Oracle數(shù)據(jù)庫系統(tǒng)加固規(guī)范

1、Oracl數(shù)據(jù)庫系統(tǒng)加固規(guī)范TOC o 1-5 h z HYPERLINK l bookmark01賬號管理、認(rèn)證授權(quán)1賬號1SHG-Oracle-01-01-011SHG-Oracle-01-01-022SHG-Oracle-01-01-033SHG-Oracle-01-01-044SHG-Oracle-01-01-055SHG-Oracle-01-01-067SHG-Oracle-01-01-078SHG-Oracle-01-01-0810口令11SHG-Oracle-01-02-0111SHG-Oracle-01-02-0212SHG-Oracle-01-02-0314SHG-Oracl

2、e-01-02-0415SHG-Oracle-01-02-0516 HYPERLINK l bookmark22日志配置18SHG-Oracle-02-01-0118SHG-Oracle-02-01-0221SHG-Oracle-02-01-0322SHG-Oracle-02-01-0424 HYPERLINK l bookmark43通信協(xié)議25SHG-Oracle-03-01-0125SHG-Oracle-03-01-0226 HYPERLINK l bookmark64設(shè)備其他安全要求284.1.1SHG-Oracle-04-01-0128SHG-Oracle-04-01-0229賬號管

3、理、認(rèn)證授權(quán)1.1賬號1.1.1SHG-Oracle-01-01-01編號SHG-Oracle-Ol-Ol-Ol名稱為不同的管理員分配不同的賬號實施目的應(yīng)按照用戶分配賬號，避免不同用戶間共享賬號，提高安全性。問題影響賬號混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)select*fromall_users;select*fromdba_users;記錄用戶列表實施步驟1、參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶2、補(bǔ)

4、充操作說明1、abc1和abc2是兩個不同的賬號名稱，可根據(jù)不同用戶，取不同的名稱；回退方案刪除用戶：例如創(chuàng)建了一個用戶A,要刪除它可以這樣做connectsys/密碼assysdba;dropuserAcascade;/就這樣用戶就被刪除了判斷依據(jù)標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶實施風(fēng)險高重要等級備注SHG-Oracle-01-01-02編號SHG-Oracle-01-01-02名稱刪除或鎖定無效賬號實施目的刪除或鎖定無效的賬號，減少系統(tǒng)安全隱患。問題影響允許非法利用系統(tǒng)默認(rèn)賬號系統(tǒng)當(dāng)前狀態(tài)select*fromall_users;select*fromdba_users;

5、記錄用戶列表1、參考配置操作alteruserusernamelock;/鎖定用戶實施步驟dropuserusernamecascade;/刪除用戶回退方案刪除新增加的帳戶首先鎖定不需要的用戶判斷依據(jù)在經(jīng)過段時間后，確認(rèn)該用戶對業(yè)務(wù)確無影響的情況下，可以刪除實施風(fēng)險高重要等級備注SHG-Oracle-01-01-03編號SHG-Oracle-01-01-03名稱限制超級管理員遠(yuǎn)程登錄實施目的限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登J錄。問題影響允許數(shù)據(jù)庫超級管理員遠(yuǎn)程非法登陸系統(tǒng)當(dāng)前狀態(tài)查看spfile,sqlnet.or內(nèi)容實施步驟1、參考配置操作在spfile中設(shè)置REMO

6、TE_LOGIN_PASSWORDFILE二NONE來禁止SYSDBA用戶從遠(yuǎn)程登陸。在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SERVICES二NONE來禁用SYSDBA角色的自動登錄?；赝朔桨高€原spfile,sqlnet.ora文件配置判斷依據(jù)判定條件不能通過Sql*Net遠(yuǎn)程以SYSDBA用戶連接到數(shù)據(jù)庫。在數(shù)據(jù)庫主機(jī)上以sqlplus/assysdba連接到數(shù)據(jù)庫需要輸入口令。檢測操作以O(shè)racle用戶登陸到系統(tǒng)中。以sqlplus/assysdba登陸到sqlplus環(huán)境中。使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASS

7、WORDFILE是否設(shè)置為NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢杳在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE。實施風(fēng)險高重要等級備注SHG-Oracle-01-01-04編號SHG-Oracle-01-01-04名稱權(quán)限最小化實施目的在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。問題影響賬號權(quán)限越大，對系統(tǒng)的威脅性越咼系統(tǒng)當(dāng)前狀態(tài)select*fromuser_sys_privs;select*from

8、user_role_privs;select*fromuser_tab_privs;記錄用戶擁有權(quán)限實施步驟1、參考配置操作grant權(quán)卩限tousername;revoke權(quán)卩限fromusername;2、補(bǔ)充操作說明用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限回退方案還原添加或刪除的權(quán)限判斷依據(jù)業(yè)務(wù)測試正常實施風(fēng)險高重要等級備注SHG-Oracle-01-01-05編號SHG-0racle-01-01-05名稱數(shù)據(jù)庫角色實施目的使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。問題影響賬號管理混亂系統(tǒng)當(dāng)前狀態(tài)select*fromdba_role_privs;select*

9、fromuser_role_privs;記錄用戶擁有的role實施步驟創(chuàng)建角色，修改角色1創(chuàng)建角色，不指定密碼：createroletestrole；創(chuàng)建角色，指定密碼：createroletestroleidentifiedbypasswd;修改角色:alterroletestroleidentifiedbypasswd;給角色授予權(quán)限。GrantselectonTable_nametotestrole;把角色賦予用戶：（特別說明，授予角色不是實時的。如下：）granttestroletoUser_Name;二、起用角色：給用戶賦予角色，角色并不會立即起作用。角色不能立即起作用。必須卜次斷開

10、此次連接，下次連接才能起作用?；蛘邎?zhí)行命令：有密碼的角色setroletestroleidentifiedbypasswd立即生效；無密碼的角色：setroletestrole；回退方案刪除相應(yīng)的Rolerevokerole_namefromuser_name判斷依據(jù)對應(yīng)用用戶不要賦予DBARole或不必要的權(quán)限實施風(fēng)險高重要等級備注SHG-Oracle-01-01-06編號SHG-Oracle-01-01-06名稱用戶profile實施目的對用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。問題影響賬號安全性低.系統(tǒng)當(dāng)前狀態(tài)SELECTprofileFROMdba_usersWHEREusern

11、ame=user_name記錄用戶賦予的profile實施步驟可通過下面類似命令來創(chuàng)建profile，并把匕賦予個用戶SQLshowparameterresource_limitSQLaltersystemsetresource_limit=true;CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24P

12、ASSWORD_GRACE_TIME90;ALTERUSERuser_namePROFILEprofile_name;回退方案alteruserdinyaprofiledefault;恢復(fù)默認(rèn)判斷依據(jù)可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度，口令生存周期和賬戶的鎖定方式等?？赏ㄟ^設(shè)置profile來限制數(shù)據(jù)庫賬戶的CPU資源占用。4、檢測操作以DBA用戶登陸到sqlplus中。查詢視圖dbaprofiles和dbausres來檢杳profile是否創(chuàng)建。實施風(fēng)險高重要等級備注SHG-Oracle-01-01-07編號SHG-0racle-01-01-07名稱數(shù)據(jù)字典保護(hù)實施目的啟

13、用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。問題影響數(shù)據(jù)庫安全性低.系統(tǒng)當(dāng)前狀態(tài)Showparameter07_DICTI0NARY_ACCESSIBILITY記錄當(dāng)前狀態(tài)實施步驟通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)字典。altersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;回退方案修改O7_DICTIONARY_ACCESSIBILITY為原來屬性判斷依據(jù)以普通用戶登陸到數(shù)據(jù)庫，不能查看乂$開頭的表，比如：select*fromsys.x$ksppi;檢測操作以O(shè)racle用戶登陸

14、到系統(tǒng)中。以sqlplus/assysdba登陸到sqlplus環(huán)境中。使用showparameter命令來檢杳參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY實施風(fēng)險高重要等級備注SHG-Oracle-01-01-08編號SHG-Oracle-01-01-08名稱檢杳DBA組用戶實施目的限制在DBA組中的操作系統(tǒng)用戶數(shù)量，通常DBA組中只有Oracle安裝用戶。問題影響影響組用戶管理系統(tǒng)當(dāng)前狀態(tài)Cat/etc/passwd實施步驟參考配置操作通過/etc/passwd文件來檢查是否

15、有其匕用戶在DBA組中。刪除用戶：#userdelusername;鎖定用戶：1）修改/etc/shadow文件，用戶名后加*LK*2）將/etc/passwd文件中的shell域設(shè)置成/bin/false3）#passwd-lusername只有具備超級用戶權(quán)限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd-dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。回退方案還原/etc/passwd文件判斷依據(jù)判定條件無其它用戶屬于DBA組。檢測操作通過/etc/passwd文件來檢查是否有其匕用戶在DBA組中。實施風(fēng)險

16、高重要等級備注口令1.2.1SHG-Oracle-01-02-01編號SHG-Oracle-Ol-02-Ol名稱缺省密碼長度復(fù)雜度限制對于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長度至少6位，實施目的并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。問題影響增加密碼被暴力破解的成功率系統(tǒng)當(dāng)前狀態(tài)SELECTprofileFROMdba_usersWHEREusername二user_name;記錄用戶賦予的profile實施步驟1、參考配置操作為用戶建profile,調(diào)整PASSWORD_VERIFY_FUNCTION,指定密碼復(fù)雜度示例：SQLCREATEORREPLACEFUNCTIONm

17、y_password_verify(usernameVARCHAR2passwordVARCHAR2,old_passwordVARCHAR2)RETURNBOOLEANISBEGINIFLENGTH(password)createprofileTEST_PROFILElimit2password_verify_functionMY_PASSWORD_VERIFY;回退方案alteruseruser_nameprofiledefault;判斷依據(jù)1、判定條件修改密碼為不符合要求的密碼，將失敗2、檢測操作alteruseruser_nameidentifiedbypasswd將失敗實施風(fēng)險低重要

18、等級備注SHG-Oracle-01-02-02編號SHG-0racle-01-02-02名稱缺省密碼生存周期限制實施目的對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天，減少口令安全隱患。問題影響密碼被非法利用，并且難以管理系統(tǒng)當(dāng)前狀態(tài)SELECTprofileFROMdba_usersWHEREusername二user_name;記錄用戶賦予的profile實施步驟1、參考配置操作為用戶建相關(guān)profile,指定PASSWORD_GRACE_TIME為90天2、補(bǔ)充操作說明在90天內(nèi)，需要修改密碼回退方案alteruseruser_nameprofiledefault;判斷依據(jù)

19、3、判定條件到期不修改密碼，密碼將會失效。連接數(shù)據(jù)庫將不會成功4、檢測操作connectusername/password扌報錯實施風(fēng)險低重要等級備注SHG-Oracle-01-02-03編號SHG-0racle-01-02-03名稱密碼重復(fù)使用限制實施目的對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。問題影響密碼破解的幾率增加系統(tǒng)當(dāng)前狀態(tài)SELECTprofileFROMdba_usersWHEREusername二user_name;記錄用戶賦予的profile實施步驟1、參考配置操作為用戶建profile,指定PASSWORD_REUSE_MAX為52、補(bǔ)充操作說明當(dāng)前使用的密碼，必需在密碼修改5次后才能再次被使用回退方案alteruseruser_nameprofiledefault;判斷依據(jù)3、判定條件重用修改5次內(nèi)的密碼，將不能成功4、檢測操作alteruserusernameidentifiedbypasswordl;女口果passwordl在5次修改密碼內(nèi)被使用，該操作將不能成功實施風(fēng)險低重要等級備注SHG-Oracle-01-02-04編號SHG-0racle