使用showparameter命令来检查参数REMOTELOGINPASSWORDFILE是否设置为NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATIONSERVICES是否被设置成NONEo.口令策略要求内容对于米用静态口令认证技术的数据库，需对口令策略进行安全设置。操作指南2、参考配置操作为用户建profile，设置PASSWORD_VERIFY_FUNCTION8,密码复杂度8个字符PASSWORD_LIFE_TIME90,口令有效期90天PASSWORD_REUSE_MAX5,5个不同口令使用后可重复使用PASSWORD_GRACE_TIME5,更改密码宽限期5天2、补充操作说明检测方法1、 判定条件修改密码为不符合要求的密码，将失败重用修改5次内的密码，将不能成功输错6次口令锁定帐户5分钟。2、 检测操作alteruserabcd1identifiedbyabcd1;将失败alteruserusernameidentifiedbypassword1;如果password1在5次修改密码内被使用，该操作将不能成功

3、补充说明.帐号锁定策略要求内容对于米用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。操作指南3、 参考配置操作为用户建profile，设置FAILED_LOGIN_ATTEMPTS5,认证失败5次锁定账号PASSWORD_LOCK_TIME.00694,认证失败帐户锁定10分钟（基本单位是:天）4、 补充操作说明如果连续5次连接该用户不成功，用户将被锁定检测方法3、 判定条件连续5次用错误的密码连接用户，第6次时用户将被锁定10分钟后解锁，可再次连接4、 检测操作connectusername/password，连续5次失败，用户被锁定.用户权限最小化要求内容数据库用户应设置最小权限。操作指南5、 使用数据库角色（ROLE）来管理对象的权限，使用Grant命令将相应的系统、对象或Role的权限赋予应用用户6、 grant权限tousername;给用户赋相应的最小权限revoke权限fromusername; 收回用户多余的权限检测方法以DBA用户登陆到sqlplus中。通过杳询dbaroleprivs、dbasysprivs和dbatabprivs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBARole或不必要的权限.public权限要求内容清理public各种默认权限，攻击者可能利用程序包的public角色执行权限获得非法访问，危胁系统安全。操作指南SQL〉revokeexecuteon〈包名称〉frompublic;检测方法1.1.2.9.数据库角色管理要求内容使用数据库角色（ROLE）来管理对象的权限。操作指南1、参考配置操作SQL>revokedbafromA;收回用户A的DBA权限

说明：除了默认用户（sys、system和sysman）,其他用户都不应赋予dba角色权限。查看除默认用户（sys、system和sysman）外有DBA权限的用户：SQL>selecta.usernamefromdba_usersaleftjoindba_role_privsbona.username=b.granteewheregranted_role='DBA'anda.usernamenotin（'SYS','SYSMAN','SYSTEM'）;检测方法1、 判定条件对应用用户不要赋予DBARole或不必要的权限。2、 检测操作以DBA用户登陆到sqlplus中。通过杳询dbaroleprivs、dbasysprivs和dbatabprivs等视图来检查是否使用ROLE来管理对象权限。0.启用日志审计要求内容数据库应配置日志功能，记录对与数据库相关的安全事件。操作指南3、 参考配置操作设置AUDIT_TRAIL-OS,记录到系统日志中。SQL〉altersystemsetaudit_trail二'OS'scope二spfile重启服务SQL〉shutdownnormalSQL>startup4、 补充操作说明系统日志设置及保存要求见主机基线规范检测方法1、判定条件1、 SQL〉showparameteraudit2、 SQL>selectname,valuefromv$parameterwherenamelike'audit%';2、补充说明AUDIT_TRAIL取值为：NONE（不审核）,DB（记录到数据库）,OS（记录到系统日志）。启用审核并设置审核级别，记录对数据库的操作，便于日后检查。登陆审核：auditsession;只记录失败登陆：auditsessionwhenevernotsuccessful;只记录成动登陆：auditsessionwheneversuccessful;1.日志记录及保存要求内容数据库应配置日志功能，记录对与数据库相关的安全事件。操作指南2、参考配置操作创建ORACLE登录触发器，记录相关信息.建表LOGON_TABLE建触发器

CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT('USERENV‘，'SESSION_USER'),SYSDATE);END;2、补充操作说明检测方法1、 判定条件做相关测试，检查是否记录成功2、 检测操作3、 补充说明触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。2.开启监听器日志要求内容开启监听器日志功能是为了捕获监听器命令和防止密码被暴力破解操作指南切换到oracle的管理员，执彳丁下列命令$ORACLE_HOME/bin/lsnrctlLSNRCTL〉setlog_directory〈oracle_home路径〉/network/adminLSNRCTL〉setlog_file<sid名称>.logLSNRCTL〉setlog_statusonLSNRCTL〉saveconfig检测方法查看$ORACLE_HOME/network/admin/listener.ora中是否设置日志监听，例如LOGGING_LISTENER=ONLOG_FILE_LISTENER=1.logLOG_DIRECTORY_LISTENER =/u01/app/oracle/product/10.1.0/Db1/network/admin3.数据字典保护要求内容启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。操作指南1、 参考配置操作通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE2、 补充操作说明检测方法1、 判定条件以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*fromsys.x$ksppi;2、 检测操作

以Oracle用户登陆到系统中。以sqlplus‘/assysdba'登陆到sqlplus环境中。使用showparameter命令来检查参数O7DICTIONARYACCESSIBILITY是否设置为FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY3、补充说明4.监听器口令要求内容为数据库监听器（LISTENER）的关闭和启动设置密码。操作指南1、 参考配置操作通过下面命令设置密码：$lsnrctlLSNRCTL〉change_passwordOldpassword:〈OldPassword〉NotdisplayedNewpassword:〈NewPassword〉NotdisplayedReenternewpassword:<NewPassword>NotdisplayedConnecting to(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))PasswordchangedforLISTENERThecommandcompletedsuccessfullyLSNRCTL〉save_config2、 补充操作说明检测方法1、 判定条件使用lsnrctlstart或lsnrctlstop命令起停listener需要密码2、 检测操作检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。3、 补充说明5.监听服务连接超时要求内容设置监听器连接超时。操作指南2、参考配置操作编辑$ORACLE_HOME/network/admin/listener.ora在listener.ora文件中手动加入下面这样一仃：connect_timeout_listener=102、补充操作说明检测方法1、判定条件检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数connecttimeoutlistener=10

6.监听器管理限制要求内容检查是否设置关闭监听器管理功能。如果不设置监听器管理限制，攻击者可能远程非法配置和攻击监听器，危胁系统安全。操作指南2、参考配置操作编辑$ORACLE_HOME/network/admin/listener.ora在listener.ora文件中手动加入下面这样一仃：ADMINRESTRICTIONSlistenername=ON检测方法1、判定条件查看$ORACLE_HOME/network/admin/listener.ora中是否设置管理限制，应包含如下参数设置：ADMIN_RESTRICTIONS_listener_name=ON7.禁止远程操作系统认证要求内容设置登陆认证方式禁止远程操作系统认证。攻击者可能利用数据库对远程操作系统的信任关系危胁系统安全。操作指南2、参考配置操作设置REMOTE_OS_AUTHENT=FALSE在数据库初始化文件init_实例.ora中修改：SQL〉altersystemsetREMOTE_OS_AUTHENT二FALSEscope二spfileSQL〉shutdownnormalSQL>startup检测方法1、判定条件SQL>showparameterREMOTEOSAUTHENT8.IP访问限制要求内容设置网络连接限制，只允许安全的IP地址连接数据库进仃操作。不必要的网络连接增加了攻击者入侵系统的机会，可能危胁系统安全。操作指南1、参考配置操作修改$ORACLE_HOME\network\admin目录下面的sqlnet.ora文件，类似设置如下：#开启ip限制功能tcp.validnode_checking=yes#允许访问数据库的IP地址列表，多个IP地址使用逗号分开tcp.invited_nodes=(,ip2,ip3・・・..)#禁止访问数据库的IP地址列表，多个IP地址使用逗号分开tcp.excludednodes=(,ip2,ip3・・・..)检测方法2、判定条件测试tcp_invited_nodes=(192.168.0.1,ip2,ip3・・・..)中的IP才能连接数据库进行操作。在非信任的客户端以数据库账户登陆被提示拒绝。2、检测操作

检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnodechecking和tcp.invitednodes。MSSQLSERVER数据库系统安全基线配置规范1.2.1.用户账号与口令安全.禁止通过操作系统直接登录要求内容检查数据库服务登录是否使用内建的系统帐号“BUILTIN\Administrators”。操作指南1、参考配置操作登录SQLServerManagementStudio,在对象资源管理器窗口，选择相应数据库实例的安全性-登录名，禁止BUILTIN\Administrators登录打开数据库属性，选择安全性，将身份验证调整为“SQLServer和Windows”检测方法1、判定条件数据库服务登录不能使用内建的系统账号“BUILTIN\Administrators”,通过“SQLServer”的身份验证进行数据库官理1.2.1.2.用户账号权限最小化要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、 参考配置操作a） 更改数据库属性，取消业务数据库帐号不需要的服务器角色；b） 更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。2、 补充操作说明操作a）用于修改数据库帐号的最小系统角色操作b）用于修改用户多余数据库访问许可权限和数据库内角色检测方法1、 判定条件调整业务帐号权限后业务测试正常2、 检测操作对业务系统数据库交互部分进行功能测试.口令策略要求内容对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是sa账号，需要设置至少10位的强口令。操作指南1、参考配置操作查看用户状态运行查询分析器，执行select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户登录SQLServerManagementStudio,在对象资源官理器窗口，选择相应数据

库实例的安全性-登录名，在各个登录名的属性选择强制实施密码策略检测方法1、判定条件createdate、updatedate时间为确认时间。password字段不为null。2、检测操作检查createdate、updatedate时间。检查password字段是否为null。补充说明更改口令：Usemasterexecsppassword‘旧口令'‘新口令'，用户名.服务器启动账户要求内容mssql服务安装时，服务启动账户被设置为系统账户system或一个指定的账户，如果设置为system或管理员组账户，当sqlserver出现漏洞或受到sql注入攻击时，攻击者可以直接连接数据库进行恶意渗透，再通过sql注入也可以执行各类恶意系统指令，十分危险操作指南1、 创建一个普通用户，如mssqluser2、 设置mssql安装盘，如c盘权限，添加mssqluser，设置权限为读取和列出文件夹目录，取消读取和运行权限3、 打开sqlserver安装目录，设置权限，删除system用户，添加mssqluser，完全控制权限4、 设置mssqlserver服务启动账户，服务的登录选项中设置登录身份mssqluser及其密码，重启后生效检测方法1、 任务管理器，查看mssql进程对应的用户2、 如果对应system或administrator用户，实施降权，降权方法见安全加固方法.删除无用帐号要求内容应删除与数据库运行、维护等工作无关的账号。操作指南1、参考配置操作SQLSERVER企业管理器-〉安全性-〉登陆中删除无关帐号；SQLSERVER企业管理器〉数据库〉对应数据库〉用户中删除无关帐号；检测方法1、 判定条件首先删除不需要的用户，已删除数据库部能登陆使用2、 检测操作在MSSQLSERVER查询分析器的登陆界面中使用已删除帐号登陆

.数据库角色管理要求内容使用数据库角色来管理对象的权限。操作指南1、参考配置操作a） 企业管理器-〉数据库-〉对应数据库-〉角色-中创建新角色；b） 调整角色属性中的权限，赋予角色中拥有对象对应的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI权限检测方法1、 判定条件a） 对应角色属性中的权限是否拥有不必要的对象权限；b） 对象属性的权限列表中是否存在不必须的数据库帐号或角色访问；2、 检测操作a） 在数据库的角色中查看对应角色的权限，检查是否包含不需要访问的对象。b） 在数据库中查看表、存储过程等对象属性中的权限、检查是否存在不必须的帐号或角色访问该对象。日志与审计.登录日志要求内容数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间。操作指南1、参考配置操作打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”检测方法1、判定条件登录成功和失败测试，检查相关信息是否被记录.日志保存要求要求内容数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间。操作指南1、参考配置操作打开数据库-》管理-》SQLServer日志，选择配置，将日志文件数量调整为最大“99”。检测方法1、判定条件查看数据库-》管理-》SQLServer日志，配置中的日志文件数量是否99。安全防护.分离默认安装数据库要求内容分离默认的pubs与NorthWind数据库，防止已知攻击。操作指南运行MSSQL企业管理器执行分离databasepubs;

执行分离databasenorthwind;检测方法运行MSSQL企业管理器检杳localdatabase是否挂载默认的pubs与NorthWind数据库.停用不必要的存储过程要求内容停用不必要的存储过程，防止已知攻击。操作指南1、参考配置操作首先确认下面的扩展存储过程不会被使用，然后删除下面的这些存储过程。去掉xp_cmdshell扩展存储过程，使用：usemastersp_dropextendedproc'xp_cmdshell'同上类似语句，删除以下的扩展存储过程：Sp_0ACreateSp_0ADestroySp_0AGetErrorlnfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistringxp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxpgetfiledetails

xp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msverxp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drivexpdirtree检测方法1、 判定条件调用存储过程，检查是否存在2、 检测操作Exec存储过程（参数1,参数2）3、 补充说明.使用通讯协议加密要求内容使用通讯协议加密。操作指南1、 参考配置操作启动服务器网络配置工具，在“常规”中选择“强制协议加密”2、 补充操作说明更改通讯协议加密后需要重新启动SQLServer数据库

检测方法1、判定条件查看服务器网络配置工具，“常规”中是否选择“强制协议加密”.强制密码过期要求内容检查是否强制密码过期。操作指南1、参考配置操作登录SQLServerManagementStudio,在对象资源管理器窗口，选择相应数据库实例的安全性-登录名，在各个登录名的属性选择强制密码过期检测方法1、判定条件检查数据库实例的安全性-登录名，在各个登录名的属性是否选择强制密码过期.管理权限授予要求内容检查数据库服务器管理员权限与操作系统管理员权限是否授予不冋的帐号。操作指南1、参考配置操作1、 EXECsp_helpsrvrolemember显示数据库服务器官理员权限账号ServerRole MemberNamesysadmin sasysadmin BUILTIN\Administratorssysadmin NTAUTHORITY\SYSTEMsysadmin WSDB\SQLServer2005MSSQLUser$WSDB$WSDBsysadmin WSDB\SQLServer2005SQLAgentUser$WSDB$WSDB（5行受影响）2、 netlocalgroupadministrators别名 administrators注释 管理员对计算机/域有不受限制的完全访问权成员Administratortouch命令成功完成。请比较并检查数据库服务器管理员权限与操作系统管理员权限是否授予不冋的帐号检测方法1、判定条件数据库服务器管理员权限与操作系统管理员权限授予不冋的帐号.IP访问限制要求内容只有通过指定IP地址段的用户才可以登录。操作指南在防火墙中做限制，只允许与指定的IP地址建立1433的通讯：

1、 在“Windows防火墙”对话框中，单击“例外”选项卡；2、 单击“添加端口；3、 键入您要允许的端口名称，键入端口号，然后单击“TCP”或“UDP”以提示这是TCP还是UDP端口；4、 单击“更改范围”；5、指定要为其阻止此端口的一系列计算机，然后单击“确定”检测方法.是否保留恶意存储过程要求内容保留恶意存储过程，方便黑客渗透提权操作指南execmaster..spdropextendedprocxpcmdshellexecmaster..spdropextendedprocxpdirtreeexecmaster..spdropextendedprocxpfileexistexecmaster..spdropextendedprocxpterminateprocessexecmaster..spdropextendedprocspoamethodexecmaster..spdropextendedprocspoacreateexecmaster..spdropextendedprocxpregaddmultistringexecmaster..spdropextendedprocxpregdeletekeyexecmaster..spdropextendedprocxpregreadexecmaster..spdropextendedprocxpregwrite安装好SQL后进入目录搜索xplog70然后将找到的二个文件改名或者删除检测方法Mysql数据库系统安全基线配置规范Linux版本1.3.1.1.禁止用户共享账号要求内容禁止用户共享账号操作指南执行SELECThost,userFROMmysql.user获取数据库当前帐号信息，对比数据库用户列表，查看用户是否对应自己的数据库帐号若存在共享账号行为，需为相关人员分别创建账号，并根据需求授予权限，操作如下：

CREATEUSER'username'@'host'IDENTIFIEDBY'password'说明:username-你将创建的用户名，host-指定该用户在哪个主机上可以登陆，如果是本地用户可用localhost,如果想让该用户可以从任意远程主机登陆,可以使用通配符％.password-该用户的登陆密码，密码可以为空,如果为空则该用户可以不需要密码登陆服务器.GRANTprivilegesONdatabasename.tablenameTO'username'@'host'检测方法.禁止弱口令要求内容确保系统不存在弱口令操作指南mysql>selectusei;passwordfrommysql.user;+ + +|user|password |+ + +|test|*94BDCEBE19083CE2A1F959FD02F964C7AF4CFC29|+ + +将密码hash导入cain软件破解。如要修改密码，执行如下命令：mysql>updateusersetpassword=password（'复杂的新密码'）whereuser='test';mysql>flushprivileges;检测方法.禁止匿名帐户要求内容确保系统不存在匿名帐户操作指南mysql>selectuser,passwordfrommysql.user;存在user和password字段均为空的行删除匿名帐户：mysql>deletefromuserwhereuser=";mysql>flushprivileges;检测方法.默认管理员账号改名要求内容对默认管理员账号改名操作指南执行：updateusersetuser="newroot"whereuser="root"执行：flushprivileges

检测方法1、判定条件执行：usemysql;〃选择mysql库；执行：select*fromuser；.禁止mysql以管理员帐号权限运行要求内容UNIX下以普通帐户安全运仃mysqld,禁止mysql以官理员帐号权限运操作指南方法一：启动mysql时加上--user_user-nameeg:/etc/init.d/mysqlstart--user=user-name方法二：在mysql安装目录下，修改配置文件f（使用rpm包安装的请修改安装目录下的f文件）中［mysqld］配置段中添加user=mysql检测方法判定条件执行：usemysql;〃选择mysql库；执行：select*fromuser；.连接数设置要求内容数据库的单个用户多次远程连接，会导致性能的下降和影响其他用户的操作，有必要对其进行限制。可以通过限制单个账户允许的连接数量来实现。操作指南根据机器性能和业务需求，设置最大连接数在mysql的安装目录下，在f中在［mysqld］配置段添加：max_connections=1000，重启mysql服务检测方法1.3.1.7.启用日志记录功能要求内容数据库应配置日志功能，对用户登录、事件和错误信息记录。操作指南1、 配置更新日志在mysql的安装目录下，修改f配置文件，增加log_slave_updates2、 配置错误日志在mysql的安装目录下，修改f配置文件，增加log_error=/home/mysql.error3、 配置二进制日志

在mysql的安装目录下，修改f配置文件，增加log_bin=mysql-bin4、 配置慢查询日志在mysql的安装目录下，修改f配置文件，增加slow_query」og=15、 配置通用查询日志在mysql的安装目录下，修改f配置文件，增加general_log=1重启mysql，可执行命令/etc/init.d/mysqlrestart检测方法1、判定条件登录测试，检查相关信息是否被记录1.3.1.8.设置禁止MySQL对本地文件存取要求内容在mysql中，使用loaddatalocalinfile命令提供对本地文件的读取，该操作令会利用MySQL把本地文件读到数据库中，用户可以获取敏感信息。打开my.cf（Linux系统）或my.ini（Windows系统）查看local-infile。如果不需要读取本地文件，将local-infile设为0可关闭此功能。操作指南方法一：在f的mysql字段下加local-infile_0方法二：启动mysql时加参数local-infile=0/etc/init.d/mysqlstart--local-infile=0假如需要获取本地文件，需要打开此功能，但出于安全考虑建议关闭重新打开命令/etc/init.d/mysqlstart--local-infile=l修改后需要重新启动mysql检测方法确认数据库确实无需读取本地文件，方可操作.文件安全要求内容确保重要的数据库文件没有任意可写权限或任意可读权限检查是否有不恰当的授权文件：#ls-al.mysql_history.bash_history应为600权限#ls-al/etc/f应为644权限#find/-name.MYDIxargsls-al 应为600权限操作指南#find/-name.MYIIxargsls-al 应为600权限#find/-name.frm|xargsls-al 应为600权限保护数据库文件，授予恰当的权限：#chmod600.mysql_history.bash_history#chmod600*.MYD*.MYI*.frm#chmodo-rw/etc/f检测方法.3.1.10.目录权限设置要求内容mysql权限设置应遵循最小权限设置原则操作指南默认的mysql是安装在/usr/local/mysql，而对应的数据库文件在/usr/local/mysql/var目录下；必须保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要

限制对该目录的访问；确保mysqld运行时，只使用对数据库目录具有读或写权限的linux用户来运行。chown-Rroot/usr/local/mysql///mysql主目录给rootchown-Rmysql.mysql/usr/local/mysql/var//确保数据库目录权限所属mysql用户检测方法1. .bashhistory及.mysqlhistory文件是否删除要求内容数据库相关的shell操作命令都会分别记录在.bashhistory，如果这些文件不慎被读取，会导致数据库密码和数据库结构等信息泄露；登陆数据库后的操作将记录在.mysql_history文件中，如果使用update表信息来修改数据库用户密码的话，也会被读取密码操作指南cd〜/ls-al查看是否有.bash_history及.mysql_history文件rm.bash_history.mysql_history〃删除历史记录ln-s/dev/null.bashhistory 〃将shell记录文件置空ln-s/dev/null.mysqlhistory〃将mysql记录文件置空检测方法2.IP访问限制要求内容只有通过指定IP地址段的用户才可以登录操作指南执行命令：mysql〉GRANTALLPRIVILEGESONdb.*・-〉-〉TO用户名@'IP子网/掩码'；检测方法1、判定条件尝试从任意IP访问数据库，确认只有信任的IP地址才能通过监听器访问数据库Windows版本1.3.2.1.禁止用户共享账号要求内容禁止用户共享账号操作指南执行SELECThost,userFROMmysql.user获取数据库当前帐号信息，对比数据库用户列表，查看用户是否对应自己的数据库帐号若存在共享账号行为，需为相关人员分别创建账号，并根据需求授予权限，操作如下：CREATEUSER'username'@'host'IDENTIFIEDBY'password'

说明:username-你将创建的用户名，host-指定该用户在哪个主机上可以登陆，如果是本地用户可用localhost,如果想让该用户可以从任意远程主机登陆,可以使用通配符％.password-该用户的登陆密码，密码可以为空,如果为空则该用户可以不需要密码登陆服务器.GRANTprivilegesONdatabasename.tablenameTO'username'@'host'检测方法.禁止弱口令要求内容确保系统不存在弱口令操作指南mysql>selectusei;passwordfrommysql.user;+ + +|user|password |+ + +|test|*94BDCEBE19083CE2A1F959FD02F964C7AF4CFC29|+ + +将密码hash导入cain软件破解。如要修改密码，执行如下命令：mysql>updateusersetpassword=password（'复杂的新密码'）whereuser='test';mysql>flushprivileges;检测方法.禁止匿名帐户要求内容确保系统不存在匿名帐户操作指南mysql>selectuser,passwordfrommysql.user;存在user和password字段均为空的行删除匿名帐户：mysql>deletefromuserwhereuser=";mysql>flushprivileges;检测方法.默认管理员账号改名要求内容对默认管理员账号改名操作指南执行：updateusersetuser="newroot"whereuser="root"执行：flushprivileges检测方法2、判定条件

执行：usemysql;〃选择mysql库；执行：select*fromuser；.禁止mysql以管理员帐号权限运行要求内容应以普通账号安全运行mysql，禁止以管理员账号权限运行操作指南在my.ini中［mysqld］配置段中添加user=mysql检测方法.连接数设置要求内容数据库的单个用户多次远程连接，会导致性能的下降和影响其他用户的操作，有必要对其进行限制。可以通过限制单个账户允许的连接数量来实现。操作指南根据机器性能和业务需求，设置最大连接数在mysql的安装目录下，在my.ini中在［mysqld］配置段添加：max_connections=1000，重启mysql服务检测方法1.3.2.7.启用日志记录功能要求内容数据库应配置日志功能，对用户登录、事件和错误信息记录。操作指南1、 配置更新日志在mysql的安装目录下，在my.ini中配置log_slave_updates=12、 配置错误日志在mysql的安装目录下，在my.ini中配置log_error的目录3、 配置二进制日志在mysql的安装目录下，在my.ini中配置log_bin的目录4、 配置慢查询日志在mysql的安装目录下，在my.ini中配置log_slow_queries的目录5、 配置通用查询日志在mysql的安装目录下，在my.ini中配置log的目录重启mysql检测方法1、判定条件登录测试，检查相关信息是否被记录1.3.2.8.设置禁止MySQL对本地文件存取

要求内容在mysql中，使用loaddatalocalinfile命令提供对本地文件的读取，该操作令会利用MySQL把本地文件读到数据库中，