数据库基本加固方案.docx
《数据库基本加固方案.docx》由会员分享,可在线阅读,更多相关《数据库基本加固方案.docx(26页珍藏版)》请在冰豆网上搜索。
数据库基本加固方案
技术文件
技术文件名称:
Oracle数据库基本加固方案
技术文件编号:
版本:
V1.2.1
文件质量等级:
共17页
(包括封面)
拟制
审核
会签
标准化
批准
中兴通讯股份有限公司
修改记录
文件编号
版本号
拟制人/
修改人
拟制/修改日期
更改理由
主要更改内容
(写要点即可)
1.0
王华刚
2009/04/15
无
无
1.1
王华刚
2009/06/01
补充内容
补充修改密码有效期90天之前要改密码问题
1.2
王华刚
2009/06/15
配置编号
配置加固项编号
1.2.1
王华刚
2009/07/02
更新配置编号
更新配置编号
注1:
每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。
注2:
文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。
Oracle系统基本加固方案目录
Oracle系统基本加固方案
1概述
内部适用性说明
本方案是在《业务研究院网络安全规范》中各项要求的基础上,提出Oracle数据库安全配置指南,针对《通用规范》中所列的配置要求,给出了在Oracle数据库上的具体配置方法。
外部引用说明
《中国移动设备通用安全功能和配置规范》
《中国移动数据库设备安全功能规范》
《中国移动Oracle数据库安全配置规范》
术语和定义
符号和缩略语
缩写
英文描述
中文描述
DBA
DatabaseAdministrator
数据库管理员
VPD
VirtualPrivateDatabase
虚拟专用数据库
OLS
OracleLabelSecurity
Oracle标签安全
本文件中的字体标识如下:
蓝色斜体在具体执行时需要替换的内容
检查/加固项编码意义如下:
公司名称-操作系统-条目性质风险级别数字编号-小项数字编号
条目性质中:
S意为检查;E意为加固
风险级别中:
H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中
2Oracle安全配置操作指导
2.1ZTE-Oracle-E01Oracle组件安装
2.1.1ZTE-Oracle-EM01-01Oracle最小组件安装
项目给出使用到的组件列表:
Oracle版本
Oracle组件
WAP网关
彩信
短信
Oracle9i
Oracle10g
2.2ZTE-Oracle-E02帐号安全加固操作
2.2.1ZTE-Oracle-EH02-01删除锁定无用帐号
锁定:
SQL>alteruserusernameaccountlock;
删除:
SQL>dropuserusernamecascade;
删除用户
WAP网关
彩信
短信
SCOTT
ANONYMOUS
CTXSYS
DBSNMP
可以锁定/删除
DIP
DMSYS
EXFSYS
HR
LBACSYS
MDDATA
MDSYS
MGMT_VIEW
ODM
QS
WKPROXY
WKSYS
ODM_MTR
OLAPSYS
ORDPLUGINS
OE
ORDSYS
OUTLN
可以锁定/删除
SH
SI_INFORMTN_SCHEMA
WMSYS
可以锁定/删除
XDB
TSMSYS
WK_TEST
SYSMAN
RMAN
QS_WS
QS_OS
QS_ES
QS_CS
QS_CBADM
QS_CB
PMQS_ADM
2.2.2ZTE-Oracle-EM02-02操作系统dba组只有oracle(或还有oinstall)用户
具体操作请参考相关操作系统加固方案
2.2.3ZTE-Oracle-EH02-03修改默认密码并使用强密码
建立密码验证函数,内容如下
执行脚本不会对原有密码造成影响,因此还需要再修改密码:
SQL>Alterusersysidentifiedbypassword
SQL>Alterusersystemidentifiedbypassword
SQL>Alteruser业务用户identifiedbypassword
需要修改密码的业务用户列表:
业务
需要修改口令的用户
WAP网关
sys、system、其他业务补充,必须修改帐号密码才能进行下一步设定密码生存期的操作
彩信
sys、system、其他业务补充,必须修改帐号密码才能进行下一步设定密码生存期的操作
短信
sys、system、其他业务补充,必须修改帐号密码才能进行下一步设定密码生存期的操作
修改用户密码后,需要进行的其他操作:
业务
修改用户密码后的操作说明
WAP网关
彩信
短信
如果有双机环境,修改sys/system密码,注意双机切换脚本的有效性。
2.2.4ZTE-Oracle-EL02-04设置口令生存期为90天(可选)
SQL>alterproLIMITPASSWORD_LIFE_TIME90
说明:
在修改profile之前,必须进行2.2.3中的修改密码操作,如果不修改,可能在限定密码生存期之后登录失败
2.2.5ZTE-Oracle-EL02-05禁止重复密码
SQL>alterproLIMITPASSWORD_REUSE_MAX5
2.2.6ZTE-Oracle-EL02-06配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号(可选)
SQL>alterproLIMITFAILED_LOGIN_ATTEMPTS6
2.2.7ZTE-Oracle-EL02-07设置只有sysdba权限的用户才可以访问数据字典
使用pfile的情况:
修改pfile文件参数O7_DICTIONARY_ACCESSIBILITY=false
配置后重新启动数据库生效
使用spfile的情况:
SQL>AltersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile
配置后重新启动数据库生效
说明,pfile文件默认位置如下:
Unix:
$ORACLE_HOME/dbs/initSID.ora
Windows:
%ORACLE_HOME%\DATABASE\initSID.ora
SID为Oracle数据库标识符
2.3ZTE-Oracle-E03审计要求(可选)
2.3.1ZTE-Oracle-EL03-01审计方案
业务
需要审计的表
需要审计的操作
WAP网关
彩信
短信
2.4ZTE-Oracle-E04数据库连接安全
2.4.1ZTE-Oracle-EL04-01设定listener密码(可选,确定对双机切换的影响)
$lsnrctl
LSNRCTL>change_password
Oldpassword:
Notdisplayed
Newpassword:
Notdisplayed
Reenternewpassword:
Notdisplayed
Connectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=oraclehost)(PORT=1521)(IP=IPADDR)))
PasswordchangedforLISTENER
Thecommandcompletedsuccessfully
注意配置listener对双机切换的影响。
2.4.2ZTE-Oracle-EM04-02配置访问listener的白名单
$vi$ORACLE_HOME/network/admin/sqlnet.ora
设置或修改参数:
tcp.validnode_checking=yes
tcp.invited_nodes=(ip1,ip2…)
注意在tcp.invited_nodes参数中,一定要有本机的ip地址或者localhost
2.4.3ZTE-Oracle-EL04-03配置连接超时断开(可选)
$>vi$ORACLE_HOME/network/admin/sqlnet.ora
设置或修改参数:
SQLNET.EXPIRE_TIME=10
2.4.4ZTE-Oracle-EL04-04加密数据库网络连接(可选)
Windows环境下,选择开始菜单中的OracleNetManager,Unix环境中,在Oracle用户下,执行:
$>netmgr
1.在OracleNetManager中选择“OracleAdvancedSecurity”。
2.然后选择Encryption。
3.选择Client或Server选项。
4.选择加密类型。
5.输入加密种子(可选)。
6.选择加密算法(可选)。
7.保存网络配置,sqlnet.ora被更新。
注意,Oracle服务器选择Server,Oracle客户端选择Client,服务器客户端都需要配置。
2.5ZTE-Oracle-E05日志配置
2.5.1ZTE-Oracle-EL05-01打开登录日志
2.6ZTE-Oracle-E06数据库安全组件配置
2.6.1ZTE-Oracle-EL06-01使用DataVault选件(可选,待补充)
2.6.2ZTE-Oracle-EL05-02使用虚拟私有数据库和标签安全选件(可选,待补充)
2.7ZTE-Oracle-E07安装验证过的数据库补丁
2.7.1ZTE-Oracle-EH07-01安装经过验证的最新数据库补丁
Oracle数据库版本
WAP网关
彩信
短信
Oracle9i
Oracle9.2.0.8
Oracle9.2.0.8
Oracle9.2.0.8
Oracle10g
3附录
3.1.1Oracle用户帐号速查
用户名
默认密码
描述
sys
change_on_install
Allofthebasetablesandviewsforthedatabase'sdatadictionaryarestoredintheschemaSYS.ThesebasetablesandviewsarecriticalfortheoperationofOracle.Tomaintaintheintegrityofthedatadictionary,tablesintheSYSschemaaremanipulatedonlybyOracle;theyshouldneverbemodifiedbyanyuserordatabaseadministrator,andnooneshouldcreateanytablesintheschemaoftheuserSYS.
TheDBAshouldchangethepasswordforSYSimmediatelyafterdatabasecreation!
!
!
system
Manager
TheSYSTEMusernamecreatesadditionaltablesandviewsthatdisplayadministrativeinformation,andinternaltablesandviewsusedbyOracletools.NevercreateintheSYSTEMschematablesofinteresttoindividualusers.
SYSTEMisalittlebit"weaker"userthanSYS,forexample,ithasnoaccesstosocalledX$tables(theveryinternalstructuretablesofOracle).
Althoughinreallifeyoumaybeinasituationwhensomeproductorwhateveryouwanttocreateobjectsinabovementioneduser'sschemas.Beflexible,don'tsacrifaceaproductonlybecauseitwillcreatesomeobjectsinSYSorSYSTEMschema
TheDBAshouldchangethepasswordforSYSTEMimmediatelyafterdatabasecreation!
!
!
sysman
Thedefaultsuperuseraccountusedtosetupandadministerenterprisemanager.
Thepasswordissetwhenthedatabaseisinstalled.
dbsnmp
dbsnmp
SupportsOracleSNMP(SimpleNetworkManagementProtocol).
TheOracleIntelligentAgentrequiresadatabaselogonforeachSIDthatitmanages.Bydefaultthisaccountiscalled"DBSNMP"andthepasswordis"DBSNMP".Theaccountnameand/orpasswordSHOULDbechangedfromthedefaultbutyouwillneedtomakeafewadditionalmodifications.Intheexamplesbelow,youwillneedtoreplaceanyinformationwithbrackets<>withtheinformationfromyoursystem.
1.RemoveallJobsandEventscurrentlyregisteredagainstthisdatabase.
2.StoptheIntelligentAgent
Oracle7-Oracle8i
%lsnrctldbsnmp_stop
Oracle9i
%agentctlstop
3.Editthe$ORACLE_HOME/network/admin/snmp_rw.orafile.Addthefollowingparameter:
SNMP.CONNECT..NAME=SNMP.CONNECT..PASSWORD=
Thevariableistheexactlistingofthedatabasenameasitappearsinthesnmp_ro.orafile.
Ifisthedefault(DBSNMP),thereisnoneedtospecifytheuserhere.Onlythepasswordisrequired.
OnUNIX,setthefollowingpermissiononthe"SNMP_RW.ORA"file:
%chmod600snmp_rw.ora
4.ChangetheDBSNMPpasswordonthedatabase.YoucanuseeitherSecurityManager,Sqlplus,orServerManager.IfyouuseSQLPlusorServerManager,youcanissuethefollowingcommand:
SQL>alteruser"dbsnmp"identifiedby"";
5.StopandrestarttheIntelligentAgent.
outln
outln
Oracle8iaddstheOUTLNuserschematosupportPlanStability.TheOUTLNuseractsasaplacetocentrallymanagemetadataassociatedwithstoredoutlines.
ThisuserhasDBArole.Itisusedforplanstabilityie.tokeepthesameexecutionplansforthesamequeriesevenifyoursystemconfigurationorstatisticschanges.ExecutionplanswillbethesameindifferentOraclereleaseswithdifferentoptimizers.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordfortheOUTLNuserimmediatelyafterdatabasecreation!
!
!
mdsys
mdsys
SupportsOracleSpatial.OracleSpatialisanintegratedsetoffunctionsandproceduresthatenablesspatialdatatobestored,accessed,andanalyzedquicklyandefficientlyinanOracle8idatabase.
[..]Thespatialattributeofaspatialfeatureisthegeometricrepresentationofitsshapeinsomecoordinatespace.Thisisreferredtoasitsgeometry.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordfortheMDSYSuserimmediatelyafterdatabasecreation!
!
!
ordsys
ordsys
SupportsOracle8iTimeSeries.Oracle8iTimeSeries(inpreviousreleasescalledtheOracle8TimeSeriesCartridge)isanextensiontoOracle8ithatprovidesstorageandretrievaloftimestampeddatathroughobjecttypes.Oracle8iTimeSeriesisabuildingblockforapplicationsratherthanbeinganend-userapplicationinitself.Itconsistsofdatatypesalongwithrelatedfunctionsformanagingandprocessingtimeseriesdata.
TheDBAshouldeitherlocktheuseraccountorchangethepasswordfortheORDSYSuserimmediatelyafterdatabasecreation!
!
!
ordplugins
ordplugins
SupportsOracleinterMedia.OracleinterMediaisasingleproductthatenablesOracle8itostore,manage,andretrievetext,documents,geographiclocationinformation,images,audio,andvideoinanintegratedfashionwithotherenterpriseinformation.OracleinterMediaextendsOracle8ireliability,availability,anddatamanagementtotextandmultimediacontentinInternet,electroniccommerce,andmedia-richapplicationsaswellasonlineInternet-basedgeocodingservicesforlocatorapplications.
TheDBAshouldeitherlocktheuseraccountorchan
升级会员 