4、oracle數(shù)據(jù)庫安全配置操作手冊

XXXXXOracle數(shù)據(jù)庫

安全配置操作手冊

文檔修訂摘要日期版本作者/修訂者修訂類型描述審批者XXXXXoracle數(shù)據(jù)庫安全配置操作手冊XXXXXoracle數(shù)據(jù)庫安全配置操作手冊-I--I-目錄TOC\o"1-5"\h\z1概述1目的1適用范圍12身份鑒別1確保用戶標識唯一1禁用或刪除無意義賬號1設(shè)置密碼復(fù)雜度策略2修改默認賬號的密碼23用戶授權(quán)3為不同用戶設(shè)置相應(yīng)權(quán)限34訪問控制3登陸失敗鎖定3限制用戶遠程訪問3遠程鏈接數(shù)設(shè)置4連接超時設(shè)置45日志審計45.1設(shè)置日志審計策略4XXXXXoracle數(shù)據(jù)庫安全配置操作手冊XXXXXoracle數(shù)據(jù)庫安全配置操作手冊--#-Oracle數(shù)據(jù)庫安全配置操作手冊概述目的本文檔規(guī)定了XXXXX的Oracle操作系統(tǒng)的主機應(yīng)當遵循的操作系統(tǒng)安全性設(shè)置標準,本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行Oracle操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范圍本配置標準的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員。本配置標準適用的范圍包括：XXXXX的Oracle服務(wù)器系統(tǒng)。身份鑒別確保用戶標識唯一名稱確保用戶標識唯一說明應(yīng)按照用戶分配賬號（為不同的管理人員創(chuàng)建不同用戶名的賬號），避免不同用戶間共享賬號配置方案createusertestidentifiedbyqwer!@#$1234沖創(chuàng)建賬號test密碼為qwer!@#$1234驗證檢査connecttest/qwer!@#$1234連接數(shù)據(jù)庫成功禁用或刪除無意義賬號名稱禁用或刪除無意義帳號說明應(yīng)刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關(guān)的賬號配置方案alterusertestaccountlock;#鎖定test用戶dropusertestcascade;#刪除test用戶驗證檢杳select*fromdba_users查看用戶

設(shè)置密碼復(fù)雜度策略名稱設(shè)置密碼復(fù)雜度說明設(shè)置密碼復(fù)雜度防止弱口令出現(xiàn)。配置方案為用戶建profile，調(diào)整PASSWORD_VERIFY_FUNCTION,指定密復(fù)雜度建立密碼復(fù)雜度策略：修改$RDBMS\ADMIN\utlpwdmg.sql,在最后加入卜面的語句ALTERTEST_PROFILEDEFAULTLIMITPASSWORD_LIFE_TIME90#密碼生存時間為90天PASSWORD_GRACE_TIME7#密碼到期前7天提示PASSWORD_REUSE_TIMEUNLIMITED#一分鐘內(nèi)不能修改密碼PASSWORD_REUSE_MAX5#不能設(shè)置為最近5次使用的密碼啟用密碼復(fù)雜度：CREATEPROFILE"TEST_PROFILE"LIMITPASSWORD_VERIFY_FUNCTIONVERIFY_FUNCTION;#啟用TEST_PROFILE密碼策略。將用戶添加到復(fù)雜度策略里ALTERUSER"TEST1"PROFILE"TEST_PROFILE#將用戶TEST1添加到策略中。驗證檢査select*fromdbaprofiles檢杳密碼策略配置是否符合上述要求修改默認賬號的密碼名稱修改默認賬號的密碼說明禁止空口令用戶，存在空口令是很危險的，用戶不用口令認證就能進入系統(tǒng)，避免該用戶被非法利用。配置方案可通過下面命令來更改默認用戶的密碼ALTERUSERXXXIDENTIFIEDBYXXX默認用戶列表：ANONYMOUS；CTXSYS；CTXSYS；DIP；DMSYS；EXFSYS；HR；LBACSYS；MDDATA；MDSYS；MGMT_VIEW；ODM；ODM_MTR；OE；OLAPSYS；ORDPLUGINS；ORDSYS；OUTLN；PM；QS；QS_ADM；QS_CB；QS_CBADM；QS_CS；QS_ES；QS_OS；QS_WS；RMAN；SCOTT；SH；SI_INFORMTN_SCHEMA；SYS；SYSMAN；SYSTEM；TSMSYS；WKTEST；WKPROXY；WKSYS；WMSYS；XDB驗證檢査一、以DBA用戶登陸到sqlplus中。二、檢查數(shù)據(jù)庫默認賬戶是否使用了用戶名作為密碼或默認密碼。

用戶授權(quán)為不同用戶設(shè)置相應(yīng)權(quán)限名稱為不同用戶設(shè)置相應(yīng)權(quán)限說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限，防止非法訪問文件的情況發(fā)生。配置方案授予權(quán)限：grantselect|delete|update|insertonobjectnametotest;#為test賬戶授予select,delete,update,insert的權(quán)限?；厥諜?quán)限：revokeselect|delete|update|insertonobjectnamefromtest；#收回test賬戶的select,delete,update,insert的權(quán)限。授予用戶權(quán)限的原則：角色授予遵循最小化原則對象權(quán)限授予遵循最小化原則系統(tǒng)權(quán)限授予遵循最小化原則public用戶組不存在不合理的執(zhí)彳丁權(quán)限禁止對非DBA用戶提供系統(tǒng)級權(quán)限驗證檢査select*fromuser_sys_privs;select*fromuser_role_privs;select*fromuser_tab_privs;訪問控制登陸失敗鎖定名稱登陸失敗鎖定說明防止弱口令和暴力破解發(fā)生，降低社會工程學猜解密碼的可能性。實施步驟updatedba_profilessetlimit二'6'wherePROFILE二‘TEST_PROFILE‘a(chǎn)ndresource_name=''FAILED_LOGIN_ATTEMPTS'驗證檢査限制用戶遠程訪問名稱限制用戶遠程訪問說明通過數(shù)據(jù)庫所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫

實施步驟只需在服務(wù)器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設(shè)置以下行：tcp.validnode_checking=yestcp.invited_nodes=(ipl,ip2…)驗證檢査檢杳$ORACLEHOME/network/admin/sqlnet.ora文件中是否設(shè)置參數(shù)tcp.validnodechecking和tcp.invitednodes。遠程鏈接數(shù)設(shè)置名稱遠程連接數(shù)設(shè)定說明根據(jù)機器性能和業(yè)務(wù)需求，設(shè)置最大最小連接數(shù)。實施方案以管理員登錄數(shù)據(jù)庫，執(zhí)行下列命令修改進行成連接數(shù)，如修改到200altersystemsetprocesses=200scope二spfile;修改會話數(shù)altersystemsetsessions=225scope二spfile;重啟數(shù)據(jù)庫，啟用參數(shù)shutdownimmediate;startup;驗證檢査執(zhí)行showparameterprocesses;查看processes和sessions參數(shù)是否按照設(shè)定修改。連接超時設(shè)置名稱連接超時設(shè)置說明對于具備字符交互界面的設(shè)備，應(yīng)配置定時帳戶自動登出，防止管理員忘記退出被非法利用實施步驟在$ORACLE_HOME/network/admin/sqlnet.ora中設(shè)置下面參數(shù)：SQLNET.EXPIRE_TIME=15驗證檢査檢查$ORACLEHOME/network/admin/sqlnet.ora文件中是否設(shè)置參數(shù)SQLNET.EXPIRETIME。日志審計5.1設(shè)置日志審計策略名稱設(shè)置日志審計策略

說明啟用syslog系統(tǒng)日志審計功能實施步驟一、使用管理員登錄，創(chuàng)建ORACLE登錄觸發(fā)器，記錄相關(guān)信息建表droptablealter_audit_trail;CREATETABLEalter_audit_trail(object_ownerVARCHAR2(30),object_nameVARCHAR2(30),object_typeVARCHAR2(30),ddl_by_userVARCHAR2(30),sys_eventVARCHAR2(30),alte_timeDATE);droptablecreate_audit_trail;CREATETABLEcreate_audit_trail(object_ownerVARCHAR2(30),object_nameVARCHAR2(30),object_typeVARCHAR2(30),ddl_by_userVARCHAR2(30),sys_eventVARCHAR2(30),create_timeDATE);droptabledrop_audit_trail;CREATETABLEdrop_audit_trail(object_ownerVARCHAR2(30),object_nameVARCHAR2(30),object_typeVARCHAR2(30),ddl_by_userVARCHAR2(30),sys_eventVARCHAR2(30),drop_timeDATE);建觸發(fā)器CREATEORREPLACETRIGGERtri_ddl_audit_trailAFTERALTERORCREATEORDROPONsoc_sa_ap.SCHEMABEGINIFsys.sysevent二’ALTER'THENINSERTINTOalter_audit_trailVALUES(sys.dictionary_obj_owner,sys.dictionary_obj_name,sys.dictionary_obj_type,sys.loginuser,'alter',sysdate);

ELSIFsys.sysevent='CREATE'THENINSERTINTOcreate_audit_trailVALUES(sys.dictionary_obj_owner,sys.dictionary_obj_name,sys.dictionary_obj_type,sys.login_user,'create',sysdate);ELSIFsys.sysevent='DROP'THENINSERTINTOdrop_audit_trailVALUES(sys.dict