oracle安全基线

《oracle安全基线》由会员分享，可在线阅读，更多相关《oracle安全基线（22页珍藏版）》请在装配图网上搜索。

1、Oracle数据库安全配置基线加固操作指导书佛山供电局信息中心2014年4月目录1.1 Oracle数据库安全配置基线 21.1.1 确保数据库多余用户已锁定 21.1.2 口令力口密31.1.3 数据库SYSDBA 帐号登录控制 31.1.4 口令应有复杂度要求 51.1.5 应启用登录失败处理功能 91.1.6 网络通信加密101.1.7 应对数据库主机管理员帐号进行控制 101.1.8 依据安全策略控制用户对资源的访问 121.1.9 实现管理用户的权限分离 131.1.10 应对数据库数据字典保护 141.1.11 确保安全审计配置符合安全审计策略的要求 151.1.12 应保护审计记

2、录避免受到破坏 171.1.13 数据库系统应遵循最小安装的原则 171.1.14 应设置监听口令 171.1.15 应设置监听服务空闲连接超时时间 191.1 Oracle数据库安全配置基线1.1.1 确保数据库多余用户已锁定基线要求查看Oracle用户列表，确保数据库多余用户已锁定基线标准SYS/SYSMAN/SYSTEM和单独创建的业务账户外，其余账户均已锁定检查方法利用sqlplus登录进oracle数据库执行下列语句查看所有用户：select * from all_users;加固方法根据需要执行下列语句：alter user username（需要锁定的用户名）lock;（锁定用户

3、）drop user username （需要删除的用户名）cascade;（删除用户）一般不要去删除1.1.2 口令加密基线要求口令加密基线标准Sqlnet.ora 文件中的 ORA_ENCRYPT_LOGIN=TRUE init.ora 文件中的 dblink_encrypt_long=TRUE检查方法检测 $ORACLE_HOMEnetworkadmin目 录下的 Sqlnet.ora 文件中的ORA_ENCRYPT_LOGIN确保设为TRUE保证客户端口令力口密检测 $ORACLE_HOME/dbfe下的 init.ora 文件中的 dblink_encrypt_long 参数确保设为

4、TRUE保证服务器口令加密加固方法设置 $ORACLE_HOMEnetworkadmin目 录下的 Sqlnet.ora 文件中的ORA_ENCRYPT_LOGIN为TRUE保证客户端口令力口密设置$ORACLE_HOME/dbfe下的 init.ora 文件中的 dblink_encrypt_long参数为TRUE保证服务器口令加密1.1.3数据库SYSDBA帐号登录控制基线要求数据库SYSDBA帐号登录控制基线标准禁止远程登录（同时禁止远程和自动登录会sys用户无法登录数据库）检查方法1、远程登录利用sqlplus登录进oracle数据库使用 show parameter 命令来检查参数

5、REMOTE_LOGIN_PASSWORDFI“置为 NONE执行语句：Show parameter REMOTE_LOGIN_PASSWORDFILE;Ml 2 、自动登录在服务器上查找 SQLNET.ORA文件，一般是$ORACLE_HOME/network/admin目录中，不过有时路径会不一样（按实际情况查找，直接采用搜索功能也可）。查看该文件 SQLNET.AUTHENTICATION_SERVICES,确保为 none加固方法1、远程登录在 spfile 中设置 REMOTE_LOGIN_PASSWORDFILE=NONE SYSDBAi户从远程登陆 alter spfile RE

6、MOTE_LOGIN_PASSWORDFILE=NONE执行下列四个步骤：1、conn / as sysdba;2、 alter system set remote_login_passwordfile=none scope=spfile;3、shutdown immediate;（注意这里要重启才生效）4、Startup;Dadr通匕店写a inountpd.口甘.SQL shnu parwrer rfmoteogin_passuttrdF11 e;MAULlFLrriwt n _ 1 nii n pa-s iniiB(l f 1 Ip5trinj，型:匚、QL2、自动登录在$ORACLE_

7、HOMEnetworkadmin 目录下的 Sqlnet.ora 文件中设置SQLNET.AUTHENTICATION_SERVICES=(NONE)- lii草率文静g嗡IS通格式加重片旧书尉限Jit sqlntc.ora NtiMrk ComllgurAtln 111#: D：oriaci?|ijediuct.l9.1 -BVlb_l upti n r)lnrt .(irnIt Generated Uy Oracle canf iguration tools.中 M K T . 制 ITH1s HT rtflTI 限二底 HUT DENA IF 5. DI RECTO RV PiTH- (

8、THIS HAWS, FZCOHKCT)%! lii t . rscp!rf_t iiw id1.1.4 口令应有复杂度要求基线要求数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求 并定期更换；基线标准PASSWORD_LIFE_TIME: 口令有效时间password_life_time= 90PASSWORD_LOCK_TIME:登录超过有效次数锁定时间password_lock_time=10*1/1440PASSWORD_REUSE_MAX: 口令历史记录保留次数 password_reuse_ max=5PASSWORD_REUSE_TIME: 口令再次被使用的间

9、隔时间password_reuse_ time= 365检查方法利用sqlplus登录进oracle数据库查询视图dba_profiles和dba_usres来检查profile确保已修改。执行语句查看：select * from dba_profiles order by PROFILE;加固方法密码长度检测：创建函数CREATE OR REPLACE FUNCTION my_verify_function(username varchar2,password varchar2,old_password varchar2)RETURN boolean ISn boolean;m intege

10、r;differ integer;isdigit boolean;ischar boolean;ispunct boolean;digitarray varchar2(20);punctarray varchar2(25);chararray varchar2(52);BEGINdigitarray:= 0123456789,;chararray:=abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ; punctarray:=!#$%&()*+,-/:;?_;-Check if the password is same as the use

11、rnameIF NLS_LOWER(password) = NLS_LOWER(username) THENraise_application_error(-20001, Password same as or similar to user); END IF;-Check for the minimum length of the passwordIF length(password) 8 THENraise_application_error(-20002, Password length less than 4);END IF;-Check if the password is too

12、simple. A dictionary of words may be-maintained and a check may be made so as not to allow the words-that are too simple for the password.IF NLS_LOWER(password) IN (welcome, database, account, user, password, oracle, computer, abcd) THEN raise_application_error(-20002, Password too simple);END IF;-

13、-Check if the password contains at least one letter, one digit and one- -punctuation mark.- -1. Check for the digit isdigit:=FALSE;m := length(password);FOR i IN 1.10 LOOPFOR j IN 1.m LOOPIF substr(password,j,1) = substr(digitarray,i,1) THEN isdigit:=TRUE;GOTO findchar;END IF;END LOOP;END LOOP;IF is

14、digit = FALSE THEN raise_application_error(-20003, Password should contain at least one digit, one character and one punctuation);END IF;- -2. Check for the characterischar:=FALSE;FOR i IN 1.length(chararray) LOOPFOR j IN 1.m LOOPIF substr(password,j,1) = substr(chararray,i,1) THEN ischar:=TRUE;GOTO

15、 findpunct;END IF;END LOOP;END LOOP;IF ischar = FALSE THENraise_application_error(-20003, Password should contain at least one digit, one character and one punctuation);END IF;- -3. Check for the punctuation ispunct:=FALSE;FOR i IN 1.length(punctarray) LOOPFOR j IN 1.m LOOPIF substr(password,j,1) =

16、substr(punctarray,i,1) THEN ispunct:=TRUE;GOTO endsearch;END IF;END LOOP;END LOOP;IF ispunct = FALSE THENraise_application_error(-20003, Password should contain at least onedigit, one character and one punctuation);END IF;-Check if the password differs from the previous password by at least-3 letter

17、sIF old_password IS NOT NULL THENdiffer := length(old_password) - length(password);IF abs(differ) 3 THENIF length(password) length(old_password) THENm := length(password);ELSEm := length(old_password);END IF;differ := abs(differ);FOR i IN 1.m LOOPIF substr(password,i,1) != substr(old_password,i,1) T

18、HENdiffer := differ + 1;END IF;END LOOP;IF differ linil TEDDcrmii r“snub mtrie niKi ioH“swuuMLdcrmii i”隘mo 崎 nci21J1JALTER PROFILE DEFAULT LIMITFAILED_LOGIN_ATTEMPTS 5;修改后：再次查看1.1.6 网络通信加密基线要求网络通信加密基线标准启用网络通信加密检查方法如果米取远程管理，确保米用加密的方式。Oracle远程管理加密可以通过Oracle Net Manager （网络管理器）工具实现，确保使用该工具 进行远程管理加固方法Or

19、acle远程管理通过 Oracle Net Manager（网络管理器）工具实现1.1.7 应对数据库主机管理员帐号进行控制基线要 求应对数据库主机管理员帐号进行控制。基线标准禁止使用oracle或administrator作为数据库主机管理员帐号检查方 法首先，利用sqlplus登录进oracle数据库方法一：cmd-输入命令sqlplus / as sysdba进入到数据库中方法二：登录方式一：1、打开oracle 客户端：2、登录 oracle:3、注意：host string（主机字符串）就是准备登录的数据库名，一般默认登录开启的那个数据库，所以通常不用填。4、登入后界面：运行-输入

20、sqlplusw o加固方法1.1.8 依据安全策略控制用户对资源的访问基线要求应启用访问控制功能，依据安全策略控制用户对资源的访问；基线标准1、数据库相关文件目录权限设置2、关闭XDB服务，禁止PL/SQL外部过程（独立）3、数据库安装、数据文件、备份等目录的权限应< 755 , windows平台则everyone用户没有写权限；检查1、检查数据库安装、数据文件、备份等目录，权限应 ihHJia pjrjiKttr 11MHlL_，；r，Ul gNMMETYPEIMUE1 h . mi nnrHi tnn mm n mwh vm. 31Mlit trailtrf.nzJwj通过设置参

21、数audit_trail = db或os来启用数据库审计注意：(DB启用数据库审计并引导所有审计记录到数据库的审计跟踪OS启用数据库审计并引导所有审计记录到操作系统的审计跟踪。可以用AUDIT_FILE_DEST初始化参数来指定审计文件存储的目录。2、create table login_log -登入登出信息表(session_id int not null, - sessionidlogin_on_time date,-登入时间login_off_time date,-登出时间user_in_db varchar2(30),-登入的 db usermachine varchar2(20),

22、-机器名ip_address varchar2(20), - ip地址run_program varchar2(20)-以何程序登入);create or replace trigger login_on_info -记录登入信息的触发器after logon on databaseBegininsert into login_log(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)select AUDSID,sysdate,null,sys.login_user,machine

23、,SYS_CONTEXT(USERENV,IP_ADDRESS),programfrom v$session where AUDSID = USERENV(SESSIONID);-常前 SESSIONEND;create or replace trigger login off info -记录登出信息的触发器before logoff on databaseBeginupdate login_log set login_off_time = sysdatewhere session_id = USERENV(SESSIONID);-当前 SESSIONexceptionwhen others

24、 thennull;END;1.1.12 应保护审计记录避免受到破坏基线要求应保护审计记录，避免受到未预期的删除、修改或覆盖等基线标准保护审计记录，日,忐文件权限为640检查方法查看审计记录，默认路径为 $oracle_home/rdbms/audit/确保日志保存要求大于2个月，确保日志文件权限设置为：640加固方法1、日志默认保存大于两个月2、使用chmod命令设置审计记录权限不超过640 ;，默认路径为$oracle_home/rdbms/audit/1.1.13 数据库系统应遵循最小安装的原则基线要求数据库系统应遵循最小安装的原则，仅安装需要的组件和应用程序， 并通过设置升级服务器等方

25、式保持系统补丁及时得到更新。基线标准补丁取新检查方法1、使用sqlplus输入select * from v$version;命令，查看数据库版本，10g应至少：10.2.0. 5.122、数据库扫描工具扫描是否有补丁漏洞加固方法下载安装最新的补丁（注意：该操作存在影响业务的风险）1.1.14 应设置监听口令基线要求应设置监听口令。基线标准为监听器设置口令检查方法利用sqlplus登录进oracle数据库。检查 $ORACLE_HOME/network/admin/listener.ora文件中确保设置参数加固方法通过下面命令设置密码:1、在sql中输入:$ Isnrctl却LA2、在弹出的界

26、面中:PASSWORDS_LISTEN E函接用搜索功能搜索 listener.ora 文件）卜 1- ljicwKH IH iMini.rE IAM413 - 一 U Ei WFi i llil LIlfiiKH -I |G1 -（|B1 Mut： * rhlp nn nuijfEtFK i mKA IH - IT躅$ IbnrcLi ;弹出:LSNRCTL change_passwordOld password:（以前的密码，没有设置，则为空，直接回车）New password:（设置新的密码）Reenter new password:（再次输入新密码）Connecting to(DESC

27、RIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)Password changed for LISTENERThe command completed successfullyLSNRCTL save_config1 f-iijr MTi iEI时.l RLW - P1qNweitJ心fi 小胖 kSHI9 19:1On口3nnight Cc 991. 2由0ML Orac 1b . All rightsUf： Ieuw to I4MRGT1 tyiw l,Twlp,fi for MifnrwRt inn.LSM

28、RCTljaaaatKiEd;ML UftlH!3 unde11 Inedl iAi mh dl ,cs iro rd r 1必 hnLpJJINRl TIi cOU jpn法笄wnyd l btew n由eQoM; KEenter dlew pas2tMirdS SrmeMlN m 1EGGR1P11 !N- A C DUES E F通umhuZ uhulyod fut- LII The gQiwiaid首1WC.串LMTKT Lig,timeul.lnS u D tSCM PT I ON PCDAEG S =FPo&0 L-1PC KEV Ek7PJHJO2mhM LtSTEMLH上岁”即

29、L磨炉c.LmniH* PnEiBif11 Pile 1 5im:kMpreduJ .flMJh.l wtuwrliX/idminHi*.nFJlOld Fardiwtep Kile 心=5a*。he UPuductMU_ 1.t hKipKadlrainxl 1teoe8bak I Ihe fu rwianii iLiiiiifi Leted siKcesaf ill l1 INFTI .修改后查看交怦Q) 密&q Hit, U或E I。与JteEJ(lCtL_HlK - C:CraC.ltVpHOiClUCtlirl rlCO_1Jii(FlIEflflR - -刖LI%TFMFR -(t

30、ESCBIPIflUlVLISI -(BrSCRIFTlOH (AMRFSS LI1ST -(AMHE5s - (iPiHniocOL , iPotKEV - imocjji)旧眄标器LIFT -(AKHE5S - (FROtaCDL , ICFJitUCSI - Z 1W1 -3qnfrap) (FUi t - 15?1) jfasswhk 1 i与置产口群/ficm 割hergdikFdiif -MJ BV 1IL5I 26-届月 -?Bi? is ；33；5-WSWRK L | UMN-I CflRF CW 即口看1.1.15 应设置监听服务空闲连接超时时间基线要求应设置监听服务空闲连接

31、超时时间。基线标准超时时间10分钟检查方法利用sqlplus登录进oracle数据库。检查 $ORACLE_HOMEnetworkadmin目录下找到sqlnet.ORA文件，查看SQLNET.EXPIRE_TIME 确保为 10分钟检查 $ORACLE_HOMEnetworkadmin目录下的listener.ora文件，确保connect_timeout_listener=10 （分钟）加固方法编辑 $ORACLE_HOMEnetworkadmin目 录下的listener.ora文件，修改connect_timeout_listener=10 （分钟）编辑 $ORACLE_HOMEnetworkadmin目录下找到sqlnet.ORA文件，查看SQLNET.EXPIRE_TIME 确保为 10分钟