Oracle漏洞扫描安全加固

《Oracle漏洞扫描安全加固》由会员分享，可在线阅读，更多相关《Oracle漏洞扫描安全加固（35页珍藏版）》请在装配图网上搜索。

1、关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册适用软件版本Oraclelog、11g适用硬件版本主题关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册1、问题描述与原因：Oracle数据库在合规检查时被扫描出漏洞，要求对这些漏洞进行解决。2、 应对措施：对存在漏洞进行定制的安全加固操作。3、执行条件/注意事项：加固前确保服务器、数据库、网管运行均正常。最好重启下服务器、数 据库和网管查看重启后网管是否能运行正常。如果加固前服务器本身有问题, 加固后服务器运行异常会加大排查难度。本解决方案执行完成后，需要重启Oracle数据库来生效某些操作。本解决方案不必完全执行

2、，请根据系统扫描出的漏洞选择对应的漏洞条 目进行操作。如无特殊说明，本文中的执行用户均为oracle4、 操作步骤：漏洞清单（单击可跳转）：（注：漏洞名称与配置项信息中的配置项名称对应。）漏洞1检查是否对用户的属性进行控制（5）漏洞2检查是否配置Oracle软件账户的安全策略（2）漏洞3检查是否启用数据字典保护漏洞4检查是否在数据库对象上设置了 VPD和OLS（6）漏洞5检查是否存在dvsys用户dbms macadm对象（14）漏洞6检查是否数据库应配置日志功能（11）漏洞7检查是否记录操作日志（13）漏洞&检查是否记录安全事件日志（7）漏洞9检查是否根据业务要求制定数据库审计策略漏洞10检

3、查是否为监听设置密码漏洞11检查是否限制可以访问数据库的地址（1）漏洞12.检查是否使用加密传输（4）漏洞13. 检查是否设置超时时间（15）漏洞14.检查是否设置DBA组用户数量限制（3）漏洞15. 检查是否删除或者锁定无关帐号漏洞16.检查是否限制具备数据库超级管理员（SYSDBA）权限的用户远程登 录（10）漏洞17.检查口令强度设置（17）漏洞18.检查帐户口令生存周期（12）漏洞19.检查是否设置记住历史密码次数（8）漏洞20.检查是否配置最大认证失败次数漏洞21检查是否在配置用户所需的最小权限（9）漏洞22.检查是否使用数据库角色（ROLE）来管理对象的权限（16）漏洞23.检查是

4、否更改数据库默认帐号的密码执行Oracle安全加固操作前备份文件：Ibash-gEWdpsoRACLEiHOME/network/admin/nsteneEorayoRACLEiHOME/neiwork|/admin/listener .ora .org|bash-3.2$ cp $ORACLE_HOME/network/admin/sqlnet.ora $ORACLE_HOME/network/ | ladmin/sqlnet .ora.orgIIOracle数据库漏洞的解决方案全部执行完成后，需要重启Oracle实例来生效某些操作。漏洞1.检查是否对用户的属性进行控制类型：Oracle数据

5、库类问题：$QLseiectcount(t:username)iromdba_userswhereprofnenoin(DEFAULT；MONi|toring_profilf)；|COUNT(T .USERNAME)| |ii0II解决方案：暂时不处理。漏洞2.检查是否配置Oracle软件账户的安全策略类型：Oracle数据库类问题：略解决方案：暂时不处理漏洞3检查是否启用数据字典保护类型：Oracle数据库类问题：|SQLseiecvaiuefromv$parameterwherenameiike%O7_DTcnoNARY_ACCESsiBiii|Ity%；IIselect value fr

6、om v$parameter where name like %O7_dictionary_accessibiuty% |I*ERROR at line 1：|ora-01034： oracle not availableProcess ID: 0Session ID: 0 Serial number: 0解决方案：在数据库启动的情况下，通过下面的命令检查o7_dictionary_accessibility的参数值：|bash-3.2$sqlplUssystem/oracle|SQL*Plus: Release 10.2.0.4.0 - Production on Thu Jan 9 11:

7、33:56 2014Copyright (c) 1982, 2007, Oracle. All Rights Reserved.iIIConnected to:i Oracle Database log Enterprise Edition Release 10.2.0.4.0 - Productionwith the Partitioning, OLAR Data Mining and Real Application Testing options|SQL show parameter o7_dictionary_accessibility；iiiiInametype value11II|

8、o7_dictionary_accessibiutyboolean falseII|检查出默认的结果是FALSE后，使用下面的命令退出SQL*PLUS：|SQL exitDisconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit |productionWith the Partitioning, OLAR Data Mining and Real Application Testing options11II漏洞4检查是否在数据库对象上设置了 VPD和OLS类型：Oracle数据库类问题

9、：fsQLserectcoUnt(*)ffomv$vpd_p6ricy；| COUNT(*)0解决方案：暂时不处理。漏洞5.检查是否存在dvsys用户dbms_macadm对象类型：Oracle数据库类问题：lSQLseiec丽uni(*)from0ba_userswhereusernamie=DVSYS；| COUNT(*)I0II11II解决方案：暂时不处理。漏洞6检查是否数据库应配置日志功能类型：Oracle数据库类问题：fSQLsereCi CoUni(*) froffiaba_iriggerSiwherelriffi(i：triggefing_eveni) = irim(LOG|ON

10、);| COUNT(*)0I1I解决方案： 暂时不处理。漏洞7检查是否记录操作日志类型：Oracle数据库类问题：|SQLseiecvaiuefromrv$parameteFiWhereiname=audii_traii；select value from v$parameier i where i.name = audi,i_i:raili!*error ai line 1：|ora-01034： ORACLE noi availableProcess id： 0ISession id： 0 Serial number： 0解决方案：暂时不处理。漏洞8检查是否记录安全事件日志类型：Oracl

11、e数据库类问题：$QLseieccouni(*jfrimdba_triggersfWhere而m(ifriggering_eveni)三trim(LOG |ON);I COUNT(*)0I解决方案：暂时不处理。漏洞9检查是否根据业务要求制定数据库审计策略类型：Oracle数据库类问题：|SQLseiecivaiue】romrv$parameieiTWherei:name=audit_iraii； select value from v$parameier i where i.name = audii_i:railii*error at line 1：|ora-01034： ORACLE not

12、 availableprocess id： 0Session id： 0 Serial number： 0解决方案：暂时不处理。漏洞10检查是否为监听设置密码类型：Oracle数据库类问题：IFcaninffWACiooME-fiamesqifieLoraT酰P可#lgrep可呗$find： 0652-081 cannot change directory to /oracle/app/oracle/dbhome_1/sysman |/config/pref：| : The file access permissions do not allow the specified action |$

13、 cat find $ORACLE_HOME -name listener .ora I grep -v #|grep -v 人$find： 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_1/sysman| l/config/pref：II| : The file access permissions do not allow the specified action |SID_LIST_LISTENER 二I (SID_LIST 二II| (SID_DESC =| (SID_NAME = PLSEXtProc)(

14、ORACLE_HOME = /oracle/app/oracle/dbhome_1)I (PROGRAM = extproc)Ii )I| (SID_DESC =| (GLOBAL_DBNAME = minos)(ORACLE_HOME = /oracle/app/oracle/dbhome_l)I(SID_NAME = minos)Iii1 )III)ILISTENER =II (DESCRIPTION_LIST 二III (DESCRIPTION 二| (ADDRESS = (PROTOCOL = TCPMHOST = 100 92255 141)(PORT = 1521)I)I11!)!

15、II|adr_base_listener = /oracie/app/oracieII解决方案：Bash-3.2$ isnrctliiiiiiIlsnrctl forIBM/AIX RISC System/6000： Version 11.2.0.3.0 - Production on 08-JAN-201Il4 15:11:21Copyright (c) 1991, 2011, Oracle. All rights reserved IIiiiiiiI Welcome to lsnrctl, type help for information.1 1II|lsnrctl change_pas

16、swordld password： save_configIIConnecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=10 92243 82MPORT | |=1521)Saved LISTENER configuration parameters IIlistener Parameter File /oracle/app/oracle/11 20 3/dbhome_1/network/admin/1 listener .ora|Old Parameter File /oracle/app/oracle/11 20 3/dbhome_1/

17、network/admin/liste |iner bakThe command completed successfully|lsnrctl exit|bash-3.2$|设置完成后通过下面的命令检查：|bash-3.2$ cat $ORACLE_HOME/network/admin/listenerora | grep PASSWORDS |有输出则说明已经设置成功了。|漏洞11检查是否限制可以访问数据库的地址类型：Oracle数据库类问题：l$canffiff$ORAcioOME：naffiesqlffleoran 酰p可#igiw可叹$find： 0652-081 cannot cha

18、nge directory to v/oracle/app/oracle/dbhome_l/sysman| |/config/pref：I : The file access permissions do not allow the specified action II$ cat find $ORACLE_HOME -name listener .ora I grep -v #|grep -v 人$find： 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_1/sysman| l/config/pref：II| :

19、 The file access permissions do not allow the specified action |SID_LIST_LISTENER 二|ADR_base_listener = /oracle/app/oracle解决方案：检查$ORACiooME/neiw而admn/sqin丽ra文件中是否有以下行；|tcrvalidnode_checking = YES|tUNVITED_NODES = (, vhost_2,)I其中是允许访问本数据库的IP地址。IIII如果没有，则根据需要在文件中添加，随后重启数据库。I|重启完成后，则数据库只允许tcp.invited_n

20、odes列出的IP来访问。|1 1II|如果不存在sqlnet.ora文件，请使用以下命令创建此文件后再实施上面的操| 作：IIIjbash-3.2$ touch $ORACLE_HOME/network/admin/sqlne t ora漏洞12检查是否使用加密传输类型：Oracle数据库类问题：$canind$ORACLE_HOME：namesqinei0raTgfep可#Tgre0-v/$IIfind： 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_l/sysman|/config/pref：i : The

21、file access permissions do not allow the specified action i$ cat find $ORACLE_HOME -name listener .ora I grep -v #|grep -v 人$find： 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_1/sysman| |/config/pref：I : The file access permissions do not allow the specified action |SID_LIST_LISTEN

22、ER 二II| (SID_LIST 二| (SID_DESC =|I (SID_NAME = PLSEXtProc)II(ORACLE_HOME = /oracle/app/oracle/dbhome_l)| (PROGRAM = extproc)I)I|(SID_DESC =|I (GLOBAL_DBNAME = minos)II(ORACLE_HOME = /oracle/app/oracle/dbhome_l)|(SID_NAME = minos)|11!)III)ILISTENER =|i (DESCRIPTION_LIST 二I (DESCRIPTION 二| (ADDRESS =

23、(PROTOCOL = TCPMHOST = 100 92255 141)(PORT = 1521)I)IiiI )IIadr_base_listener = /oracie/app/oracieII解决方案：暂时不处理。漏洞13.检查是否设置超时时间类型：Oracle数据库类问题：l$canififf$ORSciOOME：fiamrsqifiei(oran grep可#grep；v斥$find： 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_1/sysman| l/config/pref：II| : The fi

24、le access permissions do not allow the specified action |$ cat find $ORACLE_HOME -name listener .ora I grep -v #|grep -v 人$find： 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_1/sysman|II|/config/pref：| : The file access permissions do not allow the specified action I )I|adr_base_lis

25、tener = /oracie/app/oracieiiii解决方案：通过下面的命令检查是否设置了 dQiNETIXPIREJIME的参数值为而:|bash-3.2$ grep -i SQLNETEXPIRE_TIME $ORACLE_HOME/network/admin/sqlnet.or |iiii如果没有设置，在$ORACLE_HOME/network/admin/sqlne tora 文件中添加一 I行IIISQLNET EXPIRE_TIME=10随后重新启动监听和数据库。|如果不存在sqlnet.ora文件，请使用以下命令创建此文件后再实施上面的操| 作：|bash-3.2$ to

26、uch $ORACLE_HOME/network/admin/sqlne t oraII漏洞14检查是否设置DBA组用户数量限制类型：Oracle数据库类问题：略解决方案：手动将其他非oracle的用户从dba组中删除，将oracle用户从root或system 组中删除。查询用户所属组的命令是groups vusername。改变用户所属组 的命令是 usermod -G , 。漏洞15检查是否删除或者锁定无关帐号类型：Oracle数据库类问题：FSQLserectt；usernamelromaba_usertwherei.aCCount_sta（us=OPENi；Iselect t .us

27、ername from dba_users t where t. account_status = OPENi*Terror at line 1：Iora-01034： ORACLE not availableprocess id： 0Session id： 0 Serial number： 0解决方案：暂时不处理。漏洞16检查是否限制具备数据库超级管理员（SYSDBA）权限的用户远程登 录类型：Oracle数据库类问题：ISQLseiect.VALUHrom-v$parameiferTWhereupper(匸NAME)Tike%REMOTE_LOGiN口PASSWORDFILE%;VALUE

28、EXCLUSIVE解决方案：在数据库启动时，通过下面的命令检香remote_iOgin_passWordiiie的参数II值：I|bash-3.2$ sqipius sys/oracie as sysdba|SQL*Plus： Release 10.2.0.4.0 - Production on Thu Jan 9 11:33:56 2014Copyright (c) 1982, 2007, Oracle. All Rights Reserved.iiiiiiConnected to：Oracle Database 10g Enterprise Edition Release 10.2.0.4

29、.0 - ProductionIIWith the Partitioning, OLAR Data Mining and Real Application Testing optionsiiiiii|SQL show parameters remote_login_passwordfile；nametype valueiiii|remote_login_passwordfile string EXCLUSIVEI如果参数值为NONE，则默认满足安全要求。否则，通过下面的SQL语句修| |改参数值为NONE：|sql alter system set remote_login_passwordf

30、ile二none scope二spfile；System altered.IIIII修改后重启数据库：III|sql shutdown immediateDatabase closed Database dismounted.| ORACLE instance shut down lbash-3.2$ export ORACLE_SID=|bash-3.2$ sqlplus /nolog|SQL*Plus： Release 10.2.0.5.0 - Production on Tue May 20 11:01:55 2014Copyright (c) 1982, 2010, Oracle. A

31、ll Rights Reserved.1Iii|SQL conn / as sysdbaConnected to an idle instance.|sql startupORACLE instance started.Total System Global Area 8589934592 bytesFixed Size2065744 bytesvariable Size 3238009520 bytesDatabase Buffers5301600256 bytesIRedo Buffers48259072 bytesDatabase mounted.Database opened.|sql

32、|检查参数值是否修改成功：|SQL show parameters remote_login_passwordfile；INAMETYPE VALUE|remote_login_passwordfile string NONEI修改成功后退出SQL*PLUS：III|SQL exitIIDisconnected fromOracle Database log Enterprise Edition Release 10.2.0.4.0 - Produ |ctionWith the Partitioning, OLAR Data Mining and Real Application Testin

33、g options漏洞17检查口令强度设置类型：Oracle数据库类问题：|SQL elecicouni(*)fr6m0ba_0roiiles_wheFeesourcename=PASSWORD_VERiFY_FUNCTION and limit = NULL；| COUNT(*)iiIiiiI 1I解决方案：暂时不处理。漏洞18检查帐户口令生存周期类型：Oracle数据库类问题：sql seieciiimitfromdba_proiiiesTWhereTesource_name三password_life_timeii! |1；:，:LIMITiiIIiiUNLIMITEDDEFAULTDE

34、FAULTii解决方案：暂时不处理。漏洞19检查是否设置记住历史密码次数类型：Oracle数据库类问题：iSQLseiectiimiifromdba_proiiiestwhereTesource_name=PASSWORD_MUSE_MA 咕-一 |X；IILIMITUNLIMITEDDEFAULTIIDEFAULT解决方案：暂时不处理。漏洞20检查是否配置最大认证失败次数类型：Oracle数据库类问题：$QLseiectiimiifromdba_proiiiestwhere”resource_name=FAiLED_LOGiN_ATTEM |PTS;select limit from dba

35、_profiles t where resource_name = FAILED_LOGIN_ATTEMPTS |i*ERROR at line 1：IIIora-01034： oracle not availableProcess ID: 0Session ID: 0 Serial number: 0II解决方案：在数据库启动的情况下，通过下面的命令检查FAiLED_LbGlN_ATTEMPfS的值訂ibash-3.2$ sqlplus system/oracle|SQL*Plus： Release 10.2.0.4.0 - Production on Thu Jan 9 11:33:56

36、2014Copyright (c) 1982, 2007, Oracle. All Rights Reserved.Connected to:Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Productionwith the Partitioning, OLAR Data Mining and Real Application Testing options|SQL SELECT RESOURCE_NAME, LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME=F |AILED_LOG

37、IN_ATTEMPTS AND PROFILE二DEFAULT;iiii|resource_name limitiiiii |failed_login_attempts unlimitedii|如果LIMIT的值为6,则符合安全要求。否则，通过下面的SQL语句修改参| 数值：|sql alter profile default LIMIT FAILED_LOGIN_ATTEMPTS 6;11IIIIIIprofile altered.I检查参数值是否修改成功：III|SQL SELECT RESOURCE_NAME, LIMIT FROM DBA_PROFILES WHERE RESOURCE

38、_NAME=F | |AILED_LOGIN_ATTEMPTS AND PROFILE二DEFAULT;1IIIIresource_name limiti!iii AILED_LOGIN_ATTEMPTS 6|修改成功后退出SQL*PLUS：|sql exitDisconnected from Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Produ 1IIActionWith the Partitioning, OLAR Data Mining and Real Application Testing options漏

39、洞21检查是否在配置用户所需的最小权限类型：Oracle数据库类问题：fSQLserectcouni(a：username)fromdBa_usersalerfjoinaba_roie_privsbona.use |rname = bgrantee where granted_role = DBA and a.username not in (SYS,SYSMA | |N,SYSTEM,WKSYS,CTXSYS);|COUNT(A .USERNAME)II19IIiiii解决方案：暂时不处理。漏洞22检查是否使用数据库角色(ROLE)来管理对象的权限类型：Oracle数据库类问题：|SQLse

40、ieccouni(ausername)fromdba_usersaiefjoindba_roie_privsbonause |rname = bgrantee where granied_role = DBA and a.username not in (SYS,SYSMA | |n,SYSTEM,WKSYS,CTXSYS);|COUNT(A .USERNAME)H;IIIII解决方案：暂时不处理。漏洞23.检查是否更改数据库默认帐号的密码类型：Oracle数据库类问题：|SQLseiectusername;passwordfomdba_userswherepasswordin(DF02A49

41、6267DE|E66,2BE6F80744E08FEB,9793B3777CD3BD1A,CE4A36B8E06CA59C,9C30855E7E0 i |CB02D,6399F3B38EDF3288);USERNAMEPASSWORDiiiii jDIPCE4A36B8E06CA59CMDDATADF02A496267DEE66|SQL select username,password from dba_users where password in(66F4EF5650C20 i |355,BFBA5A553FD9E28A,7C9BA362F8314299,71E687F036AD56E5,

42、anonymous, III88D8364765FCE6AF);USERNAMEPASSWORDII|EXFSYS66F4EF5650C20355ANONYMOUSanonymousWMSYS7C9BA362F8314299CTXSYS71E687F036AD56E5DMSYSBFBA5A553FD9E28A|XDB88D8364765FCE6AFi6 rows selected iiIIii|SQL select username,password from dba_users where password in(73847B44A7F8A|F70,4A3BA55E08595C81,D4C5

43、016086B2DC6A,D4DF7931AB130E37,E7B5D92911C | |831E1,AC98877DE1297365);USERNAMEPASSWORDII|OUTLN4A3BA55E08595C81|sql select username,password from dba_users where password in(AC9700FD3F1411 bEB,E066D214D5421CCC,24ABAB8B06281B4C,C252E8FA117AF049,A7A32CD03D3C| 8D5,3F9FBD883D787341);iiiiii| no rows select

44、ediiii|SQL select username,password from dba_users where password in(F894844C344021 |B67,3DF26A8B17D0F29F,FA1D2B85B70213F3,72E382A52E89575A,8CDB9B662C4| |289FF,8136F9C3050F2358);11IIIIusernamepasswordISCOTTF894844C34402B67IITSMSYS3DF26A8B17D0F29F|SQL select username,password from dba_users where pas

45、sword in(88A2B2Cl8343l I |f00,84B8CBCA4D477FA3,3FB8EF9DB538647C,79DF7A1BD138CF11,F9DA8977092 | |b7B81,9300C0977D7DC75E);USERNAMEPASSWORDl |OLAPSYS3FB8EF9DB538647CORDPLUGINS88A2B2C183431F00|sI_INFORMTN_SCHEMA 84B8CBCA4D477FA3II|SQL select username,password from dba_users where password in(F25A184809D

46、641 |58D,8136F9C3050F2358,72979A94BAD2AF80,A97282CE3D94E29F,7EFA02EC7EA | i.i|6B86F);USERNAMEPASSWORDiMDSYS72979A94BAD2AF80IORDSYS7EFA02EC7EA6B86FI1I解决方案：暂不处理。5、回退措施：Oracle数据库安全加固操作回退措施：fbaSh-3.爲 mv$ORACLE_HOME7network7admin/iistener:ora:org$ORAnooME/neiIIiwork/admin/listener .ora|bash-3.2$ mv $ORACLE_HOME/network/admin/sqlnet .ora.org $ORACLE_HOME/netw | |ork/admin/sqlnet .ora