Oracle数据库安全配置规范
Oracle数据库安全配置规范
1.概述
1.1. 目的
本规范明确了Oracle数据库安全配置方面的基本要求。为了提高Oracle数据库的安全性而提出的。
1.2. 范围
本规范适用于XXXX使用的Oracle数据库版本。
2.配置标准
2.1. 帐号管理及认证授权
2.1.1.按照用户分配帐号
【目的】应按照用户分配账号,避免不同用户间共享账号。
【具体配置】
create user abc1 identified by password1;
create user abc2 identified by password2;
建立role,并给role授权,把role赋给不同的用户删除无关帐号
2.1.2.删除无用帐号
【目的】应删除或锁定与数据库运行、维护等工作无关的账号。
【具体配置】
alter user username lock;
drop user username cascade;
2.1.
3.限制DBA远程登录
【目的】限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
【具体配置】
1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止
SYSDBA用户从远程登陆。
2. 在a中设置SQLNET.AUTHENTICATION_SERVICES=NONE来
禁用 SYSDBA 角的自动登录。
【检测操作】
1. 以Oracle用户登陆到系统中。
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。
3. 使用show parameter命令来检查参数
REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
Show parameter REMOTE_LOGIN_PASSWORDFILE
4. 检查在$ORACLE_HOME/network/a文件中参数
SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
2.1.4.最小权限
【目的】在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
【具体配置】
!给用户赋相应的最小权限
grant权限 to username;
!收回用户多余的权限
revoke 权限 from username;
2.1.5.数据库角
【目的】使用数据库角(ROLE)来管理对象的权限。
oracle登录命令【具体配置】
1. 使用Create Role命令创建角。
2. 使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
【检测操作】
1. 以DBA用户登陆到sqlplus中。
2. 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是
否使用ROLE来管理对象权限。
2.1.6.用户属性
【目的】对用户的属性进行控制,包括密码策略、资源限制等。
【具体配置】
可通过下面类似命令来创建profile,并把它赋予一个用户
CREATE PROFILE app_user2 LIMIT
FAILED_LOGIN_ATTEMPTS 6
PASSWORD_LIFE_TIME 60
PASSWORD_REUSE_TIME 60
PASSWORD_REUSE_MAX 5
PASSWORD_VERIFY_FUNCTION verify_function
PASSWORD_LOCK_TIME 1/24
PASSWORD_GRACE_TIME 90;
ALTER USER jd PROFILE app_user2;
!可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和
账户的锁定方式等。
!可通过设置profile来限制数据库账户的CPU资源占用。
2.1.7.数据字典保护
【目的】启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
【具体配置】
通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字
典。
O7_DICTIONARY_ACCESSIBILITY = FALSE
【检测操作】
以普通dba用户登陆到数据库,不能查看X$开头的表,比如:
select * from sys. x$ksppi;
1. 以Oracle用户登陆到系统中。
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。
3. 使用show parameter命令来检查参数
O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。
Show parameter O7_DICTIONARY_ACCESSIBILITY
2.1.8.DBA组操作系统用户数量
【目的】限制在DBA组中的操作系统用户数量,通常DBA组中只有Oracle安装用户。
【具体配置】
通过/etc/passwd文件来检查是否有其它用户在DBA组中。
【检测操作】
无其它用户属于DBA组。或者
通过/etc/passwd文件来检查是否有其它用户在DBA组中。
2.2. 口令
2.2.1.口令复杂度
【目的】对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
【具体配置】
为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂
【检测操作】
修改密码为不符合要求的密码,将失败
alter user abcd1 identified by abcd1;将失败
2.2.2.口令期限
【目的】对于采用静态口令认证技术的数据库,账户口令的生存期不长于90
天。
【具体配置】
为用户建相关profile,指定PASSWORD_GRACE_TIME为90天【检测操作】
到期不修改密码,密码将会失效。连接数据库将不会成功
connect username/password报错
2.2.
3.口令历史
【目的】对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重
复使用最近5次(含5次)内已使用的口令。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。