Oracle数据库安全配置规范

Oracle数据库安全配置规范1 概述1.1 目的本规范明确了oracle数据库安全配置方面的基本要求。为了提高oracle数据库的安全性而提出的。1.2 范围本规范适用于XXXXX适用的oracle数据库版本。2 配置标准2.1 账号管理及认证授权2.1.1 按照用户分配账号目的应按照用户分配账号，避免不同用户共享账号。具体配置create user abc1 identified by password1;create user abc2 identified by password2;建立role，并给role授权，把role赋给不同的用户删除无关账号。检测操作2.1.2 删除无用账号目的应删除或锁定与数据库运行、维护等工作无关的账号。具体配置alter user username lock;drop user username cascade;检测操作2.1.3 限制DBA远程登入目的限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。具体配置1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登入。检测操作1. 以Oracle用户登入到系统中。2. 以sqlplus /as sysdba登入到sqlplus环境中。3. 使用show parameter 命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE.2.1.4 最小权限目的在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。具体配置！给用户赋相应的最小权限grant 权限 to username;!收回用户多余的权限revoke权限from username;检测操作2.1.5 数据库角色目的使用数据库角色（ROLE）来管理对象的权限。具体配置1. 使用Create Role命令创建角色。2. 使用Grant命令将相应的系统、对象或Role的权限赋予应用用户。检测操作1. 以DBA用户登入到sqlplus中。2. 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。2.1.6 用户属性目的对用户的属性进行控制，包括密码策略、资源限制等。具体配置可通过下面类似命令来创建profile，并把它赋予一个用户CREATE PROFILE app_user2 LIMITFAILED_LOGIN_ATTEMPTS 6PASSWORD_LIFE_TIME 60PASSWORD_REUSE_TIME 60PASSWORD_REUSE_MAX 5PASSWORD_VERIFY_FUNCTION verity_functionPASSWORD_LOCK_TIME 1/24PASSWORD_GRACE_TIME 90;ALTER USER jd PROFILE app_user2;!可通过设置profile来限制数据库账户口令的复杂程度，口令生产周期和账户的锁定方式等。！可通过设置profile来限制数据库账户的CPU资源占用。检测操作2.1.7 数据字典保护目的启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。具体配置通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE检测操作以普通dba用户登入到数据库，不能查看X$开头的表，比如：select * from sys,x$ksppi;1:以Oracle用户登入到系统中。2:以sqlplus as sysdba登入到sqlplus环境中。3：使用show parameter 命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。Show parameter O7_DICTIONARY_ACCESSIBILITY2.1.8 DBA组操作系统用户数量目的限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户。具体配置通过etcpasswd 文件来检查是否有其它用户在DBA组中。检测操作无其它用户属于DBA组。或者通过etcpasswd文件来检查是否有其它用户在DBA组中。2.2 口令2.2.1 口令复杂度目的对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。具体配置为用户建profile，调整PASSOWRD_VERIFY_FUNCTION,指定密码复杂度检测操作修改密码为不符合要求的密码，将失败。Alter user abcd1 identified by abcd1;将失败2.2.2 口令期限目的对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。具体配置为用户建相关profile，指定 PASSWORD_GRACE_TIME为90天。检测操作到期不修改密码，密码将会失败。连接数据库将不会成功connect username/password报错2.2.3 口令历史目的对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内使用的口令。具体配置为用户建profile，指定PASSWORD_REUSE_MAX为5检测操作alter user username identified by password;如果password1在5次修改密码内被使用，改操作将不成功。2.2.4 失败登录次数目的对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。具体配置为用户建profile，指定FAILED_LOGIN_ATTEMPTS为6检测操作connect username/password,连续6次失败，用户被锁定。连续6次用错误的密码连接用户，第7次时用户将被锁定。2.2.5 默认账号的密码目的更改数据库默认账号的密码。具体配置ALTER USER XXX IDENTIFIED BY XXX;下面是默认用户列表：ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB检测操作 不能以用户名作为密码或使用默认密码的账户登入到数据库。或者1. 以DBA用户登入到sqlplus中。2. 检查数据库默认账户是否使用了用户名作为密码或默认密码。2.2.6 遵循操作系统账号策略目的Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。具体配置使用操作系统以及的账户安全管理来保护Oracle软件账户。检测操作每3个月自动提示更改密码，过期后不能登入。每3个月强制修改Oracle软件账户密码，并且密码需要满足一定的复杂程度，符合操作系统的密码需要。2.3 日志2.3.1 登录日志目的数据库应配置日志功能，对用户登入进行记录，记录内容包括用户登入使用的账号、登入是否成功、登入时间以及远程登入时使用的IP地址。具体配置创建ORACLE登入触发器，记录相关信息，但对IP地址的记录会有困难1. 建表LOGON_TABLE2. 建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGININSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV,SESSION_USER),SYSDATE);END;触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。检测操作2.3.2 操作日志目的数据库应该配置日志功能，记录用户对数据库的操作，包括但不限于以下内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。具体配置创建ORACLE登入触发器，记录相关信息，但对IP地址的记录会有苦难1 建表LOGON_TABLE2 建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGININSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV,SESSIO_USER),SYSDATE);END;#触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。检测操作2.3.3 安全事件日志目的数据库应配置日志功能，记录对与数据库相关的安全事件。具体配置创建ORACLE登入触发器，记录相关信息，但对IP地址的记录会有困难1. 建表LOGON_TABlE2. 建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV,SESSION_USER),SYSDATE);END;触发器与AUDIT会有相应的资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。检测操作2.3.4 数据库审计策略目的根据业务要求制定数据库审计策略。具体配置1. 通过设置参数audit_trail=db或os来打开数据库审计。2. 然后可以使用Audit命令对相应的对象进行审计设置。检测操作对审计的对象进行一次数据库操作，检查操作是否被记录。1. 检查初始化参数audit_trail是否设置。2. 检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。2.4 其它2.4.1 数据库交叉访问目的使用Oracle提供的虚拟私有数据库（VPD）和标签安全（OLS）来保护不同用户之间的数据交叉访问。具体配置1. 在表上构建VPD可以使用Oracle所提供的PL/SQL包DBMS_RLS控制整个VPD基础架构，具体设置方法较复杂，建议参考Oracle文档进行配置。2. Oracle标签安全（OLS）是在相关表上通过添加一个标签列来实现复杂的数据安全控制，具体细节请参考Oracle文档。检测操作通过视图来检查是否在数据库对象设置了VPD和OLS。查询视图v$vpd_policy和dba_policies.2.4.2 限制DBA权限用户访问敏感数据目的使用Oracle提供的Data Vault选件来限制有DBA权限的用户访问敏感数据。具体配置Oracle Data Vault 是作为数据库安全解决方案的一个单独选件，主要功能是将数据库管理帐户的权限和应用数据访问的权限分开，Data Vault 可限制有DBA权限的用户访问敏感数据。设置比较复杂，具体细节请参考Oracle文档。安全事件日志检测操作以DBA用户登入，不能查询其它用户下面的数据。或者，1. 在视图dba_users中查询是否存在dvsys用户。2. 在视图dba_objects中检查是否存在dbms_macadm对象。2.4.3 数据库监听器目的为数据库监听器（LISTENER）的关闭和启动设置密码。具体配置通过下面命令设置密码：$lsnrctlLSNRCTLchange_passwordOld password: Not displayedNew password: Not displayedReenter new password: Not displayedConnecting to(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)Password changed for LISTENERThe command completed successfullyLSNRCTLsave_config检测操作使用lsnrctl start 或 lsnrctl stop命令起停listener需要密码。或者检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER.2.4.4 访问源限制目的设置只有信任的IP地址才能通过监听器访问数据库。具体配置只需要在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora 中设置以下行：tcp.validonde_checking=yestcp.invited_nod