Oracle数据库安全配置规范

Oracle数据库安全配置规范

0rac1。数据库安全配置规范

1.概述

1.1.目的

本规范明确了Oracle数据库安全配置方面的基本要求。为了提高Oracle数据

库的安全性而提出的。

1.2.范围

本规范适用于XXXX使用的Oracle数据库版本。

Pagelof11

0rac1e数据库安全配置规范

2.配置标准

2.1.帐号管理及认证授权

21.1.按照用户分配帐号

【目的】应按照用户分配账号，避免不同用户间共享账号。

【具体配置】

createuserabclidentifiedbypassword1;

createuserabc2identifiedbypassword2;

建立role,并给role授权，把role赋给不同的用户删除无关帐号

21.2删除无用帐号

【目的】应删除或锁定与数据库运行、维护等工作无关的账号。

【具体配置】

alteruserusernamelock;

dropuserusernamecascade;

2.1.3.限制DBA®程登录

【目的】限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。

【具体配置】

1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止

SYSDBA用户从远程登陆。

2.ffisqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来

禁用SYSDBA角色的自动登录。

【检测操作】

1.以Oracle用户登陆到系统中。

2.以sqlplus7assysdba'登陆至Usqlplus环境中。

3.施用showparameter命令来检查参数

REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。

ShowparameterREMOTE_LOGIN_PASSWORDFILE

4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数

SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。

Page2ofn

0rac1e数据库安全配置规范

2.1.4.最小权限

【目的】在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小

权限。

【具体配置】

!给用户赋相应的最小权限

grant权限tousername;

!收回用户多余的权限

revoke权限fromusername;

21.5.缄库角色

【目的】使用数据库角色（ROLE）来管理对象的权限。

【具体配置】

1.使用CreateRole命令创建角色。

2.使用用Gram命令将相应的系统、对象或Role的权限赋予应用用户。

【检测操作】

1.以DBA用户登陆到sqlphis中。

2.通过查询dba_role_privs、dba_sys_privsfDdba_tab_privs等视图来检查是

否使用ROLE来管理对象权限。

2L6.用户属性

【目的】对用户的属性进行控制，包括密码策略、资源限制等。

【具体配置】

可通过下面类似命令来创建profile,并把它赋予一个用户

CREATEPROHLEapp_user2LIMIT

FAILED_LOGIN_ATTiEMPTS6

PASSWORD_LIFE_TIME60

PASSWORD_REUSE_TIME60

PASSWORD_REUSE_MAX5

PASSWORD_VERIFY_FUNCTIONverify_function

PASSWORD_LOCK_TIME1/24

PASSWORD_GRACE_TIME90;

ALTERUSERjdPROFILEapp_user2;

!可通过设置profile来限制数魏库账户口令的复杂程度，口令生存周期和

账户的锁定方式等。

!可通过设置profile来限制数据库账户的CPU资源占用。

Page30fli

0rac1e数据库安全配置规范

21.7.蝇蓼的

【目的】启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。

【具体配置】

通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字

典。

07_DICTIONARY_ACCESSIBILITY=FALSE

【检测操作】

以普通dba用户登陆到数据库，不能查看*$开头的表，比如：

f钦盘曲声着耀除纸中。

2.以sqip欣/assys击a，登陆到sqlplus环境中。

3.傥用showparameter命令来检查参数

07_DICTIONARY_ACCESSIBILITY是否设置%FALSE。

ShowparameterO7_DICTIONARY_ACCESSIBILITY

2.1.8.DBA组操作系统用户数量

【目的】限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安

装用户。

【具体配置】

通过/etc/passwd文件来检查是否有其它用户在DBA组中。

【检测操作】

无其它用户属于DBA组。或者

通过/etc/passwd文件来检查是否有其它用户在DBA组中。

2.2.口令

221.口令螃度

【目的】对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数

字、小写字母、大写字母和特殊符号4类中至少2类。

【具体配置】

为用户建profile,调8PASSWORD_VERIFY_FUNCTION,指定密码复杂

度

【检测操作】

修改密码为不符合要求的密码，将失败

Page4of11

0rac1e数据库安全配置规范

alteruserabcdlidentifiedbyabcdl;将失败

2.22.口令期限

【目的】对于采用静态口令认证技术的数据库，账户口令的生存期不长于90

天。

【具体配置】

为用户建相关profile,指定PASSWORD_GRACE_TIME为90天

【检测操作】

到期不修改密码，密码将会失效。连接数据库将不会成功

connectusername/password报错

22.3•口令历史

【目的】对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重

复使用最近5次（含5次）内已使用的口令。

【具体配置】

为用户建profile,指定PASSWORD_REUSE_MAX为5

【检测操作】

alteruserusernameidentifiedbypasswordl;1TRpassword1在5次修改密码

内被使用，该操作将不能成功

2.24.^

【目的】对于采用静态口令认证技术的数据庠，应配置当用户连续认证失败次

数超过6次（不含6次），锁定该用户使用的账号。

【具体配置】

为用户建profile,指定FAILED_LOGIN_ATTEMPTS^J6

【检测操作】

connectusername/password,连续6次失败，用户被锁定

连续6次用错误的密码连接用户，第7次时用户将被锁定

225.默认帐号的密码

【目的】更改数据库默认帐号的密码。

【具体配置】

Page5ofn

Orac1e数据库安全配置规范

ALTERUSERXXXIDENTIFIEDBYXXX;

下面是默认用户列表：

ANONYMOUS

CTXSYS

DBSNMP

DIP

DMSYS

EXFSYS

HR

LBACSYS

MDDATA

MDSYS

MGMT.VIEW

ODM

ODM_MTR

OE

OLAPSYS

ORDPLUGINS

ORDSYS

OUTLN

PM

QS

QS.ADM

QS_CB

QS.CBADM

QS_CS

QS_ES

QS_OS

QS_WS

RMAN

SCOTT

SH

SI_INFORMTN_SCHEMA

SYS

SYSMAN

SYSTEM

TSMSYS

WK_TEST

WKPROXY

WKSYS

WMSYS

XDB

【检测操作】

不能以用户名作为密码或使用默认密码的账户登陆到数据库。

或者

1.以DBA用户登陆到sqlplus中。

2.检查数据库默认账户是否使用了用户名作为密码或默认密码。

Rige6of11

0rac1e数据库安全配置规范

2.26.遵循操作系统帐号策略

【目的】Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不

要共享账户、强制定期修改密码、密码需要有一定的复杂度等。

【具体配置】

使用操作系统一级的账户安全管理来保护Oracle软件账户。

【检测操作】

每3个月自动提示更改密码，过期后不能登陆。

每3个月强制修改Oracle软件账户密码，并且密码需要满足一定的复杂程

度，符合操作系统的密码要求。

2.3.日志

231.稣日志

【目的】数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登

录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。

【具体配置】

创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难

1.建表LOGON—TABLE

2.建触发器

CREATETRIGGERTRI_LOGON

AFTERLOGONONDATABASE

BEGIN

INSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(USERENV;

SESSIONJJSER)

SYSDATE);

END;

触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC

环境，资源消耗较大。

232操作日志

【目的】数据库应配置日志功能，记录用户对数据库的操作，包括但不限于以

下内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和

修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账

号，操作时间，操作内容以及操作结果。

Page7of11

0rac1e数据库安全配置规范

【具体配置】

创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难

1.建表LOGON_TABLE

2.建触发器

CREATETRIGGERTRI_LOGON

AFTERLOGONONDATABASE

BEGIN

INSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(USERENV;

,SESSION.USER)

SYSDATE);

END;#

触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC

环境，资源消耗较大。

2.33,安全事件日志

【目的】数据库应配置日志功能，记录对与数据库相关的安全事件.

【具体配置】

创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难

1.建表LOGONJTABLE

2.建触发器

CREATETRIGGERTRI_LOGON

AFTERLOGONONDATABASE

BEGIN

INSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(USERENV,

SESSION_USER),

SYSDATE);

END;

触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC

环境，资源消耗较大。

23.4数据库审计£

【目的】根据业务要求制定数据库审计策略。

【具体配置】

1.通过设置参数audit」rail二db或os来打开数据库审计。

2.然后可使用Audit命令对相应的对象进行审计设置。

【检测操作】

对审计的对象进行一次数据库操作，检查操作是否被记录。

1.检查初始化参数audit_trail是否设置。

2.检查dbaaudittrail视图中或$ORACLEBASE/admin/adump目录下是否

Page8ofI1

0rac1e数据库安全配置规范

有数据。

AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资

源消耗较大。

2.4.其它

2.4.1.螂库交叉访问

【目的】使用Oracle提供的虚拟私有数据库（VPD）和标签安全（OLS）来保

护不同用户之间的数据交叉访问。

【具体配置】

1.在表上构建VPD可以使用Oracle所提供的PL/SQL包DBMS_RLS控制

整个VPD基础架构，具体设置方法较复杂，建议参考Oracle文档进行配

置。

2.Oracle标签安全（OLS）是在相关表上通过添加一个标签列来实现复杂的

数据安全控制，具体细节请参考Oracle文档。

【检测操作】

通过视图来检查是否在数据库对象上设置了VPD和OLS。

查询视图v$vpd_policy和dba_policieso

242.限制DBA权限用户访问敏感数据

【目的】使用Oracle提供的DataVault选件来限制有DBA权限的用户访问敏

感数据。

【具体配置】

OracleDataVault是作为数据库安全解决方案的一个单独选件，主要功

能是将数据库管理账户的权限和应用数据访问的权限分开，DataVault

可限制有DBA权限的用户访问敏感数据。设置比较复杂，具体细节请参考

Oracle文档。安全事件日志

【检测操作】

以DBA用户登陆，不能查询其它用户下面的数据。或者，

1.在视图dba_users中查询是否存在dvsys用户。

2.在视图dba_objects中检查是否存在dbms_macadm对象。

Page9ofn

0rac1e数据库安全配置规范

243•数据库监听器

【目的】为数据库监听器(LISTENER)的关闭和启动设置密码。

【具体配置】

通过下面命令设置密码：

Slsnrctl

LSNRCTL>change_password

Oldpassword:<OidPassword>Notdisplayed

Newpassword:<NewPassword>Notdisplayed

Reenternewpassword:<NewPassword>Notdisplayed

Connectingto

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=15

21)(IP=FIRST)))

PasswordchangedforLISTENER

Thecommandcompletedsuccessfully

LSNRCTL>save_config

【检测操作】

使用Isnrctlstart或Isnrctlstop命令起停listener需要密码。或者

检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数

PASSWORDS_LISTENER。

24.4访问源限制

【目的】设置只有信任的IP地址才能通过监听器访问数据库。

【具体配置】

只需在服务器上的文件$ORACLE_HOME/nctwork/admin/sqlnet.ora中设置

以下行：

tcp.validnode_checking=yes

tcp.invited_nodes=