完整版Oracle漏洞扫描安全加固.docx

完整版Oracle漏洞扫描安全加固.docx

《完整版Oracle漏洞扫描安全加固.docx》由会员分享，可在线阅读，更多相关《完整版Oracle漏洞扫描安全加固.docx（37页珍藏版）》请在冰豆网上搜索。

完整版Oracle漏洞扫描安全加固

关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册

适用软件版本

Oracle10g、11g适用硬件版

主题

「关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册

1、问题描述与原因：

Oracle数据库在合规检查时被扫描岀漏洞，要求对这些漏洞进行解决。

2、应对措施：

对存在漏洞进行定制的安全加固操作。

3、执仃条件/注意事项：

?

加固前确保服务器、数据库、网管运行均正常。

最好重启下服务器、数据库和网管查看重启后网管是否能运行正常。

如果加固前服务器本身有问题，加固后服务器运行异常会加大排查难度。

?

本解决方案执行完成后，需要重启Oracle数据库来生效某些操作。

?

本解决方案不必完全执行，请根据系统扫描出的漏洞选择对应的漏洞条目进行操作。

?

如无特殊说明，本文中的执行用户均为oracle

4、操作步骤：

漏洞清单（单击可跳转）：

（注：

漏洞名称与配置项信息中的配置项名称对应。

）

漏洞1.检查是否对用户的属性进行控制（5）

漏洞2.检查是否配置Oracle软件账户的安全策略

（2）

漏洞3.检查是否启用数据字典保护

漏洞4.检查是否在数据库对象上设置了VPD和OLS（6）

漏洞5.检查是否存在dvsys用户dbmsmacadn对象（14）

漏洞6.检杳是否数据库应配置日志功能（11）

漏洞7.检查是否记录操作日志（13）

漏洞8.检查是否记录安全事件日志（7）

漏洞9.检杳是否根据业务要求制定数据库审计策略

漏洞10.检杳是否为监听设置密码

漏洞11.检杳是否限制可以访问数据库的地址

（1）

漏洞12.检杳是否使用加密传输（4）

漏洞13.检查是否设置超时时间（15）

漏洞14.

检查是否设置DBA组用户数量限制（3）

漏洞15.

检查是否删除或者锁定无关帐号

漏洞16.

检查是否限制具备数据库超级管理员（SYSDBA权限的用户远程登录（10）

漏洞17.

检查口令强度设置（17）

漏洞18.

检查帐户口令生存周期（12）

漏洞19.

检查是否设置记住历史密码次数（8）

漏洞20.

检查是否配置最大认证失败次数

漏洞21.

检查是否在配置用户所需的最小权限（9）

漏洞22.

检查是否使用数据库角色（ROLE来管理对象的权限（16）

漏洞23.

检查是否更改数据库默认帐号的密码

执行Oracle安全加固操作前备份文件：

]bash-3.2$cp$ORACLE_HOME/network/admin/listener.ora$ORACLE_HOME/network/admin/listeneir.ora.org

I

ibash-3.2$cp$ORACLE_HOME/network/admin/sqlnet.ora$ORACLE_HOME/network/admin/sqlnet.or

I

ia.org

I・KT■・・n・・*・・・—^・・■T*■・0F■・・・n・・■**・・■「T・■・Tl!

■・■■・■・・■・・・f・TIS■・KT■・・■・・・f・・■・■・np■・・*・・・・・■■*・■・■・・・・■■・・・■■*・■■・TH■・LK・・・■・・・・■IT*・■・TH■・・・・rOracle数据库漏洞的解决方案全部执行完成后，需要重启Oracle实例来生效某些操作。

漏洞1.检查是否对用户的属性进行控制

类型：

Oracle数据库类

问题：

;SQL>selectcount（t.username）fromdba_userstwhereprofilenotin（'DefAUL〒','MONl亍OR

]lNG_PROFILE'）;

QOUNT（T.USERNAME）0

I・！

IP■・・■■・・■・・・M!

・・■*・■・m■・・■■・・■・・・■■■!

・・■■・■・■・■■・「■■・・■・・・b・・・・■・!

（"■■■・P■・・■・・・・■・*・■■E!

■・・■・・・■・・・■-■!

・■・*・■■m■■・「■・・・■■・・・■■・・■■一*・■・■・■■»・・・■・・・VB・■・F■■■!

（"■■■H■■・F

解决方案：

暂时不处理。

漏洞2.检查是否配置Oracle软件账户的安全策略

类型：

Oracle数据库类

问题：

略

解决方案：

暂时不处理

漏洞3.

检查是否启用数据字典保护

类型：

Oracle数据库类

问题：

IJ-tIa■■BIB■>41B■・・_•■■!

■11・"■・・*■：

・・■-■・・■"・丄一・■・・£■・・_■“・・・■■BJI,■■■KHBB■B■■■K■BJBLBHBIjOBJ■-IUiU“S・S■JJU■■J,K■UH!

■_■■<■■；■3U丄；J-IjJ.7i%B9A1>Va■・■・._■・・・■・・H4・・■■>I■■I

|SQL>selectvaluefromv$parameterwherenamelike'%O7_DICTIONARY_ACCESSlBILITY%';sele

ictvaluefromv$parameterwherenamelike'%O7_DICTIONARY_ACCESSIBILITY%'

I

■

:

*

:

:

ERRORatline1:

i

:

ORA-01034:

ORACLEnotavailable

■

i

ProcessID:

0

I

:

SessionID:

0Serialnumber:

0

I

解决方案：

在数据库启动的情况下，通过下面的命令检查o7_dictionary_accessibility的参数

值：

:

bash-3.2$sqlplussystem/oracle@

I

:

SQL*Plus:

Release10.2.0.4.0-ProductiononThuJan911:

33:

562014

I

■Copyright（c）1982,2007,Oracle.AllRightsReserved.

i

i

!

I

^Connectedto:

i

OracleDatabase10gEnterpriseEditionRelease10.2.0.4.0-Production

I

WiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions

i

:

i

i

〔SQL>showparametero7_dictionary_accessibility;

i

i

iNAMETYPEVALUE

i

I

----------------------------------------

I

O7_DICTIONARY_ACCESSIBILITYbooleanFALSE

I

检查出默认的结果是FALSE后，使用下面的命令退出SQL*PLUS

:

SQL>exit

[DisconnectedfromOracleDatabase11gEnterpriseEditionRelease11.2.0.3.0-64bitPro

I

:

duction

I

WiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions

I■■■■>・■■■■M■■■■M■■■■・■■■■M■■WiH■・M■■■・■■■■・■■■・■：

■■・■■■■M■■■>«・■■・N・■■■>・■■■■M■■・■■■・W■■■■W・■■M■■・■■■■■■・■■・■・■・M■■・■■■■■■■・■■,

漏洞4.检查是否在数据库对象上设置了VPD和OLS

类型：

Oracle数据库类

问题：

iSQL>selectcount（*）fromv$vpd_policy;

i_

:

COUNT（*）

解决方案:

暂时不处理。

漏洞5.检查是否存在dvsys用户dbms_macadm寸象

类型：

Oracle数据库类

问题：

■~~F"・■■■■B-VB■■■HT・BT——------■■・^-・■■■一・■■BH■・■」・■■・■■■«■VH■■B-ITB■■!

■!

■■・=■■・■■■■TF--—--g■■!

■■■■n・■■UB■■■一・■■■■■■HT・■■■・-■!

I

QQL>selectcount（*）fromdba_userswhereusername='DVSYS';

|_

:

COUNT（*）

i

0

ISTTB・E~K・»»TB・■*¥■!

・■IV■B1-rSH!

lI■IR■丁*rTB・K・■・・▼R・・FTR・■IR■TFT■・・・VVB■■9TVS■WE・h*n・・iTTB■ET■・TT・・LTR・K=FT・H■H_TB■TT1S■HTTSH1

解决方案：

暂时不处理。

漏洞6.检查是否数据库应配置日志功能

类型：

Oracle数据库类

问题：

■■■・・"■■・・■・・・■"・・・■nra■■n■■■■■・■■・・■:

■・■・■■an■・・■・・・・・■f・■・in■■n■・・■・・・■■・・・■r■k・・f■■■・・■・・・■・・・・■・■!

■・■・m■・・■・・・*・・・■n・■・■■■・■・■■rai；SQL>selectcount（*）fromdba_triggerstwheretrim（t.triggering_event）=trim（'LOGONb;

j

1COUNT（*）

h

]

解决方案：

暂时不处理。

漏洞7.检查是否记录操作日志

类型：

Oracle数据库类

问题：

：

SQL>selectvaluefromv$parametertwheret.name='audit_trail';

:

_iselectvaluefromv$parametertwheret.name='audit_trail'

I一

a

I*

j

[ERRORatline1:

I

QrA-01034:

ORACLEnotavailable

ProcessID:

0

[SessionID:

0Serialnumber:

0

解决方案：

暂时不处理。

漏洞8.

检查是否记录安全事件日志

类型：

Oracle数据库类

问题：

IS'QL>'seleCtcou'nt（*）frOm'dba_triggers't'where-trim（t.triggering_eVent）=trim（'LOGON'"

i

!

'）;COUNT（*）

h

解决方案：

暂时不处理。

漏洞9.检查是否根据业务要求制定数据库审计策略

类型：

Oracle数据库类

问题：

|■■・n■■■■・-n■■rb■wa■■・-n■vara■・h・■htb■BLa.■■■h■■ran■・=n■■・ir・■m■■h■■■an■■nr・■m■■■■■■■bv・■■■■・■・■■■■■■■■rara■・‘■■・■■n■■■■!

■■■■-・■■BtH■・n■■n■■ehi

：

SQL>selectvaluefromv$parametertwheret.name='audit_trail';

i_

iselectvaluefromv$parametertwheret.name='audit_trail'

i

如

I

a

I

[erroratline1:

I

ORA-01034:

ORACLEnotavailable

I

processID:

0

:

SessionID:

0Serialnumber:

0

解决方案：

暂时不处理。

漏洞10.检查是否为监听设置密码

类型：

Oracle数据库类

问题：

：

$cat'find$ORACLE_HOME-namesqlnet.ora'|grep-v"#"|grep-v"A$"find:

0652-081can

inotchangedirectoryto:

:

Thefilea

I—

I

iccesspermissionsdonotallowthespecifiedaction.

:

i$cat'find$ORACLE_HOME-namelistener.ora'|grep-v"#"|grep-v"A$"find:

0652-081c

I

a

iannotchangedirectoryto:

:

Thefile

I

iaccesspermissionsdonotallowthespecifiedaction.SID_LIST_LISTENER=（SID_LIST=

i（SID_DESC=（SID_NAME=PLSExtProc）（ORACLE_HOME=/oracle/app/oracle/dbho

I

]me_1）（PROGRAM=extproc））（SID_DESC=（GLOBAL_DBNAME=minos）（O

]RACLE_HOME=/oracle/app/oracle/dbhome_1）（SID_NAME=minos）））LISTENER=（DiESCRIPTION_LIST=（DESCRIPTION=（ADDRESS=（PROTOCOL=TCP）（HOST=100.92.255.|141）（PORT=1521））））ADR_BASE_LISTENER=/oracle/app/oracle

解决方案：

;bash-3.2$lsnrctl

【LSNRCTLforIBM/AIXRISCSystem/6000:

Version1120.3.0-Productionon08-JAN-20141

I

^5:

11:

21

I

I

I

i

[Copyright（c）1991,2011,Oracle.Allrightsreserved.

I

i

i

:

WelcometoLSNRCTL,type"help"forinformation.

i

!

!

I

|LSNRCTL>change_password

I

Oldpassword:

<如果之前没有密码则这里不填，直接按Enter键>

I

[Newpassword:

[Reenternewpassword:

I

:

Connectingto（DESCRIPTION=（ADDRESS=（PROTOCOL=TCP）（HOST=10.92.243.82）（PORT=1521）））

j

[PasswordchangedforLISTENER

I

■Thecommandcompletedsuccessfully

I

!

LSNRCTL>save_config

I

[Connectingto（DESCRIPTION=（ADDRESS=（PROTOCOL=TCP）（HOST=10.92.243.82）（PORT=1521）））

I

[SavedLISTENERconfigurationparameters.

i

listenerParameterFile/oracle/app/oracle/11.2.0.3/dbhome_1/network/admin/listener.o

La一

I

!

OldParameterFile/oracle/app/oracle/11.2.0.3/dbhome_1/network/admin/listener.bak

[Thecommandcompletedsuccessfully

I

:

LSNRCTL>exit

I

:

bash-3.2$

1设置完成后通过下面的命令检查：

I

ibash-3.2$cat$ORACLE_HOME/network/admin/listener.ora|grep"PASSWORDS"

【有输岀则说明已经设置成功了。

I■■・・■■・・■・■■■皿■■■■!

■■■■■■■■■■■■■■!

■■■■■■■■■■■・・■■・・■・・・B.B■■■■■■■■■■・J*■・・■・・・■■■・・■・・・■・・・■・・■・・・■・・・・■・■・■・KB■■・・・■・・・■£■■■■!

■■■■・・・■・[

漏洞11.检查是否限制可以访问数据库的地址

类型：

Oracle数据库类

问题：

；$cat'find$ORACLE_HOME-namesqlnet.ora'|grep-v"#"|grep-v"A$"find:

0652-081can

inotchangedirectoryto:

:

Thefilea

i—

iccesspermissionsdonotallowthespecifiedaction.

|$cat'find$ORACLE_HOME-namelistener.ora'|grep-v"#"|grep-v"A$"find:

0652-081c

iannotchangedirectoryto:

:

Thefile

I

iaccesspermissionsdonotallowthespecifiedaction.SID_LIST_LISTENER=（SID_LIST=

i（SID_DESC=（SID_NAME=PLSExtProc）（ORACLE_HOME=/oracle/app/oracle/dbho

I

|me_1）（PROGRAM=extproc））（SID_DESC=（GLOBAL_DBNAME=minos）（O

|rACLE_HOME=/oracle/app/oracle/dbhome_1）（SID_NAME=minos）））LISTENER=（D

I

|ESCRIPTION_LIST=（DESCRIPTION=（ADDRESS=（PROTOCOL=TCP）（HOST=100.92.255.h41J）（POR匚=」521））JJADRnBASEnLlSTENERM/oracle/app/oracle

解决方案：

［检查$oRACLE_HO'ME/network7admin7sqihet'.or^'-文件中是否有'以下行:

|TCP.VALIDNODE_CHECKING=YES

iTCP」NVITED_NODES=（,,…）

|其中是允许访问本数据库的IP地址。

［如果没有，则根据需要在文件中添加，随后重启数据库。

重启完成后，则数据库只允许TCP.INVITED_NODE列出的IP来访问。

I

!

!

I

［如果不存在sqlnet.ora文件，请使用以下命令创建此文件后再实施上面的操作：

I

jbash-3.2$touch$ORACLE_HOME/network/admin/sqlnet.ora

漏洞12.检查是否使用加密传输

类型：

Oracle数据库类

问题：

!

$cat'find$ORACLe_HOmE-namesqlnet.ora'|grep-v"#"|grep-v"A$"find:

0652-081can

I_

inotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman/config/pref>:

:

Thefilea

:

ccesspermissionsdonotallowthespecifiedaction.

I

i$cat'find$ORACLE_HOME-namelistener.ora'|grep-v"#"|grep-v"A$"find:

0652-081c

i—

I

iannotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman/config/pref>:

:

Thefile

:

accesspermissionsdonotallowthespecifiedaction.SID_LIST_LISTENER=

i--

i（SID_LIST=

!

（SID_DESC=

i

（SID_NAME=PLSExtProc）

（ORACLE_HOME=/oracle/app/oracle/dbhome_1）

（PROGRAM=extproc）

I

!

）

I

|（SID_DESC=

（GLOBAL_DBNAME=minos）

i—

（ORACLE_HOME=/oracle/app/oracle/dbhome_1）

（SID_NAME=minos）

I—

I

!

）

Q

I

LISTENER=

!

（DESCRIPTION_LIST=

|（DESCRIPTION=

i（ADDRESS=（PROTOCOL=TCP）（HOST=1OO.92.255.141）（PORT=1521））

I）

I）

AD-R_B-AS-E_L!

§TE_N-ER_Poracl