Oracle数据库系统加固规范.docx
- 文档编号:11796641
- 上传时间:2023-04-02
- 格式:DOCX
- 页数:27
- 大小:23.74KB
Oracle数据库系统加固规范.docx
《Oracle数据库系统加固规范.docx》由会员分享,可在线阅读,更多相关《Oracle数据库系统加固规范.docx(27页珍藏版)》请在冰豆网上搜索。
Oracle数据库系统加固规范
Oracle数据库系统加固规范
目 录
1账号管理、认证授权1
1.1账号1
1.1.1SHG-Oracle-01-01-011
1.1.2SHG-Oracle-01-01-022
1.1.3SHG-Oracle-01-01-033
1.1.4SHG-Oracle-01-01-044
1.1.5SHG-Oracle-01-01-055
1.1.6SHG-Oracle-01-01-067
1.1.7SHG-Oracle-01-01-078
1.1.8SHG-Oracle-01-01-0810
1.2口令11
1.2.1SHG-Oracle-01-02-0111
1.2.2SHG-Oracle-01-02-0212
1.2.3SHG-Oracle-01-02-0314
1.2.4SHG-Oracle-01-02-0415
1.2.5SHG-Oracle-01-02-0516
2日志配置18
2.1.1SHG-Oracle-02-01-0118
2.1.2SHG-Oracle-02-01-0221
2.1.3SHG-Oracle-02-01-0322
2.1.4SHG-Oracle-02-01-0424
3通信协议25
3.1.2SHG-Oracle-03-01-0226
4设备其他安全要求27
4.1.1SHG-Oracle-04-01-0127
4.1.2SHG-Oracle-04-01-0229
1账号管理、认证授权
1.1账号
1.1.1SHG-Oracle-01-01-01
编号
SHG-Oracle-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
select?
*?
from?
all_users;?
select?
*?
from?
dba_users;
记录用户列表
实施步骤
1、参考配置操作
createuserabc1identifiedbypassword1;
createuserabc2identifiedbypassword2;
建立role,并给role授权,把role赋给不同的用户
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
回退方案
删除用户:
例如创建了一个用户A,要删除它可以这样做
connectsys/密码assysdba;
dropuserAcascade;//就这样用户就被删除了
判断依据
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Oracle-01-01-02
编号
SHG-Oracle-01-01-02
名称
删除或锁定无效账号
实施目的
删除或锁定无效的账号,减少系统安全隐患。
问题影响
允许非法利用系统默认账号
系统当前状态
select?
*?
from?
all_users;?
select?
*?
from?
dba_users;
记录用户列表
实施步骤
1、参考配置操作
alteruserusernamelock;//锁定用户
dropuserusernamecascade;//删除用户
回退方案
删除新增加的帐户
判断依据
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除
实施风险
高
重要等级
★★★
备注
1.1.3SHG-Oracle-01-01-03
编号
SHG-Oracle-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
。
问题影响
允许数据库超级管理员远程非法登陆
系统当前状态
查看spfile,sqlnet.ora内容
实施步骤
1、参考配置操作
在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。
在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。
回退方案
还原spfile,sqlnet.ora文件配置
判断依据
判定条件
1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。
2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。
检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus‘/assysdba’登陆到sqlplus环境中。
3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
ShowparameterREMOTE_LOGIN_PASSWORDFILE
4.检查在
$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
实施风险
高
重要等级
★★★
备注
1.1.4SHG-Oracle-01-01-04
编号
SHG-Oracle-01-01-04
名称
权限最小化
实施目的
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
问题影响
账号权限越大,对系统的威胁性越高
系统当前状态
select*fromuser_sys_privs;
select*fromuser_role_privs;
select*fromuser_tab_privs;
记录用户拥有权限
实施步骤
1、参考配置操作
grant 权限 tousername;
revoke权限 fromusername;
2、补充操作说明
用第一条命令给用户赋相应的最小权限
用第二条命令收回用户多余的权限
回退方案
还原添加或删除的权限
判断依据
业务测试正常
实施风险
高
重要等级
★
备注
1.1.5SHG-Oracle-01-01-05
编号
SHG-Oracle-01-01-05
名称
数据库角色
实施目的
使用数据库角色(ROLE)来管理对象的权限。
问题影响
账号管理混乱
系统当前状态
select*fromdba_role_privs;
select*fromuser_role_privs;
记录用户拥有的role
实施步骤
一.创建角色,修改角色
1.创建角色,不指定密码:
createroletestrole;
2.创建角色,指定密码:
createroletestroleidentifiedbypasswd;
3.修改角色:
alterroletestroleidentifiedbypasswd;
4.给角色授予权限。
GrantselectonTable_nametotestrole;
把角色赋予用户:
(特别说明,授予角色不是实时的。
如下:
)
granttestroletoUser_Name;
二、起用角色:
给用户赋予角色,角色并不会立即起作用。
1.角色不能立即起作用。
必须下次断开此次连接,下次连接才能起作用。
2.或者执行命令:
有密码的角色setroletestroleidentifiedbypasswd立即生效;
3.无密码的角色:
setroletestrole;
回退方案
删除相应的Role
revoke?
role_name?
from?
user_name
判断依据
对应用用户不要赋予DBARole或不必要的权限
实施风险
高
重要等级
★
备注
1.1.6SHG-Oracle-01-01-06
编号
SHG-Oracle-01-01-06
名称
用户profile
实施目的
对用户的属性进行控制,包括密码策略、资源限制等。
问题影响
账号安全性低.
系统当前状态
SELECTprofileFROMdba_usersWHEREusername=’user_name’;
记录用户赋予的profile
实施步骤
可通过下面类似命令来创建profile,并把它赋予一个用户
SQL>showparameterresource_limit
SQL>altersystemsetresource_limit=true;
CREATEPROFILEprofile_nameLIMIT
FAILED_LOGIN_ATTEMPTS6
PASSWORD_LIFE_TIME60
PASSWORD_REUSE_TIME60
PASSWORD_REUSE_MAX5
PASSWORD_VERIFY_FUNCTIONverify_function
PASSWORD_LOCK_TIME1/24
PASSWORD_GRACE_TIME90;
ALTERUSERuser_namePROFILEprofile_name;
回退方案
alteruserdinyaprofiledefault;
恢复默认
判断依据
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等。
2.可通过设置profile来限制数据库账户的CPU资源占用。
4、检测操作
1.以DBA用户登陆到sqlplus中。
2.查询视图dba_profiles和dba_usres来检查profile是否创建。
实施风险
高
重要等级
★
备注
1.1.7SHG-Oracle-01-01-07
编号
SHG-Oracle-01-01-07
名称
数据字典保护
实施目的
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
问题影响
数据库安全性低.
系统当前状态
ShowparameterO7_DICTIONARY_ACCESSIBILITY
记录当前状态
实施步骤
通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。
altersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;
回退方案
修改O7_DICTIONARY_ACCESSIBILITY为原来属性
判断依据
以普通用户登陆到数据库,不能查看X$开头的表,比如:
select*fromsys.x$ksppi;
检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus‘/assysdba’登陆到sqlplus环境中。
3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。
Show
parameterO7_DICTIONARY_ACCESSIBILITY
实施风险
高
重要等级
★
备注
1.1.8SHG-Oracle-01-01-08
编号
SHG-Oracle-01-01-08
名称
检查DBA组用户
实施目的
限制在DBA组中的操作系统用户数量,通常DBA组中只有Oracle安装用户。
问题影响
影响组用户管理
系统当前状态
Cat/etc/passwd
实施步骤
参考配置操作
通过/etc/passwd文件来检查是否有其它用户在DBA组中。
删除用户:
#userdelusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd-lusername
只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
回退方案
还原/etc/passwd文件
判断依据
判定条件
无其它用户属于DBA组。
检测操作
通过/etc/passwd文件来检查是否有其它用户在DBA组中。
实施风险
高
重要等级
★
备注
1.2口令
1.2.1SHG-Oracle-01-02-01
编号
SHG-Oracle-01-02-01
名称
缺省密码长度复杂度限制
实施目的
对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
问题影响
增加密码被暴力破解的成功率
系统当前状态
SELECTprofileFROMdba_usersWHEREusername=’user_name’;
记录用户赋予的profile
实施步骤
1、参考配置操作
为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度
示例:
SQL>CREATEORREPLACEFUNCTIONmy_password_verify(usernameVARCHAR2,passwordVARCHAR2,old_passwordVARCHAR2)RETURNBOOLEANIS
2BEGIN
3IFLENGTH(password)<6THEN
4raise_application_error(-20001,''Passwordmustbeatleast6characterslong'');
5ENDIF;
6RETURN(TRUE);
7END;
SQL>createprofileTEST_PROFILElimit
?
?
?
?
?
2?
?
?
password_verify_functionMY_PASSWORD_VERIFY;
回退方案
alteruseruser_nameprofiledefault;
判断依据
1、判定条件
修改密码为不符合要求的密码,将失败
2、检测操作
alteruseruser_nameidentifiedbypasswd;将失败
实施风险
低
重要等级
★★★
备注
1.2.2SHG-Oracle-01-02-02
编号
SHG-Oracle-01-02-02
名称
缺省密码生存周期限制
实施目的
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患。
问题影响
密码被非法利用,并且难以管理
系统当前状态
SELECTprofileFROMdba_usersWHEREusername=’user_name’;
记录用户赋予的profile
实施步骤
1、参考配置操作
为用户建相关profile,指定PASSWORD_GRACE_TIME为90天
2、补充操作说明
在90天内,需要修改密码
回退方案
alteruseruser_nameprofiledefault;
判断依据
3、判定条件
到期不修改密码,密码将会失效。
连接数据库将不会成功
4、检测操作
connectusername/password报错
实施风险
低
重要等级
★★★
备注
1.2.3SHG-Oracle-01-02-03
编号
SHG-Oracle-01-02-03
名称
密码重复使用限制
实施目的
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
问题影响
密码破解的几率增加
系统当前状态
SELECTprofileFROMdba_usersWHEREusername=’user_name’;
记录用户赋予的profile
实施步骤
1、参考配置操作
为用户建profile,指定PASSWORD_REUSE_MAX为5
2、补充操作说明
当前使用的密码,必需在密码修改5次后才能再次被使用
回退方案
alteruseruser_nameprofiledefault;
判断依据
3、判定条件
重用修改5次内的密码,将不能成功
4、检测操作
alteruserusernameidentifiedbypassword1;如果password1在5次修改密码内被使用,该操作将不能成功
实施风险
低
重要等级
★
备注
1.2.4SHG-Oracle-01-02-04
编号
SHG-Oracle-01-02-04
名称
密码重试限制
实施目的
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响
允许暴力破解密码
系统当前状态
SELECTprofileFROMdba_usersWHEREusername=’user_name’;
记录用户赋予的profile
实施步骤
1、参考配置操作
为用户建profile,指定FAILED_LOGIN_ATTEMPTS为6
2、补充操作说明
如果连续6次连接该用户不成功,用户将被锁定
回退方案
alteruseruser_nameprofiledefault;
判断依据
3、判定条件
连续6次用错误的密码连接用户,第7次时用户将被锁定
4、检测操作
connectusername/password,连续6次失败,用户被锁定
实施风险
中
重要等级
★
备注
1.2.5SHG-Oracle-01-02-05
编号
SHG-Oracle-01-02-05
名称
修改默认密码
实施目的
更改数据库默认帐号的密码。
问题影响
可能被破解密码
系统当前状态
询问管理员账号密码,并记录
实施步骤
参考配置操作
1.可通过下面命令来更改默认用户的密码:
ALTERUSERuser_nameIDENTIFIEDBYpasswd;
2.下面是默认用户密码列表:
CTXSYSCTXSYS
DBSNMPDBSNMP
LBACSYSLBACSYS
MDDATAMDDATA
MDSYSMDSYS
DMSYSDMSYS
OLAPSYSMANAGER
ORDPLUGINSORDPLUGINS
ORDSYSORDSYS
OUTLNOUTLN
SI_INFORMTN_SCHEMASI_INFORMTN_SCHEMA
SYSCHANGE_ON_INSTALL
SYSMANCHANGE_ON_INSTALL
SYSTEMMANAGER
回退方案
ALTERUSERuser_nameIDENTIFIEDBYpasswd;
判断依据
判定条件
不能以用户名作为密码或使用默认密码的账户登陆到数据库。
检测操作
1.以DBA用户登陆到sqlplus中。
2.检查数据库默认账户是否使用了用户名作为密码或默认密码。
实施风险
中
重要等级
★
备注
2日志配置
2.1.1SHG-Oracle-02-01-01
编号
SHG-Oracle-02-01-01
名称
启用日志记录功能
实施目的
数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
问题影响
无法对用户的登陆进行日志记录
系统当前状态
实施步骤
createtablelogin_log--登入登出信息表
(
session_idintnotnull,--sessionid
login_on_timedate,--登入时间
login_off_timedate,--登出时间
user_in_dbvarchar2(30),--登入的dbuser
machinevarchar2(20),--机器名
ip_addressvarchar2(20),--ip地址
run_programvarchar2(20)--以何程序登入
);
createorreplacetriggerlogin_on_info--记录登入信息的触发器
afterlogonondatabase
Begin
insertintologin_log(session_id,login_on_time,login_of
f_time,user_in_db,machine,ip_address,run_program)
selectAUDSID,sysdate,null,sys.login_user,machine,SYS_CO
NTEXT('USERENV','IP_ADDRESS'),program
fromv$sessionwhereAUDSID=USERENV('SESSIONID');--当前SESSION
END;
createorreplacetriggerlogin_off_info--记录登出信息的触发器
beforelogoffondatabase
Begin
updatelogin_logsetlogin_off_time=sysdate
wheresession_id=USERENV('SESSIONID');--当前SESSION
exception
whenothersthen
null;
END;
回退方案
ALTERTRIGGER名称DISABLE;
droptrigger名称;
判断依据
判定条件
登录测试,检查相关信息是否被记录
补充说明
触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。
特别是RAC环境,资源消耗较大。
实施风险
低
重要等级
★★★
备注
2.1.2SHG-Oracle-02-01-02
编号
SHG-Oracle-02-01-02
名称
记录用户对设备的操作
实施目的
数据库应配置日志功能,记录用户对数据库的操作
问题影响
无法对用户的操作进行日志记录
系统当前状态
实施步骤
createtableemployees_log(
whovarchar2(30),
actionvarchar2(20));
whendate);
createorrepla
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Oracle 数据库 系统 加固 规范