Oracle数据库配置.docx
- 文档编号:2942796
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:20
- 大小:21.56KB
Oracle数据库配置.docx
《Oracle数据库配置.docx》由会员分享,可在线阅读,更多相关《Oracle数据库配置.docx(20页珍藏版)》请在冰豆网上搜索。
Oracle数据库配置
目录
1概述2
1.1适用范围2
2ORACLE安全配置要求2
2.1账号2
2.1.1按用户分配帐号2
2.1.2删除或锁定无关帐号3
2.1.3限制SYSDBA用户的远程登录3
2.1.4用户权限最小化4
2.1.5使用ROLE管理对象的权限5
2.1.6控制用户属性5
2.1.7启用数据库字典保护6
2.2口令7
2.2.1静态口令认证的密码复杂度控制7
2.2.2静态口令认证的密码生命周期7
2.2.3静态口令认证的密码重复使用限制8
2.2.4景泰口令认证的连续登录失败的帐号锁定策略8
2.2.5更改数据库默认帐号的密码9
2.2.6操作系统级的帐户安全策略10
2.3日志11
2.3.1登录日志功能11
2.3.2DDL日志12
2.3.3数据库审记12
2.4其他13
2.4.1VPD与OLS13
2.4.2DataVault13
2.4.3Listener设定密码保护14
2.4.4设定信任IP集15
2.4.5加密网络传输15
2.4.6断开超时的空闲远程连接16
2.4.7限制DBA组中的操作系统用户数量17
1概述
1.1适用范围
本规范明确了Oracle数据库安全配置方面的基本要求。
2ORACLE安全配置要求
本规范所指的设备为ORACLE数据库。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。
本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。
2.1账号
ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。
2.1.1按用户分配帐号
要求内容
应按照用户分配账号,避免不同用户间共享账号。
操作指南
1、参考配置操作
createuserabc1identifiedbypassword1;
createuserabc2identifiedbypassword2;
建立role,并给role授权,把role赋给不同的用户
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
检测方法
3、判定条件
不同名称的用户可以连接数据库
4、检测操作
connectabc1/password1连接数据库成功
5、补充说明
2.1.2删除或锁定无关帐号
要求内容
应删除或锁定与数据库运行、维护等工作无关的账号。
操作指南
1、参考配置操作
alteruserusernamelock;
dropuserusernamecascade;
2、补充操作说明
检测方法
3、判定条件
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除
4、检测操作
5、补充说明
2.1.3限制SYSDBA用户的远程登录
要求内容
限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
操作指南
1、参考配置操作
1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。
2.在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。
2、补充操作说明
检测方法
3、判定条件
1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。
2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。
4、检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus‘/assysdba’登陆到sqlplus环境中。
3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
ShowparameterREMOTE_LOGIN_PASSWORDFILE
4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
5、补充说明
2.1.4用户权限最小化
要求内容
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
grant 权限 tousername;
revoke权限 fromusername;
2、补充操作说明
用第一条命令给用户赋相应的最小权限
用第二条命令收回用户多余的权限
检测方法
3、判定条件
业务测试正常
4、检测操作
业务测试正常
5、补充说明
2.1.5使用ROLE管理对象的权限
要求内容
使用数据库角色(ROLE)来管理对象的权限。
操作指南
1、参考配置操作
1.使用CreateRole命令创建角色。
2.使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
2、补充操作说明
检测方法
3、判定条件
对应用用户不要赋予DBARole或不必要的权限。
4、检测操作
1.以DBA用户登陆到sqlplus中。
2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。
5、补充说明
2.1.6控制用户属性
要求内容
对用户的属性进行控制,包括密码策略、资源限制等。
操作指南
1、参考配置操作
可通过下面类似命令来创建profile,并把它赋予一个用户
CREATEPROFILEapp_user2LIMIT
FAILED_LOGIN_ATTEMPTS6
PASSWORD_LIFE_TIME60
PASSWORD_REUSE_TIME60
PASSWORD_REUSE_MAX5
PASSWORD_VERIFY_FUNCTIONverify_function
PASSWORD_LOCK_TIME1/24
PASSWORD_GRACE_TIME90;
ALTERUSERjdPROFILEapp_user2;
2、补充操作说明
检测方法
3、判定条件
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等。
2.可通过设置profile来限制数据库账户的CPU资源占用。
4、检测操作
1.以DBA用户登陆到sqlplus中。
2.查询视图dba_profiles和dba_usres来检查profile是否创建。
5、补充说明
2.1.7启用数据库字典保护
要求内容
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
操作指南
1、参考配置操作
通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。
O7_DICTIONARY_ACCESSIBILITY=FALSE
2、补充操作说明
检测方法
3、判定条件
以普通dba用户登陆到数据库,不能查看X$开头的表,比如:
select*fromsys.x$ksppi;
4、检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus‘/assysdba’登陆到sqlplus环境中。
3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。
ShowparameterO7_DICTIONARY_ACCESSIBILITY
5、补充说明
2.2口令
2.2.1静态口令认证的密码复杂度控制
要求内容
对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度
2、补充操作说明
检测方法
3、判定条件
修改密码为不符合要求的密码,将失败
4、检测操作
alteruserabcd1identifiedbyabcd1;将失败
5、补充说明
2.2.2静态口令认证的密码生命周期
要求内容
对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
操作指南
1、参考配置操作
为用户建相关profile,指定PASSWORD_GRACE_TIME为90天
2、补充操作说明
在90天内,需要修改密码
检测方法
3、判定条件
到期不修改密码,密码将会失效。
连接数据库将不会成功
4、检测操作
connectusername/password报错
5、补充说明
2.2.3静态口令认证的密码重复使用限制
要求内容
对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
为用户建profile,指定PASSWORD_REUSE_MAX为5
2、补充操作说明
当前使用的密码,必需在密码修改5次后才能再次被使用
检测方法
3、判定条件
重用修改5次内的密码,将不能成功
4、检测操作
alteruserusernameidentifiedbypassword1;如果password1在5次修改密码内被使用,该操作将不能成功
5、补充说明
2.2.4景泰口令认证的连续登录失败的帐号锁定策略
要求内容
对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
为用户建profile,指定FAILED_LOGIN_ATTEMPTS为6
2、补充操作说明
如果连续6次连接该用户不成功,用户将被锁定
检测方法
3、判定条件
连续6次用错误的密码连接用户,第7次时用户将被锁定
4、检测操作
connectusername/password,连续6次失败,用户被锁定
5、补充说明
2.2.5更改数据库默认帐号的密码
要求内容
更改数据库默认帐号的密码。
操作指南
1、参考配置操作
1.可通过下面命令来更改默认用户的密码:
ALTERUSERXXXIDENTIFIEDBYXXX;
2.下面是默认用户列表:
ANONYMOUS
CTXSYS
DBSNMP
DIP
DMSYS
EXFSYS
HR
LBACSYS
MDDATA
MDSYS
MGMT_VIEW
ODM
ODM_MTR
OE
OLAPSYS
ORDPLUGINS
ORDSYS
OUTLN
PM
QS
QS_ADM
QS_CB
QS_CBADM
QS_CS
QS_ES
QS_OS
QS_WS
RMAN
SCOTT
SH
SI_INFORMTN_SCHEMA
SYS
SYSMAN
SYSTEM
TSMSYS
WK_TEST
WKPROXY
WKSYS
WMSYS
XDB
2、补充操作说明
检测方法
3、判定条件
不能以用户名作为密码或使用默认密码的账户登陆到数据库。
4、检测操作
1.以DBA用户登陆到sqlp
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Oracle 数据库 配置
![提示](https://static.bdocx.com/images/bang_tan.gif)