Oracle数据库安全配置标准

《Oracle数据库安全配置标准》由会员分享，可在线阅读，更多相关《Oracle数据库安全配置标准（8页珍藏版）》请在装配图网上搜索。

1、XX公司Oracle数据库平安配置标准（试行）1 目的为保证公司应用系统的信息平安，规范数据库层面的平安配置操作，制定本标准。2 范围本标准适用于公司各个业务系统中运用的Oracle 10g及以上数据库系统。3 平安配置标准3.1 安装数据库的主机要求l 主机应当特地用于数据库的安装和运用；l 数据库主机避开安装在域限制器上；l 硬件要求请参考Oracle 10g及以上各发行版自带的发行说明；l 主机操作系统层面应当保证平安：Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上，数据库软件安装之前，应当保证主机操作系统层面的平安，须要对主机进行平安设置，补

2、丁更新，防病毒软件安装等。3.2 数据库补丁安装标准日常运行维护中假如Oracle推出新的补丁，则应依据基础平台运维管理方法的相关规定，在进行评估、验证之后，升级相关补丁。3.3 数据库口令平安配置标准3.3.1 密码困难性配置要求1. 密码长度至少为8位2. 必需为DBA帐户和一般帐户供应困难的口令，须要包含以下字符：n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符，如标点符号，, #, $, %, &, *等n 为用户建profile，调整PASSWORD_VERIFY_FUNCTION，对密码负载

3、度进行设置：策略平安设置配置说明口令的有效期PASSWORD_LIFE_TIME90天用户锁定FAILED_LOGIN_ATTEMPTS连续失败登录10次，用户锁定口令宽限期PASSWORD_GRACE_TIME7天用户被加锁天数PASSWORD_LOCK_TIME1天原有口令被修改多少次才能被重新运用PASSWORD_REUSE_MAX10次原有口令多少天能够被运用PASSWORD_REUSE_TIME300天备注：应用连接用户（包括监控及备份用户）的密码策略依据应用程序设置相关密码策略。3.3.2 创建应用账号并授权创建用户：SQLcreate user username identifi

4、ed by password;基本授权：SQLgrant connect,resource to username;创建表空间：SQLcreate tablespace tablespace_name datafile /home/oracle/tablespace_name.dbf size 500m;用户与表空间对应：SQLalter user username default tablespace tablespace_name;3.3.3 禁用不必要的数据库帐户针对每个数据库里的数据库帐号，确保没有测试帐号和无用的帐号存在。假如存在，应当刚好禁用。运用如下语句查看数据库账号，并锁定不必

5、要的账号SQL select username,password,account_status,default_tablespace from dba_users;SQL alter user test account lock;3.3.4 修改数据库缺省用户的初始密码在数据库安装时，应对数据库缺省用户的初始密码刚好进行修改。3.3.5 禁止操作系统与数据库间的单点登录除软件系统管理用户（如oracle，grid，splex）外不允许拥有command line的操作系统用户绕过数据库平安设置而干脆访问数据库，即不允许其余用户加入到dba组中。3.3.6 强制新用户登录时更改密码对于新增的数据

6、维护用户，在系统中设置自动限制强制首次登陆修改密码，操作吩咐如下：alter user username password expire;3.4 书目和文件平安标准3.4.1 数据库安装文件系统要求数据库软件应当安装在支持权限安排的分区文件系统上（如NTFS,EXT3等）。3.4.2 书目爱护配置要求受爱护的书目如下表所示：爱护的书目应用的权限%ORACLE_HOME% (Windows系统)Administrators：完全限制System：完全限制Authenticated Users：读取和执行、列出文件夹内容、读取Users:读取及运行、列出文件夹书目$ORACLE_HOME (Lin

7、ux/Unix系统)oracle属主用户: 读、写、执行oracle属组用户: 读、执行其它用户: 读、执行3.4.3 数据库限制文件配置要求对于control file的配置，要求数据库有2套或以上的Control file配置，以保证数据库的高平安性。3.4.4 数据库重做日志的配置要求对于数据库redo log的配置，要求依据至少3组或以上的redo log，每组redo log含2个或以上的成员进行配置。3.5 监听器平安配置标准3.5.1 设置监听器密码通过设置监听器密码可以阻挡大部分的菜鸟黑客的进攻，设置密码有两种方法，一种是通过lsnrctl吩咐来设置，另一种是干脆修改liste

8、ner.ora文件，第一种方法设置的密码是经过加密后存储在listener.ora中，而其次种方法是以明文的形式放在listener.ora中的，所以举荐运用第一种方式。详细吩咐如下：LSNRCTLset current_listener LSNRCTLchange_passwordold password: New password: Reenter new password: LSNRCTLset password Password: LSNRCTLsave_config设置好密码后，打开listener.ora，看是否有一条PASSWORDS_的记录，类似于PASSWORDS_LISTE

9、NER = F4BAA4A006C26134。为监听器设置了密码后，必需到客户端重新配置连接。上面的操作只适用于oracle 9i及以前的版本，Oracle10g以后，设置Listener密码已经不是平安检查的必要条件了，因为默认在10g里面除了启动监听的用户之外，其它用户都无法停止Listener（还有另外一些lsnrctl的吩咐也同样被禁止了，比如trace, reload等），即使Listener没有设置密码，因此对于Oracle10g及以上版本可不设置监听器密码。3.5.2 开启监听器日志开启监听器日志功能是为了捕获监听器吩咐和防止密码被暴力破解。开启监听器日志功能的吩咐为：LSNRC

10、TLset current_listener LSNRCTLset password Password: LSNRCTLset log_directory /network/adminLSNRCTLset log_file .logLSNRCTLset log_status onLSNRCTLsave_config通过运行上面的吩咐，监听器将会在/network/admin书目下创建一个.log日志文件，以后可以打开该文件查看一些常见的ORA-错误信息。3.5.3 设置ADMIN_RESTRICTIONS在listener.ora文件中设置了ADMIN_RESTRICTIONS参数后，当监听器

11、在运行时，不允许执行任何管理任何，届时，set吩咐将不行用，不论是在服务器本地还是从远程执行都不行，这时假如要修改监听器设置就只有手工修改listener.ora文件了，通过手工修改listener.ora，要使修改生效，只能运用lsnrctl reload吩咐或lsnrctl stop/start吩咐重新载入一次监听器配置信息。在listener.ora文件中手动加入下面这样一行：ADMIN_RESTRICTIONS_=ON3.5.4 爱护$TNS_ADMIN书目$TNS_ADMIN书目即我们通常看到的ORACLE_HOME/network/admin书目，它下面包含有listener.or

12、a，tnsnames.ora，sqlnet.ora，protocol.ora等重要配置文件，前面已经提到，监听器的密码就是保存在listener.ora中的，假如不爱护好，可能造成密码泄露，或整个文件被修改，这个书目下的listener.ora，sqlnet.ora，protocol.ora文件应当只开放给Oracle主账户（通常是oracle或Administrator），而其他账户不能有任何权限，tnsnames.ora文件在Linux或Unix系统上权限可以设置为0644，在windows上可以设置其他用户为阅读，读取权限。3.5.5 爱护TNSLSNR和LSNRCTL在Linux或Un

13、ix服务器上，应当将这两个文件的权限设为0751，假如想更严格一点，可以设为0700，这样就只有安装oracle时指定的宿主用户可以执行它们了，这两个文件位于ORACLE_HOME/bin书目下。爱护这两个文件的目的是为了防止黑客干脆破坏它们，假如tnslsnr被破坏，监听器确定不能启动，假如lsnrctl被破坏，可能植入恶意代码，在运行lsnrctl时就会执行其它黑客行为。3.5.6 移除不用的服务默认安装时，会安装一个PL/SQL外部程序（ExtProc）条目在listener.ora中，它的名字通常是ExtProc或PLSExtProc，但一般不会运用它，可以干脆从listener.or

14、a中将这项移除，因为对ExtProc已经有多种攻击手段了。有时可能会在多个实例之间拷贝listener.ora，请检查拷贝来的文件中是否含有不须要的服务，确保只留下的确须要的服务项目，削减监听器受攻击的面。3.5.7 数据库运用的端口当Oracle 10g选择TCP/IP网络协议后，数据库监听如下端口：端口协议平安配置说明依据应用实际须要进行配置TCP开放客户端连接端口3.6 数据库备份配置标准依据备份管理方法中的相关要求，运用备份工具，遵循并执行相关备份策略。3.7 数据库审计配置标准Oracle数据库对不用的数据库用户组设置不同的审计策略： （1）对于应用系统连接数据库用户（包括架构应用用

15、户和外挂应用用户），应通过密码封存的方式来限制此类用户干脆登录后台数据库的行为。在此基础上，可不对此类用户开启数据库审计日志。（2）对于批处理用户，首先要保证此类用户是独立的用户而不是数据库管理用户（即拥有sysdba和sysoper权限的用户），其次须要对此类用户的密码和用途进行严格管理，保证只有相应系统的应用系统管理员知悉此用户的密码并只将此用户用于批处理操作。在此基础上，可不对此类用户开启数据库审计日志。（3）对于数据库管理用户（即拥有sysdba和sysoper权限的用户），依据如下方式开启对该类用户全部操作的审计日志： alter system set audit_sys_opera

16、tions=TRUE scope=spfile; （重起生效）alter system set audit_trail=OS scope=spfile;（重起生效）（4）对于除上述用户和监控用户、备份用户之外的数据库用户，依据如下方式开启对ALTER、AUDIT、INSERT、DELETE、GRANT、LOCK、DROP TABLE, CREATE TABLE数据库操作的审计日志： 审计吩咐：AUDIT ALTER ANY TABLE;AUDIT INSERT ANY TABLE;AUDIT DELETE ANY TABLE;AUDIT LOCK any table;AUDIT DROP AN

17、Y TABLE;AUDIT CREATE ANY TABLE;audit grant any object privilege by access;audit grant any role by access;audit grant any privilege by access;-加上索引和视图：audit alter any index;audit drop any index;audit create any index;audit drop any view;audit create any view;-关闭审计noAUDIT ALTER ANY TABLE;noAUDIT INSER

18、T ANY TABLE;noAUDIT DELETE ANY TABLE;noAUDIT LOCK any table;noAUDIT DROP ANY TABLE;noAUDIT CREATE ANY TABLE;noaudit grant any object privilege ;noaudit grant any role ;noaudit grant any privilege ;-默认新建对象审计：SQL select * from all_def_audit_opts;ALT AUD COM DEL GRA IND INS LOC REN SEL UPD REF EXE FBK

19、REA- - - - - - - - - - - - - - -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/-audit alter on default by session;audit audit on default by session;audit delete on default by session;audit grant on default by access;audit lock on default by session;SQL select * from all_def_audit_opts;ALT

20、AUD COM DEL GRA IND INS LOC REN SEL UPD REF EXE FBK REA- - - - - - - - - - - - - - -S/S S/S -/- S/S A/A -/- -/- S/S -/- -/- -/- -/- -/- -/- -/-（5）鉴于实际工作中密码封存方式及密码的用途管理存在确定风险，对于上述（1）和（2）类用户需打开重要对象（静态参数表）的审计。 开启的审计内容包括：静态参数表的ALTER、AUDIT、INSERT、DELETE、DROP TABLE数据库操作的审计日志；GRANT操作的活动 “GRANT ANY OBJECT PRIVILEGE”项审计配置。4 制度说明权和施行日期4.1本标准由公司xx室负责说明和修订。4.1本标准自xxxx年x月x日起施行。