1、2.2.5 更改数据库默认帐号的密码 92.2.6 操作系统级的帐户安全策略 102.3 日志 112.3.1 登录日志功能 112.3.2 DDL日志 122.3.3 数据库审记 122.4 其他 132.4.1 VPD与OLS 132.4.2 Data Vault 132.4.3 Listener设定密码保护 142.4.4 设定信任IP集 152.4.5 加密网络传输 152.4.6 断开超时的空闲远程连接 162.4.7 限制DBA组中的操作系统用户数量 17 1 概述1.1 适用范围本规范明确了Oracle数据库安全配置方面的基本要求。2 ORACLE安全配置要求本规范所指的设备为O
2、RACLE数据库。本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。2.1 账号ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。2.1.1 按用户分配帐号要求内容应按照用户分配账号,避免不同用户间共享账号。操作指南1、 参考配置操作create user abc1 identified by password1;create user abc2 identified by password2;建立role,并给role授权,把role赋给不同的用户2、 补充操作
3、说明1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;检测方法3、 判定条件不同名称的用户可以连接数据库4、 检测操作connect abc1/password1连接数据库成功5、补充说明2.1.2 删除或锁定无关帐号应删除或锁定与数据库运行、维护等工作无关的账号。alter user username lock;drop user username cascade;首先锁定不需要的用户在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除4、检测操作2.1.3 限制SYSDBA用户的远程登录限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。1、参考配置
4、操作1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。2、补充操作说明3、判定条件1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库。2. 在数据库主机上以sqlplus /as sysdba连接到数据库需要输入口令。1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查
5、参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。2.1.4 用户权限最小化在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。grant权限to username;revoke 权限from username;用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限业务测试正常2.1.5 使用
6、ROLE管理对象的权限使用数据库角色(ROLE)来管理对象的权限。1. 使用Create Role命令创建角色。2. 使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。对应用用户不要赋予DBA Role或不必要的权限。1. 以DBA用户登陆到sqlplus中。2. 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。2.1.6 控制用户属性对用户的属性进行控制,包括密码策略、资源限制等。可通过下面类似命令来创建profile,并把它赋予一个用户CREATE PROFILE app_user2
7、LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90;ALTER USER jd PROFILE app_user2;1. 可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等。2. 可通过设置profile来限制数据库账户的CPU资源占用。2. 查询
8、视图dba_profiles和dba_usres来检查profile是否创建。2.1.7 启用数据库字典保护启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY = FALSE以普通dba用户登陆到数据库,不能查看X$开头的表,比如:select * from sys. x$ksppi;3. 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。Show parameter O7_DICTIO
9、NARY_ACCESSIBILITY2.2 口令2.2.1 静态口令认证的密码复杂度控制对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度修改密码为不符合要求的密码,将失败alter user abcd1 identified by abcd1;将失败2.2.2 静态口令认证的密码生命周期对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。为用户建相关profile,指定PASSWORD_GRACE_TIME为90天在90天内,需要修
10、改密码到期不修改密码,密码将会失效。连接数据库将不会成功connect username/password报错2.2.3 静态口令认证的密码重复使用限制对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。为用户建profile,指定PASSWORD_REUSE_MAX为当前使用的密码,必需在密码修改次后才能再次被使用重用修改次内的密码,将不能成功alter user username identified by password1;如果password1在次修改密码内被使用,该操作将不能成功2.2.4 景泰口令认证的连续登录失败的帐号锁定策略对于
11、采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。为用户建profile,指定FAILED_LOGIN_ATTEMPTS为如果连续次连接该用户不成功,用户将被锁定连续次用错误的密码连接用户,第次时用户将被锁定connect username/password,连续次失败,用户被锁定2.2.5 更改数据库默认帐号的密码更改数据库默认帐号的密码。1. 可通过下面命令来更改默认用户的密码:ALTER USER XXX IDENTIFIED BY XXX;2. 下面是默认用户列表:ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB不能以用户名作为密码或使用默认密码的账户登陆到数据库。1. 以DBA用户登陆到sqlp
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1