Oracle数据库系统加固修订版.docx

Oracle数据库系统加固修订版.docx

《Oracle数据库系统加固修订版.docx》由会员分享，可在线阅读，更多相关《Oracle数据库系统加固修订版.docx（28页珍藏版）》请在冰豆网上搜索。

Oracle数据库系统加固修订版

Oracle数据库系统

加固作业指导书

2018年10月修订版

目　录

1.账号管理、认证授权3

1.1账号3

1.1.1为不同的管理员分配不同的账号3

1.1.2删除或锁定无效账号4

1.1.3关闭操作系统认证5

1.1.4权限最小化6

1.1.5数据库角色7

1.1.6用户profile9

1.1.7数据字典保护11

1.1.8检查DBA组用户13

1.2口令14

1.2.1缺省密码长度复杂度限制14

1.2.2缺省密码生存周期限制17

1.2.3密码重复使用限制18

1.2.4修改默认密码19

2.数据库审计21

2.1.1数据库审计策略21

3.通信协议24

3.1.1网络数据传输安全24

4.设备其他安全要求25

4.1.1监听器密码25

4.1.2连接超时限制27

4.1.3修改默认的监听端口28

1.账号管理、认证授权

1.1账号

1.1.1为不同的管理员分配不同的账号

编号

SHG-Oracle-01-01-01

名称

为不同的管理员分配不同的账号

实施目的

应按照用户分配账号，避免不同用户间共享账号,提高安全性。

问题影响

账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态

select * from all_users; 

select * from dba_users;

记录用户列表

实施步骤

1、参考配置操作

createuserabc1identifiedbypassword1;

createuserabc2identifiedbypassword2;

建立role，并给role授权，把role赋给不同的用户

2、补充操作说明

1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；

回退方案

删除用户：

例如创建了一个用户A，要删除它可以这样做

connectsys/密码assysdba;

dropuserAcascade;//就这样用户就被删除了

判断依据

标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险

高

重要等级

★★★

备注

1.1.2删除或锁定无效账号

编号

SHG-Oracle-01-01-02

名称

删除或锁定无效账号

实施目的

删除或锁定无效的账号，减少系统安全隐患。

问题影响

允许非法利用系统默认账号

系统当前状态

select * from all_users; 

select * from dba_users;

记录用户列表

实施步骤

1、参考配置操作

alteruserusernamelock;//锁定用户

dropuserusernamecascade;//删除用户

回退方案

删除新增加的帐户

判断依据

首先锁定不需要的用户

在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除

实施风险

高

重要等级

★★★

备注

已需要做

1.1.3关闭远程操作系统认证

编号

SHG-Oracle-01-01-03

名称

限制超级管理员远程登录

实施目的

限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

。

问题影响

允许数据库超级管理员远程非法登陆

系统当前状态

查看spfile,sqlnet.ora内容

实施步骤

1、参考配置操作

在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。

在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。

回退方案

还原spfile,sqlnet.ora文件配置

判断依据

判定条件

1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。

2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。

检测操作

1.以Oracle用户登陆到系统中。

2.以sqlplus‘/assysdba’登陆到sqlplus环境中。

3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。

ShowparameterREMOTE_LOGIN_PASSWORDFILE

4.检查在

$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。

实施风险

高

重要等级

★★★

备注

可以做

1.1.4权限最小化

编号

SGH-Oracle-01-01-04

名称

权限最小化

实施目的

在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

问题影响

账号权限越大,对系统的威胁性越高

系统当前状态

select*fromuser_sys_privs;

select*fromuser_role_privs;

select*fromuser_tab_privs;

记录用户拥有权限

实施步骤

1、查看权限

sql>select*fromdba_sys_privswheregrantee=;系统权限

sql>select*fromdba_tab_privswheregrantee=;对象权限

sql>select*fromdba_role_privswheregrantee=;赋予的角色

2、收回相应权限（例如收回selectanytable权限）

sql>revokeselectanytablefrom;

3、收回应用用户的DBA角色

sql>revokedbafrom;

回退方案

还原添加或删除的权限

判断依据

业务测试正常

实施风险

高

重要等级

★

备注

1.1.5数据库角色

编号

Oracle-01-01-05

名称

数据库角色

实施目的

使用数据库角色（ROLE）来管理对象的权限。

问题影响

账号管理混乱

系统当前状态

select*fromdba_role_privs;

select*fromuser_role_privs;

记录用户拥有的role

实施步骤

一．创建角色,修改角色

1.创建角色，不指定密码：

createroletestrole；

2．创建角色，指定密码：

createroletestroleidentifiedbypasswd;

3．修改角色：

alterroletestroleidentifiedbypasswd;

4.给角色授予权限。

GrantselectonTable_nametotestrole;

把角色赋予用户：

（特别说明，授予角色不是实时的。

如下：

）

granttestroletoUser_Name;

二、起用角色：

给用户赋予角色，角色并不会立即起作用。

1．角色不能立即起作用。

必须下次断开此次连接，下次连接才能起作用。

2.或者执行命令：

有密码的角色setroletestroleidentifiedbypasswd立即生效；

3．无密码的角色：

setroletestrole；

回退方案

删除相应的Role

revoke role_name from user_name

判断依据

对应用用户不要赋予DBARole或不必要的权限

实施风险

高

重要等级

★

备注

1.1.6用户profile

编号

SHG-Oracle-01-01-06

名称

用户profile

实施目的

对用户的属性进行控制，包括密码策略、资源限制等。

问题影响

账号安全性低.

系统当前状态

SELECTprofileFROMdba_usersWHEREusername=’user_name’;

记录用户赋予的profile

实施步骤

可通过下面类似命令来创建profile，并把它赋予一个用户

CREATEPROFILEprofile_nameLIMIT

FAILED_LOGIN_ATTEMPTS10输入次数不超过10次

PASSWORD_LIFE_TIME90指定用户帐户的有效期,达到这个天数的帐户叫做到期帐户.到期帐户在登陆时会被提示口令将在多少天过期,但仍可以使用该口令,最多宽限的天数由password_grace_time参数指定.如果在宽限期中没有更改帐户的口令,则帐户过期,即叫过期帐户.如果不更改到期帐户的口令,就不能登陆数据库

PASSWORD_REUSE_TIME60ORACLE会将各个用户的历史记录存放到SYS用户的USER_HISTORY$表中不能设置

PASSWORD_REUSE_MAX5密码不能设置以前旧的密码不能设置

PASSWORD_VERIFY_FUNCTIONverify_function不能执行要使用校验函数verify_function,必须运行脚本@$ORACLE_HOME/rdbms/admin/utlpwdmg.sql

PASSWORD_LOCK_TIME1/24指定帐户被锁定的天数.1/24/60对应的是1分钟.但是,1分钟后只有密码正确了,才可以自动解锁.如果该参数最后的值是UNLIMITED,或需要立即给帐户解锁,就需要DBA用手动方式来给帐户解锁

PASSWORD_GRACE_TIME90;最多宽限的天数90

ALTERUSERuser_namePROFILEprofile_name;

alterusersystemidentifiedbympac

SQL>createprofilenew_profilelimitFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;

Profilecreated

SQL>alteruserSCOTTprofilenew_profile;

Useraltered

回退方案

alteruserdinyaprofiledefault;

恢复默认

判断依据

1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。

2.可通过设置profile来限制数据库账户的CPU资源占用。

4、检测操作

1.以DBA用户登陆到sqlplus中。

2.查询视图dba_profiles和dba_usres来检查profile是否创建。

实施风险

高

重要等级

★

备注

需要做，重复使用密码次数策略不能使用。

1.1.7数据字典保护

编号

SHG-Oracle-01-01-07

名称

数据字典保护

实施目的

启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。

问题影响

数据库安全性低.

系统当前状态

ShowparameterO7_DICTIONARY_ACCESSIBILITY

记录当前状态

SQL>showparameteraccessibility

实施步骤

通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。

altersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;

回退方案

修改O7_DICTIONARY_ACCESSIBILITY为原来属性

判断依据

以普通用户登陆到数据库，不能查看X$开头的表，比如：

select*fromsys.x$ksppi;

检测操作

1.以Oracle用户登陆到系统中。

2.以sqlplus‘/assysdba’登陆到sqlplus环境中。

3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。

Show

parameterO7_DICTIONARY_ACCESSIBILITY

实施风险

高

重要等级

★

备注

1.1.8检查DBA组用户

编号

SHG-Oracle-01-01-08已做

名称

检查DBA组用户

实施目的

限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户。

问题影响

影响组用户管理

系统当前状态

Cat/etc/passwd

实施步骤

参考配置操作

通过/etc/passwd文件来检查是否有其它用户在DBA组中。

awk-F:

'（$4==501）{print$1}'/etc/passwd

删除用户：

#userdelusername;

锁定用户：

1）修改/etc/shadow文件，用户名后加*LK*

2）将/etc/passwd文件中的shell域设置成/bin/false

3）#passwd-lusername

只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

将Oracle用户设置为DBA组的成员

usermod-gdba-d/home/OracleOracle

回退方案

还原/etc/passwd文件

判断依据

判定条件

无其它用户属于DBA组。

检测操作

通过/etc/passwd文件来检查是否有其它用户在DBA组中。

实施风险

高

重要等级

★

备注

需要做

1.1.9撤消public角色的程序包执行权限

编号

SHG-Oracle-01-01-09

名称

撤消public角色的程序包执行权限

实施目的

撤消public角色的程序包执行权限

问题影响

影响组用户管理

系统当前状态

SQL>SELECTtable_nameFROMdba_tab_privsWHEREgrantee=’PUBLIC’andprivilege=’EXECUTE’

实施步骤

参考配置操作

1、查看public角色的程序包执行权限

SQL>SELECTtable_nameFROMdba_tab_privsWHEREgrantee=’PUBLIC’andprivilege=’EXECUTE’

2、撤销public角色的程序包执行权限（例如撤销public角色对utl_file包的EXEUTE权限）

SQL>REVOKEexeuteONutl_file（程序包名）FROMpublic;

REVOKEEXECUTEONSYS.UTL_HTTPFROMPUBLIC;

REVOKEEXECUTEONUTL_FILEFROMPUBLIC;

REVOKEEXECUTEONUTL_SMTPFROMPUBLIC;

REVOKESELECTONALL_USERSFROMPUBLIC;

回退方案

GrantEXECUTEONSYS.UTL_HTTPtoPUBLIC;

判断依据

实施风险

高

重要等级

★

备注

需要做

1.2口令

1.2.1缺省密码长度复杂度限制

编号

SHG-Oracle-01-02-01

名称

缺省密码长度复杂度限制

实施目的

对于采用静态口令进行认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

问题影响

增加密码被暴力破解的成功率

系统当前状态

SELECTprofileFROMdba_usersWHEREusername=’user_name’;

记录用户赋予的profile

实施步骤

1、参考配置操作

$ORACLE_HOME/rdbms/admin/utlpwdmg.sql

为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度

示例:

SQL>CREATEORREPLACEFUNCTIONmy_password_verify（usernameVARCHAR2,passwordVARCHAR2,old_passwordVARCHAR2）RETURNBOOLEANIS

BEGIN

23IFLENGTH（password）<8THEN

raise_application_error（-20001,'Passwordmustbeatleast8characterslong'）;

ENDIF;

RETURN（TRUE）;

4567END;

8/

Functioncreated.

SQL>createprofileTEST_PROFILElimitpassword_verify_functionMY_PASSWORD_VERIFY;（verify_function_11g）

Profilecreated.

SQL>alteruserSYSprofileTEST_PROFILE;

Useraltered.

SQL>CREATEORREPLACEFUNCTIONmy_password_verify（usernameVARCHAR2,passwordVARCHAR2,old_passwordVARCHAR2）RETURNBOOLEANIS

2BEGIN

3IFLENGTH（password）<8THEN

4raise_application_error（-20001,‘Passwordmustbeatleast8characterslong'‘;

5ENDIF;

6RETURN（TRUE）;

7END;

SQL>createprofileTEST_PROFILElimit

     2   password_verify_functionMY_PASSWORD_VERIFY;

回退方案

alteruseruser_nameprofiledefault;

判断依据

1、判定条件

修改密码为不符合要求的密码，将失败

2、检测操作

alteruseruser_nameidentifiedbypasswd;将失败

实施风险

低

重要等级

★★★

备注

1.2.2缺省密码生存周期限制

编号

SHG-Oracle-01-02-02

名称

缺省密码生存周期限制

实施目的

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。

问题影响

密码被非法利用，并且难以管理

系统当前状态

SELECTprofileFROMdba_usersWHEREusername=’user_name’;

记录用户赋予的profile

实施步骤

1、参考配置操作

为用户建相关profile，指定PASSWORD_GRACE_TIME为180天

2、补充操作说明

在90天内，需要修改密码

回退方案

alteruseruser_nameprofiledefault;

判断依据

3、判定条件

到期不修改密码，密码将会失效。

连接数据库将不会成功

4、检测操作

connectusername/password报错

实施风险

低

重要等级

★★★

备注

1.2.3密码重复使用限制

编号

SHG-Oracle-01-02-03

名称

密码重试限制

实施目的

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次，锁定该用户使用的账号。

问题影响

允许暴力破解密码

系统当前状态

SELECTprofileFROMdba_usersWHEREusername=’user_name’;

记录用户赋予的profile

实施步骤

1、参考配置操作

为用户建profile，指定FAILED_LOGIN_ATTEMPTS为5

2、补充操作说明

如果连续5次连接该用户不成功，用户将被锁定

回退方案

alteruseruser_nameprofiledefault;

判断依据

3、判定条件

连续６次用错误的密码连接用户，第７次时用户将被锁定

4、检测操作

connectusername/password，连续６次失败，用户被锁定

实施风险

中

重要等级

★

备注

1.2.4修改默认密码

编号

SGH-Oracle-01-02-04

名称

修改默认密码

实施目的

更改数据库默认帐号的密码。

（密码必须符合复杂度和长度）

问题影响

可能被破解密码

系统当前状态

询问管理员账号密码,并记录

实施步骤

参考配置操作

1.可通过下面命令来更改默认用户的密码：

ALTERUSERuser_nameIDENTIFIEDBYpasswd;

2.下面是默认用户密码列表：

CTXSYSCTXSYS

DBSNMPDBSNMP

LBACSYSLBACSYSMDDATAMDDATA

MDSYSMDSYS

DMSYSDMSYS

OLAPSYSMANAGER

ORDPLUGINSORDPLUGINS

ORDSYSORDSYS

OUTLNOUTLN

SI_INFORMTN_SCHEMASI_INFORMTN_SCHEMA

SYSCHANGE_ON_INSTALL

SYSMANCHANGE_ON_INSTALL

SYSTEMMANAGER

回退方案

ALTERUSERuser_nameIDENTIFIEDBYpasswd;

判断依据

判定条件

不能以用户名作为密码或使用默认密码的账户登陆到数据库。

检测操作

1.以DBA用户登陆到sqlplus中。

2.检查数据库默认账户是否使用了用户名作为密码或默认密码。

实施风险

中

重要等级

★

确认人

确认日期

备注

2.数据库审计

2.1.1数据库审计策略

编号

SHG-Oracle-02-01-04

名称

数据库审计策略

实施目的

根据业务要求制定数据库审计策略

问题影响

日志被删除后无法恢复。

系统当前状态

show parameter audit_s