2024年3月10日发(作者:)
1.
概述 ......................................................................................................................... 2
1.1 目的 ...................................................................................................................... 2
1.2 范围 ...................................................................................................................... 2
2. 配置标准 .................................................................................................................... 2
2.1 帐号管理及认证授权 ............................................................................................ 2
2.1.1 按照用户分配帐号 .......................................................................................... 2
2.1.2 删除无用帐号 ................................................................................................. 2
2.1.3 限制DBA远程登录 ......................................................................................... 2
2.1.4 最小权限 ........................................................................................................ 3
2.1.5 数据库角色 ..................................................................................................... 3
2.1.6 用户属性 ........................................................................................................ 3
2.1.7 数据字典保护 ................................................................................................. 4
2.1.8. DBA组操作系统用户数量 ............................................................................... 4
2.2.1 口令复杂度 ..................................................................................................... 4
2.2.2 口令期限 ........................................................................................................ 4
2.2.3 口令历史 ........................................................................................................ 5
2.2.4 失败登录次数 ................................................................................................. 5
2.2.5 默认帐号的密码 ............................................................................................. 5
2.2.6. 遵循操作系统帐号策略.................................................................................. 5
2.3 日志 ...................................................................................................................... 6
2.3.1 登录日志 ........................................................................................................ 6
2.3.2 操作日志 ........................................................................................................ 6
2.3.3 安全事件日志 ................................................................................................. 6
2.3.4 数据库审计策略 ............................................................................................. 6
2.4 其它 ...................................................................................................................... 7
2.4.1 数据库交叉访问 ............................................................................................. 7
2.4.2 限制DBA权限用户访问敏感数据 ................................................................... 7
2.4.3 数据库监听器 ................................................................................................. 7
2.4.4 访问源限制 ..................................................................................................... 8
2.4.5 数据流加密 ..................................................................................................... 8
2.4.6. 连接超时........................................................................................................ 8
1. 概述
1.1目的
本规范明确了Oracle数据库安全配置方面的基本要求。为了提高Oracle数据库的安
全性而提出的。
1.2范围
本规范适用于XXXX使用的Oracle数据库版本。
2. 配置标准
2.1帐号管理及认证授权
2.1.1按照用户分配帐号
【目的】应按照用户分配账号,避免不同用户间共享账号。
【具体配置】
create user abc1 identified by password1; create user abc2 identified by password2;
建立role,并给role授权,把role赋给不同的用户删除无关帐号
2.1.2删除无用帐号
【目的】应删除或锁定与数据库运行、维护等工作无关的账号。
【具体配置】
alter user username lock; drop user username cascade;
2.1.3限制DBA远程登录
【目的】限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
【具体配置】
1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户
从远程登陆。
2. 在中设置TICATION_SERVICES=NONE来禁用
SYSDBA 角色的自动登录。
【检测操作】
1. 以Oracle用户登陆到系统中。
2. 以sqlplus‘/as sysdba’登陆到sqlplus环境中。
3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否
设置为NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE
4. 检查在$ORACLE_HOME/network/admin/文件中参数
TICATION_SERVICES是否被设置成NONE。
2.1.4最小权限
【目的】在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
【具体配置】
1给用户赋相应的最小权限 grant 权限 to username;
2收回用户多余的权限 revoke 权限 from username;
2.1.5数据库角色
【目的】使用数据库角色(ROLE)来管理对象的权限。
【具体配置】
1. 使用Create Role命令创建角色。
2. 使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
【检测操作】
1. 以DBA用户登陆到sqlplus中。
2. 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否
使用ROLE来管理对象权限。
2.1.6 用户属性
【目的】对用户的属性进行控制,包括密码策略、资源限制等。
【具体配置】
1、可通过下面类似命令来创建profile,并把它赋予一个用户
CREATE PROFILE app_user2 LIMIT
FAILED_LOGIN_ATTEMPTS 6
PASSWORD_LIFE_TIME 60
PASSWORD_REUSE_TIME 60
PASSWORD_REUSE_MAX 5
PASSWORD_VERIFY_FUNCTION verify_function
PASSWORD_LOCK_TIME 1/24
PASSWORD_GRACE_TIME 90;
ALTER USER jd PROFILE app_user2;
2、可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账
户的锁定方式等。
3、可通过设置profile来限制数据库账户的CPU资源占用。
2.1.7 数据字典保护
【目的】启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
【具体配置】
通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。
O7_DICTIONARY_ACCESSIBILITY = FALSE
【检测操作】
以普通dba用户登陆到数据库,不能查看X$开头的表,比如:select * from sys.
x$ksppi;
1. 以Oracle用户登陆到系统中。
2. 以sqlplus‘/as sysdba’登陆到sqlplus环境中。
3. 使用show parameter命令来检查参数 O7_DICTIONARY_ACCESSIBILITY是否设置
为FALSE。 Show parameter O7_DICTIONARY_ACCESSIBILITY
2.1.8. DBA组操作系统用户数量
【目的】限制在DBA组中的操作系统用户数量,通常DBA组中只有Oracle安装用
户。
【具体配置】通过/etc/passwd文件来检查是否有其它用户在DBA组中。
【检测操作】
无其它用户属于DBA组。或者通过/etc/passwd文件来检查是否有其它用户在DBA组中。
2.2口令
2.2.1口令复杂度
【目的】对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、
小写字母、大写字母和特殊符号4类中至少2类。
【具体配置】为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂
度
【检测操作】修改密码为不符合要求的密码,将失败
alter user abcd1 identified by abcd1;将失败
2.2.2口令期限
【目的】对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
【具体配置】为用户建相关profile,指定PASSWORD_GRACE_TIME为90天
【检测操作】到期不修改密码,密码将会失效。连接数据库将不会成功 connect
username/password报错
2.2.3口令历史
【目的】对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使
用最近5次(含5次)内已使用的口令。
【具体配置】为用户建profile,指定PASSWORD_REUSE_MAX为5
【检测操作】 alter user username identified by password1;如果password1在5次修
改密码内被使用,该操作将不能成功
2.2.4失败登录次数
【目的】对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超
过6次(不含6次),锁定该用户使用的账号。
【具体配置】为用户建profile,指定FAILED_LOGIN_ATTEMPTS为6
【检测操作】 connect username/password,连续6次失败,用户被锁定连续6次
用错误的密码连接用户,第7次时用户将被锁定
2.2.5 默认帐号的密码
【目的】更改数据库默认帐号的密码。
【具体配置】ALTER USER XXX IDENTIFIED BY XXX;
下面是默认用户列表:
ANONYMOUS CTXSYS DBSNMP DIP DMSYS EXFSYS HR LBACSYS MDDATA MDSYS
MGMT_VIEW ODM ODM_MTR OE OLAPSYS ORDPLUGINS ORDSYS OUTLN PM QS
QS_ADM QS_CB QS_CBADM QS_CS QS_ES QS_OS QS_WS RMAN SCOTT SH
SI_INFORMTN_SCHEMA SYS SYSMAN SYSTEM TSMSYS WK_TEST WKPROXY WKSYS
WMSYS XDB
【检测操作】不能以用户名作为密码或使用默认密码的账户登陆到数据库。或者 1.
以DBA用户登陆到sqlplus中。 2. 检查数据库默认账户是否使用了用户名作为密码或
默认密码。
2.2.6. 遵循操作系统帐号策略
【目的】Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共
享账户、强制定期修改密码、密码需要有一定的复杂度等。
【具体配置】使用操作系统一级的账户安全管理来保护Oracle软件账户。
【检测操作】每3个月自动提示更改密码,过期后不能登陆。每3个月强制修改
Oracle软件账户密码,并且密码需要满足一定的复杂程度,符合操作系统的密码要求。
2.3日志
2.3.1登录日志
【目的】数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使
用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
【具体配置】创建ORACLE登录触发器,记录相关信息,但对IP地址的记录会有困
难 1.建表LOGON_TABLE 2.建触发器 CREATE TRIGGER TRI_LOGON AFTER LOGON ON
DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT('USERENV',
'SESSION_USER'), SYSDATE); END; 触发器与AUDIT会有相应资源开消,请检查系统资源
是否充足。特别是RAC环境,资源消耗较大。
2.3.2操作日志
【目的】数据库应配置日志功能,记录用户对数据库的操作,包括但不限于以下内
容:账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务
用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,
操作内容以及操作结果。
【具体配置】创建ORACLE登录触发器,记录相关信息,但对IP地址的记录会有困
难1.建表LOGON_TABLE
2.建触发器 CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN
INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT('USERENV', 'SESSION_USER'), SYSDATE);
END;# 触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。特别是RAC环
境,资源消耗较大。
2.3.3安全事件日志
【目的】数据库应配置日志功能,记录对与数据库相关的安全事件。
【具体配置】创建ORACLE登录触发器,记录相关信息,但对IP地址的记录会有困
难1.建表LOGON_TABLE
2.建触发器 CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN
INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT('USERENV', 'SESSION_USER'), SYSDATE);
END; 触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。特别是RAC环
境,资源消耗较大。
2.3.4 数据库审计策略
【目的】根据业务要求制定数据库审计策略。
【具体配置】 1. 通过设置参数audit_trail = db或os来打开数据库审计。
2. 然后可使用Audit命令对相应的对象进行审计设置。
【检测操作】对审计的对象进行一次数据库操作,检查操作是否被记录。
1. 检查初始化参数audit_trail是否设置。
2. 检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。
AUDIT会有相应资源开消,请检查系统资源是否充足。特别是RAC环境,资源消耗较大。
2.4其它
2.4.1数据库交叉访问
【目的】使用Oracle提供的虚拟私有数据库(VPD)和标签安全(OLS)来保护不
同用户之间的数据交叉访问。
【具体配置】 1. 在表上构建 VPD可以使用Oracle所提供的 PL/SQL 包 DBMS_RLS
控制整个 VPD 基础架构,具体设置方法较复杂,建议参考Oracle文档进行配置。
2. Oracle标签安全(OLS)是在相关表上通过添加一个标签列来实现复杂的数据安全
控制,具体细节请参考Oracle文档。
【检测操作】通过视图来检查是否在数据库对象上设置了VPD和OLS。查询视图
v$vpd_policy和dba_policies。
2.4.2限制DBA权限用户访问敏感数据
【目的】使用Oracle提供的Data Vault选件来限制有DBA权限的用户访问敏
感数据。
【具体配置】 Oracle Data Vault是作为数据库安全解决方案的一个单独选件,主
要功能是将数据库管理账户的权限和应用数据访问的权限分开, Data Vault可限制有
DBA权限的用户访问敏感数据。设置比较复杂,具体细节请参考Oracle
文档。安全事件日志
【检测操作】以DBA用户登陆,不能查询其它用户下面的数据。或者, 1. 在视图
dba_users中查询是否存在dvsys用户。 2. 在视图dba_objects中检查是否存在
dbms_macadm对象。
2.4.3数据库监听器
【目的】为数据库监听器(LISTENER)的关闭和启动设置密码。
【具体配置】通过下面命令设置密码: $ lsnrctl LSNRCTL>change_password Old
password:
Reenter new password:
(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))
Password changed for LISTENER The command completed successfully LSNRCTL>save_config
【检测操作】使用lsnrctl start或lsnrctl stop命令起停listener需要密码。或者检查
$ORACLE_HOME/network/admin/文件中是否设置参数
PASSWORDS_LISTENER。
2.4.4访问源限制
【目的】设置只有信任的IP地址才能通过监听器访问数据库。
【具体配置】只需在服务器上的文件$ORACLE_HOME/network/admin/中
设置以下行:ode_checking = yes d_nodes = (ip1,ip2„)
【检测操作】在非信任的客户端以数据库账户登陆被提示拒绝。或者,检查
$ORACLE_HOME/network/admin/文件中是否设置参数ode_checking
和d_nodes。
2.4.5数据流加密
【目的】使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与
数据库之间的网络传输数据。
【具体配置】 1. 在Oracle Net Manager中选择“Oracle Advanced Security”。
2. 然后选择Encryption。
3. 选择Client或Server选项。
4. 选择加密类型。
5. 输入加密种子(可选)。
6. 选择加密算法(可选)。
7. 保存网络配置,被更新。
【检测操作】通过网络层捕获的数据库传输包为加密包。或者,检查
$ORACLE_HOME/network/admin/文件中是否设置tion等参数。
2.4.6. 连接超时
【目的】在某些应用环境下可设置数据库连接超时,比如数据库将自动断开超过
10分钟的空闲远程连接。
【具体配置】在中设置下面参数: _TIME=10
【检测操作】 10分钟以上的无任何操作的空闲数据库连接被自动断开。或者,
检查$ORACLE_HOME/network/admin/文件中是否设置参数
_TIME
发布评论