Oracle数据库系统加固修订版

Oracle数据库系统加固作业指导书第1页，34页Oracle数据库系统加固作业指导书2019年10月修订版Oracle数据库系统加固作业指导书第2页，34页目录1.账号管理、认证授权................................................31.1账号.........................................................31.1.1为不同的管理员分配不同的账号..........................31.1.2删除或锁定无效账号....................................41.1.3关闭操作系统认证......................错误!未定义书签。1.1.4权限最小化............................................71.1.5数据库角色............................................81.1.6用户profile..........................................101.1.7数据字典保护.........................................121.1.8检查DBA组用户.......................................131.2口令........................................................151.2.1缺省密码长度复杂度限制...............................161.2.2缺省密码生存周期限制.................................181.2.3密码重复使用限制.....................................201.2.4修改默认密码.........................................212.数据库审计.......................................................232.1.1数据库审计策略.......................................233.通信协议.........................................................253.1.1网络数据传输安全.....................................254.设备其他安全要求.................................................274.1.1监听器密码...........................................274.1.2连接超时限制.........................................284.1.3修改默认的监听端口...................................29Oracle数据库系统加固作业指导书第3页，34页11..账账号号管管理理、、认认证证授授权权11..11账账号号11..11..11为为不不同同的的管管理理员员分分配配不不同同的的账账号号编号SHG-Oracle-01-01-01名称为不同的管理员分配不同的账号实施目的应按照用户分配账号，避免不同用户间共享账号,提高安全性。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态select*fromall_users;select*fromdba_users;记录用户列表实施步骤1、参考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并给role授权，把role赋给不同的用户2、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；Oracle数据库系统加固作业指导书第4页，34页回退方案删除用户：例如创建了一个用户A，要删除它可以这样做connectsys/密码assysdba;dropuserAcascade;//就这样用户就被删除了判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注11..11..22删删除除或或锁锁定定无无效效账账号号编号SHG-Oracle-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态select*fromall_users;select*fromdba_users;记录用户列表Oracle数据库系统加固作业指导书第5页，34页实施步骤1、参考配置操作alteruserusernamelock;//锁定用户dropuserusernamecascade;//删除用户回退方案删除新增加的帐户判断依据首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除实施风险高重要等级★★★备注已需要做11..11..33关关闭闭远远程程操操作作系系统统认认证证编号SHG-Oracle-01-01-03名称限制超级管理员远程登录实施目的限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。。问题影响允许数据库超级管理员远程非法登陆系统当前状态查看spfile,sqlnet.ora内容Oracle数据库系统加固作业指导书第6页，34页实施步骤1、参考配置操作在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。回退方案还原spfile,sqlnet.ora文件配置判断依据判定条件1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。检测操作1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。实施风险高Oracle数据库系统加固作业指导书第7页，34页重要等级★★★备注可以做11..11..44权权限限最最小小化化编号SGH-Oracle-01-01-04名称权限最小化实施目的在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响账号权限越大,对系统的威胁性越高系统当前状态select*fromuser_sys_privs;select*fromuser_role_privs;select*fromuser_tab_privs;记录用户拥有权限实施步骤1、查看权限sqlselect*fromdba_sys_privswheregrantee=username;系统权限sqlselect*fromdba_tab_privswheregrantee=username;对象权限sqlselect*fromdba_role_privswheregrantee=username;赋予的角色2、收回相应权限（例如收回selectanytable权限）sqlrevokeselectanytablefromusername;3、收回应用用户的DBA角色Oracle数据库系统加固作业指导书第8页，34页sqlrevokedbafromusername;回退方案还原添加或删除的权限判断依据业务测试正常实施风险高重要等级★备注11..11..55数数据据库库角角色色编号Oracle-01-01-05名称数据库角色实施目的使用数据库角色（ROLE）来管理对象的权限。问题影响账号管理混乱系统当前状态select*fromdba_role_privs;select*fromuser_role_privs;记录用户拥有的role实施步骤一．创建角色,修改角色1.创建角色，不指定密码：createroletestrole；2．创建角色，指定密码：createroletestroleidentifiedbypasswd;Oracle数据库系统加固作业指导书第9页，34页3．修改角色：alterroletestroleidentifiedbypasswd;4.给角色授予权限。GrantselectonTable_nametotestrole;把角色赋予用户：（特别说明，授予角色不是实时的。如下：）granttestroletoUser_Name;二、起用角色：给用户赋予角色，角色并不会立即起作用。1．角色不能立即起作用。必须下次断开此次连接，下次连接才能起作用。2.或者执行命令：有密码的角色setroletestroleidentifiedbypasswd立即生效；3．无密码的角色：setroletestrole；回退方案删除相应的Rolerevokerole_namefromuser_name判断依据对应用用户不要赋予DBARole或不必要的权限实施风险高重要等级★备注Oracle数据库系统加固作业指导书第10页，34页11..11..66用用户户pprrooffiillee编号SHG-Oracle-01-01-06名称用户profile实施目的对用户的属性进行控制，包括密码策略、资源限制等。问题影响账号安全性低.系统当前状态SELECTprofileFROMdba_usersWHEREusername=’user_name’;记录用户赋予的profile实施步骤可通过下面类似命令来创建profile，并把它赋予一个用户CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS10输入次数不超过10次PASSWORD_LIFE_TIME90指定用户帐户的有效期,达到这个天数的帐户叫做到期帐户.到期帐户在登陆时会被提示口令将在多少天过期,但仍可以使用该口令,最多宽限的天数由password_grace_time参数指定.如果在宽限期中没有更改帐户的口令,则帐户过期,即叫过期帐户.如果不更改到期帐户的口令,就不能登陆数据库PASSWORD_REUSE_TIME60ORACLE会将各个用户的历史记录存放到SYS用户的USER_HISTORY$表中不能设置PASSWORD_REUSE_MAX5密码不能设置以前旧的密码不能设置PASSWORD_VERIFY_FUNCTIONverify_function不能执行要使用校验函数verify_function,必须运行脚本@$ORACLE_HOME/rdbms/admin/utlpwdmg.sqlPASSWORD_LOCK_TIME1/24指定帐户被锁定的天数.1/24/60对应的是1Oracle数据库系统加固作业指导书第11页，34页分钟.但是,1分钟后只有密码正确了,才可以自动解锁.如果该参数最后的值是UNLIMITED,或需要立即给帐户解锁,就需要DBA用手动方式来给帐户解锁PASSWORD_GRACE_TIME90;最多宽限的天数90ALTERUSERuser_namePROFILEprofile_name;alterusersystemidentifiedbym