版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、Oracle 数据库安全配置规范1 概述目的本规范明确了 oracle 数据库安全配置方面的基本要求。 为了提高 oracle 数据库 的安全性而提出的。范围本规范适用于XXXXX5用的oracle数据库版本。2 配置标准账号管理及认证授权按照用户分配账号 目的 应按照用户分配账号,避免不同用户共享账号。 具体配置 create user abc1 identified by password1; create user abc2 identified by password2; 建立 role ,并给 role 授权,把 role 赋给不同的用户删除无关账号。 检测操作 删除无用账号 目的
2、应删除或锁定与数据库运行、维护等工作无关的账号。 具体配置 alter user username lock;drop user username cascade; 检测操作 限制DBA程登入目的限制具备数据库超级管理员(SYSDBA权限的用户远程登录。 具体配置 .在 spfile 中设置 REMOTE_LOGIN_PASSWORDFILE=N0NESYSDB用户从远 程登陆。.在 sqlnet.ora 中设置 SQLNET.AUTHENTICATION_SERVICES=NONE用 SYSDBA!色的自动登入。 检测操作 以 Oracle 用户登入到系统中。以 sqlplus /as sy
3、sdba 登入到 sqlplus 环境中。使用 show parameter 命令来检查参数 REMOTE_LOGIN_PASSWORDFL段 置为 NONE Show parameter REMOTE_LOGIN_PASSWORDFILE检 查 在 $ORACLE_HOME/network/admin/sqlnet.ora 文 件 参 数 SQLNET.AUTHENTICATION_SERVICESS设置成 NONE.最小权限 目的 在数据库权限配置能力内, 根据用户的业务需要, 配置其所需的最小权限。 具体配置 !给用户赋相应的最小权限grant 权限 to username;! 收回用户
4、多余的权限revoke 权限 from username; 检测操作 数据库角色目的使用数据库角色(ROLE来管理对象的权限。 具体配置使用Create Role 命令创建角色。使用Grant 命令将相应的系统、对象或Role 的权限赋予应用用户。 检测操作以DBAffl户登入到sqlplus 中。通过查询 dba_role_privs 、 dba_sys_privs 和 dba_tab_privs 等视图来检查 是否使用ROL既管理对象权限。用户属性 目的 对用户的属性进行控制,包括密码策略、资源限制等。 具体配置 可通过下面类似命令来创建profile ,并把它赋予一个用户CREATE P
5、ROFILE app_user2 LIMITFAILED_LOGIN_ATTEMPTS 6PASSWORD_LIFE_TIME 60PASSWORD_REUSE_TIME 60PASSWORD_REUSE_MAX 5PASSWORD_VERIFY_FUNCTION verity_functionPASSWORD_LOCK_TIME 1/24PASSWORD_GRACE_TIME 90;ALTER USER jd PROFILE app_user2;! 可通过设置profile 来限制数据库账户口令的复杂程度,口令生产周期和账户的锁定方式等。!可通过设置profile 来限制数据库账户的CPUK
6、源占用。 检测操作 数据字典保护目的启用数据字典保护,只有SYSDB用户才能访问数据字典基础表。 具体配置 通过设置下面初始化参数来限制只有 SYSDB版限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE 检测操作 以普通dba用户登入到数据库,不能查看 *$开头的表,比如:select * from sys,x$ksppi;以 Oracle 用户登入到系统中。以 sqlplus as sysdba 登入到 sqlplus 环境中。3:使用 show parameter 命令来检查参数 O7_DICTIONARY_ACCESSIBILI叱否设置为FAL
7、SE。Show parameter O7_DICTIONARY_ACCESSIBILITYDBA组操作系统用户数量目的限制在DBA组中的操作系统用户数量,通常 DBA组中只有Oracle安装用 户。 具体配置 通过/ etc / passwd文件来检查是否有其它用户在 DBA组中。 检测操作 无其它用户属于DBA。或者通过/ etc/passwd文件来检查是否有其它用户在 DB创中。2.2 口令口令复杂度 目的 对于采用静态口令进行认证的数据库,口令长度至少6 位,并包括数字、小写字母、大写字母和特殊符号4 类中至少 2 类。 具体配置为用户建profile ,调整PASSOWRD_VERIF
8、Y_FUNCTO蹄码复杂度 检测操作修改密码为不符合要求的密码,将失败。Alter user abcd1 identified by abcd1; 将失败口令期限90 天。 目的 对于采用静态口令认证技术的数据库,账户口令的生存期不长于 具体配置 为用户建相关profile 检测操作 指定 PASSWORD_GRACE_TM9E0天。connect到期不修改密码,密码将会失败。连接数据库将不会成功 username/password 报错口令历史 目的 对于采用静态口令认证技术的数据库, 应配置数据库, 使用户不能重复使用最近 5 次(含 5 次)内使用的口令。 具体配置为用户建 profil
9、e ,指定 PASSWORD_REUSE_MAX 检测操作alter user username identified by password; 如果 password1 在 5 次修改密 码内被使用,改操作将不成功。2.2.4 失败登录次数 目的 对于采用静态口令认证技术的数据库, 应配置当用户连续认证失败次数超过 6 次(不含 6 次) ,锁定该用户使用的账号。 具体配置为用户建 profile ,指定 FAILED_LOGIN_ATTEMPTS6 检测操作connect username/password, 连续 6 次失败,用户被锁定。连续 6 次用错误的密码连接用户,第 7 次时用户
10、将被锁定。2.2.5 默认账号的密码 目的 更改数据库默认账号的密码。 具体配置 ALTER USER XXX IDENTIFIED BY XXX;下面是默认用户列表:ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYS
11、WMSYSXDB 检测操作 不能以用户名作为密码或使用默认密码的账户登入到数据库。或者.以DBAffl户登入到sqlplus 中。. 检查数据库默认账户是否使用了用户名作为密码或默认密码。2.2.6 遵循操作系统账号策略 目的 Oracle 软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。 具体配置使用操作系统以及的账户安全管理来保护 Oracle 软件账户。 检测操作每 3 个月自动提示更改密码,过期后不能登入。每 3 个月强制修改Oracle 软件账户密码,并且密码需要满足一定的复杂程度,符合操作系统的密码需要。2.3 日志登录
12、日志 目的 数据库应配置日志功能, 对用户登入进行记录, 记录内容包括用户登入使用的账号、登入是否成功、登入时间以及远程登入时使用的 IP 地址。 具体配置 创建ORACL登入触发器,记录相关信息,但对IP地址的记录会有困难建表 LOGON_TABLE建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGININSERTINTOLOGON_TABLVEALUES(SYS_CONTEXTU(SEREN,VSESSION_USE),RSYSDATE);END;触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。特别是 RAC 环境,资源
13、消耗较大。 检测操作 操作日志 目的 数据库应该配置日志功能, 记录用户对数据库的操作, 包括但不限于以下内容:账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、 身份数据、 涉及通信隐私数据。 记录需要包含用户账号,操作时间,操作内容以及操作结果。 具体配置 创建ORACL登入触发器,记录相关信息,但对IP地址的记录会有苦难建表 LOGON_TABLE建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXTU(SEREN,
14、V SESSIO_USE)R,SYSDATE);END;#触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。特别是 RACW境,资源消耗较大。 检测操作 安全事件日志 目的 数据库应配置日志功能,记录对与数据库相关的安全事件。 具体配置 创建ORACL登入触发器,记录相关信息,但对IP地址的记录会有困难建表 LOGON_TABlE建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGININSERTINTOLOGON_TABLVEALUES(SYS_CONTEXTU(SEREN,VSESSION_USE),RSYSDATE);EN
15、D;触发器与AUDIT会有相应的资源开消,请检查系统资源是否充足。特别是RAC 环境,资源消耗较大。 检测操作 数据库审计策略 目的 根据业务要求制定数据库审计策略。 具体配置通过设置参数audit_trail=db或 os 来打开数据库审计。然后可以使用Audit 命令对相应的对象进行审计设置。 检测操作对审计的对象进行一次数据库操作,检查操作是否被记录。. 检查初始化参数audit_trail 是否设置。.检查 dba_audit_trail视图中或 $ORACLE_BASE/admin/adun!p下是否有数据。AUDIT会有相应资源开消,请检查系统资源是否充足。特别是RAC境,资源消耗
16、较大。2.4 其它数据库交叉访问目的使用Oracle提供的虚拟私有数据库(VPD和标签安全(OLS来保护不 同用户之间的数据交叉访问。 具体配置 .在表上构建 VPCM以使用Oracle所提供的PL/SQL包DBMS_RLS制整个VPD 基础架构,具体设置方法较复杂,建议参考Oracle 文档进行配置。. Oracle标签安全(OLS是在相关表上通过添加一个标签列来实现复杂的数据安全控制,具体细节请参考Oracle 文档。 检测操作 通过视图来检查是否在数据库对象设置了VPD? HOLS查询视图 v$vpd_policy 和 dba_policies.限制DBA权限用户访问敏感数据目的使用Or
17、acle提供的Data Vault选件来BM制有DBA权限的用户访问敏感数据。 具体配置 Oracle Data Vault 是作为数据库安全解决方案的一个单独选件,主要功能是将数据库管理帐户的权限和应用数据访问的权限分开, Data Vault 可限制有 DBA权限的用户访问敏感数据。设置比较复杂,具体细节请参考Oracle 文档。安全事件日志 检测操作 以DBAS户登入,不能查询其它用户下面的数据。或者,. 在视图 dba_users 中查询是否存在dvsys 用户。.在视图dba_objects中检查是否存在 dbms_macadmt象。数据库监听器目的为数据库监听器(LISTENER的
18、关闭和启动设置密码。 具体配置 通过下面命令设置密码:$lsnrctlLSNRCTLchange_passwordOld password: Not displayedNew password: Not displayedReenter new password: Not displayedConnecting to(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)Password changed for LISTENERThe command completed successfullyLSNRCTL
19、save_config 检测操作 使用 lsnrctl start 或 lsnrctl stop 命令起停 listener 需要密码。或者检查$ORACLE_HOME/network/admin/listener.ora 文 件 中 是 否 设 置 参 数 PASSWORDS_LISTENER.访问源限制 目的 设置只有信任的 IP 地址才能通过监听器访问数据库。 具体配置 只需要在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora 中设置以 下行:tcp.validonde_checking=yes tcp.invited_nodes=(ip1,ip2 ) 检测操作 在非信任的客户端以数据库帐户登录被提示拒绝。或者,检查 $
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 仓储课程设计参考文献
- 血液透析质量督查患者信息核查表
- 储罐课程设计个人总结
- 基于TLS资源分配实验课程设计
- 基于Snort的入侵检测系统实现方法课程设计
- 贝叶斯网络诊断系统升级课程设计
- 数字博物馆导览App物联网应用课程设计
- Flutter天气开发案例课程设计
- 中小学安全教育主题班会课件
- 白土补充精制装置操作工岗前工艺优化考核试卷含答案
- 2026年华为光技术笔练习题库附完整答案详解【必刷】
- 钢结构工程技术交底(标准范本)
- 滤油机安全使用规定培训课件
- 属地安全监管责任制度
- 高中生政治素养培养教学课件
- 2026届湖北省宜昌市生物高一下期末考试试题含解析
- 熬汤技术培训课件
- 监理举牌验收制度规范
- 2025年医院副院长工作总结及2026年工作计划
- 2025年春季学期国开电大行管专科《监督学》期末纸质考试总题库及答案
- 2025高三历史高考模拟试卷五套
评论
0/150
提交评论