Oracle数据库基本加固方案Word格式文档下载.docx
《Oracle数据库基本加固方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Oracle数据库基本加固方案Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
1.1
2009/06/01
补充内容
补充修改密码有效期90天之前要改密码问题
1.2
2009/06/15
配置编号
配置加固项编号
1.2.1
2009/07/02
更新配置编号
注1:
每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。
注2:
文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。
Oracle系统基本加固方案目录
Oracle系统基本加固方案
1概述
内部适用性说明
本方案是在《业务研究院网络安全规范》中各项要求的基础上,提出Oracle数据库安全配置指南,针对《通用规范》中所列的配置要求,给出了在Oracle数据库上的具体配置方法。
外部引用说明
《中国移动设备通用安全功能和配置规范》
《中国移动数据库设备安全功能规范》
《中国移动Oracle数据库安全配置规范》
术语和定义
符号和缩略语
缩写
英文描述
中文描述
DBA
DatabaseAdministrator
数据库管理员
VPD
VirtualPrivateDatabase
虚拟专用数据库
OLS
OracleLabelSecurity
Oracle标签安全
本文件中的字体标识如下:
蓝色斜体在具体执行时需要替换的内容
检查/加固项编码意义如下:
公司名称-操作系统-条目性质风险级别数字编号-小项数字编号
条目性质中:
S意为检查;
E意为加固
风险级别中:
H意为高风险;
M意为中等风险;
L意为低风险,风险级别仅存于具体条目中
2Oracle安全配置操作指导
2.1ZTE-Oracle-E01Oracle组件安装
2.1.1ZTE-Oracle-EM01-01Oracle最小组件安装
项目给出使用到的组件列表:
Oracle版本
Oracle组件
WAP网关
彩信
短信
Oracle9i
Oracle10g
2.2ZTE-Oracle-E02帐号安全加固操作
2.2.1ZTE-Oracle-EH02-01删除锁定无用帐号
锁定:
SQL>
alteruserusernameaccountlock;
删除:
dropuserusernamecascade;
删除用户
SCOTT
ANONYMOUS
CTXSYS
DBSNMP
可以锁定/删除
DIP
DMSYS
EXFSYS
HR
LBACSYS
MDDATA
MDSYS
MGMT_VIEW
ODM
QS
WKPROXY
WKSYS
ODM_MTR
OLAPSYS
ORDPLUGINS
OE
ORDSYS
OUTLN
SH
SI_INFORMTN_SCHEMA
WMSYS
XDB
TSMSYS
WK_TEST
SYSMAN
RMAN
QS_WS
QS_OS
QS_ES
QS_CS
QS_CBADM
QS_CB
PMQS_ADM
2.2.2ZTE-Oracle-EM02-02操作系统dba组只有oracle(或还有oinstall)用户
具体操作请参考相关操作系统加固方案
2.2.3ZTE-Oracle-EH02-03修改默认密码并使用强密码
建立密码验证函数,内容如下
执行脚本不会对原有密码造成影响,因此还需要再修改密码:
Alterusersysidentifiedbypassword
Alterusersystemidentifiedbypassword
Alteruser业务用户identifiedbypassword
需要修改密码的业务用户列表:
业务
需要修改口令的用户
sys、system、其他业务补充,必须修改帐号密码才能进行下一步设定密码生存期的操作
修改用户密码后,需要进行的其他操作:
修改用户密码后的操作说明
如果有双机环境,修改sys/system密码,注意双机切换脚本的有效性。
2.2.4ZTE-Oracle-EL02-04设置口令生存期为90天(可选)
alterproLIMITPASSWORD_LIFE_TIME90
说明:
在修改profile之前,必须进行2.2.3中的修改密码操作,如果不修改,可能在限定密码生存期之后登录失败
2.2.5ZTE-Oracle-EL02-05禁止重复密码
alterproLIMITPASSWORD_REUSE_MAX5
2.2.6ZTE-Oracle-EL02-06配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号(可选)
alterproLIMITFAILED_LOGIN_ATTEMPTS6
2.2.7ZTE-Oracle-EL02-07设置只有sysdba权限的用户才可以访问数据字典
使用pfile的情况:
修改pfile文件参数O7_DICTIONARY_ACCESSIBILITY=false
配置后重新启动数据库生效
使用spfile的情况:
AltersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile
说明,pfile文件默认位置如下:
Unix:
$ORACLE_HOME/dbs/initSID.ora
Windows:
%ORACLE_HOME%\DATABASE\initSID.ora
SID为Oracle数据库标识符
2.3ZTE-Oracle-E03审计要求(可选)
2.3.1ZTE-Oracle-EL03-01审计方案
需要审计的表
需要审计的操作
2.4ZTE-Oracle-E04数据库连接安全
2.4.1ZTE-Oracle-EL04-01设定listener密码(可选,确定对双机切换的影响)
$lsnrctl
LSNRCTL>
change_password
Oldpassword:
<
OldPassword>
Notdisplayed
Newpassword:
NewPassword>
Reenternewpassword:
Connectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=oraclehost)(PORT=1521)(IP=IPADDR)))
PasswordchangedforLISTENER
Thecommandcompletedsuccessfully
注意配置listener对双机切换的影响。
2.4.2ZTE-Oracle-EM04-02配置访问listener的白名单
$vi$ORACLE_HOME/network/admin/sqlnet.ora
设置或修改参数:
tcp.validnode_checking=yes
tcp.invited_nodes=(ip1,ip2…)
注意在tcp.invited_nodes参数中,一定要有本机的ip地址或者localhost
2.4.3ZTE-Oracle-EL04-03配置连接超时断开(可选)
$>
vi$ORACLE_HOME/network/admin/sqlnet.ora
SQLNET.EXPIRE_TIME=10
2.4.4ZTE-Oracle-EL04-04加密数据库网络连接(可选)
Windows环境下,选择开始菜单中的OracleNetManager,Unix环境中,在Oracle用户下,执行:
netmgr
1.在OracleNetManager中选择“OracleAdvancedSecurity”。
2.然后选择Encryption。
3.选择Client或Server选项。
4.选择加密类型。
5.输入加密种子(可选)。
6.选择加密算法(可选)。
7.保存网络配置,sqlnet.ora被更新。
注意,Oracle服务器选择Server,Oracle客户端选择Client,服务器客户端都需要配置。
2.5ZTE-Oracle-E05日志配置
2.5.1ZTE-Oracle-EL05-01打开登录日志
2.6ZTE-Oracle-E06数据库安全组件配置
2.6.1ZTE-Oracle-EL06-01使用DataVault选件(可选,待补充)
2.6.2ZTE-Oracle-EL05-02使用虚拟私有数据库和标签安全选件(可选,待补充)
2.7ZTE-Oracle-E07安装验证过的数据库补丁
2.7.1ZTE-Oracle-EH07-01安装经过验证的最新数据库补丁
Oracle数据库版本
Oracle9.2.0.8
3附录
3.1.1Oracle用户帐号速查
用户名
默认密码
描述
sys
change_on_install
Allofthebasetablesandviewsforthedatabase'
sdatadictionaryarestoredintheschemaSYS.ThesebasetablesandviewsarecriticalfortheoperationofOracle.Tomaintaintheintegrityofthedatadictionary,tablesintheSYSschemaaremanipulatedonlybyOracle;
theyshouldneverbemodifiedbyanyuserordatabaseadministrator,andnooneshouldcreateanytablesintheschemaoftheuserSYS.
TheDBAshouldchangethepasswordforSYSimmediatelyafterdatabasecreation!
!
system
Manager
TheSYSTEMusernamecreatesadditionaltablesandviewsthatdisplayadministrativeinformation,andinternaltablesandviewsusedbyOracletools.NevercreateintheSYSTEMschematablesofinteresttoindividualusers.
SYSTEMisalittlebit"
weaker"
userthanSYS,forexample,ithasnoaccesstosocalledX$tables(theveryinternalstructuretablesofOracle).
Althoughinreallifeyoumaybeinasituationwhensomeproductorwhateveryouwanttocreateobjectsinabovementioneduser'
sschemas.Beflexible,don'
tsacrifaceaproductonlybecauseitwillcreatesomeobjectsinSYSorSYSTEMschema
TheDBAshouldchangethepasswordforSYSTEMimmediatelyafterdatabasecreation!
sysman
Thedefaultsuperuseraccountusedtosetupandadministerenterprisemanager.
Thepasswordissetwhenthedatabaseisinstalled.
dbsnmp
SupportsOracleSNMP(SimpleNetworkManagementProtocol).
TheOracleIntelligentAgentrequiresadatabaselogonforeachSIDthatitmanages.Bydefaultthisaccountiscalled"
DBSNMP"
andthepasswordis"
.Theaccountnameand/orpasswordSHOULDbechangedfromthedefaultbutyouwillneedtomakeafewadditionalmodifications.Intheexamplesbelow,youwillneedtoreplaceanyinformationwithbrackets<
>
withtheinformationfromyoursystem.
1.RemoveallJobsandEventscurrentlyregisteredagainstthisdatabase.
2.StoptheIntelligentAgent
Oracle7-Oracle8i
%lsnrctldbsnmp_stop
Oracle9i
%agentctlstop
3.Editthe$ORACLE_HOME/network/admin/snmp_rw.orafile.Addthefollowingparameter:
SNMP.CONNECT.<
connect_string>
.NAME=<
username>
SNMP.CONNECT.<
.PASSWORD=<
password>
Thevariable<
istheexactlistingofthedatabasenameasitappearsinthesnmp_ro.orafile.
If<
isthedefault(DBSNMP),thereisnoneedtospecifytheuserhere.Onlythepasswordisrequired.
OnUNIX,setthefollowingpermissiononthe"
SNMP_RW.ORA"
file:
%chmod600snmp_rw.ora
4.ChangetheDBSNMPpasswordonthedatabase.YoucanuseeitherSecurityManager,Sqlplus,orServerManager.IfyouuseSQLPlusorServerManager,youcanissuethefollowingcommand:
SQL>
alteruser"
dbsnmp"
identifiedby"
<
newpassword>
"
;
5.StopandrestarttheIntelligentAgent.
outln
Oracle8iaddstheOUTLNuserschematosupportPlanStability.TheOUTLNuseractsasaplacetocentrallymanagemetadataassociatedwithstoredoutlines.
ThisuserhasDBArole.Itisusedforplanstabilityie.tokeepthesameexecutionplansforthesamequeriesevenifyoursystemconfigurationorstatisticschanges.ExecutionplanswillbethesameindifferentOraclereleaseswithdifferentoptimizers.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordfortheOUTLNuserimmediatelyafterdatabasecreation!
mdsys
SupportsOracleSpatial.OracleSpatialisanintegratedsetoffunctionsandproceduresthatenablesspatialdatatobestored,accessed,andanalyzedquicklyandefficientlyinanOracle8idatabase.
[..]Thespatialattributeofaspatialfeatureisthegeometricrepresentationofitsshapeinsomecoordinatespace.Thisisreferredtoasitsgeometry.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordfortheMDSYSuserimmediatelyafterdatabasecreation!
ordsys
SupportsOracle8iTimeSeries.Oracle8iTimeSeries(inpreviousreleasescalledtheOracle8TimeSeriesCartridge)isanextensiontoOracle8ithatprovidesstorageandretrievaloftimestampeddatathroughobjecttypes.Oracle8iTimeSeriesisabuildingblockforapplicationsratherthanbeinganend-userapplicationinitself.Itconsistsofdatatypesalongwithrelatedfunctionsformanagingandprocessingtimeseriesdata.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordfortheORDSYSuserimmediatelyafterdatabasecreation!
ordplugins
SupportsOracleinterMedia.OracleinterMediaisasingleproductthatenablesOracle8itostore,manage,andretrievetext,documents,geographiclocationinformation,images,audio,andvideoinanintegratedfashionwithotherenterpriseinformation.OracleinterMediaextendsOracle8ireliability,availability,anddatamanagementtotextandmultimediacontentinInternet,electroniccommerce,andmedia-richapplicationsaswellasonlineInternet-basedgeocodingservicesforlocatorapplications.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordforth