oracle安全基線_第1頁
oracle安全基線_第2頁
oracle安全基線_第3頁
oracle安全基線_第4頁
oracle安全基線_第5頁
已閱讀5頁,還剩17頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Oracle數(shù)據(jù)庫安全配置基線加固操作指導(dǎo)書佛山供電局信息中心2014年4月目錄TOC o 1-5 h z HYPERLINK l bookmark2 Oracle數(shù)據(jù)庫安全配置基線2確保數(shù)據(jù)庫多余用戶已鎖定2 HYPERLINK l bookmark4 口令加密3 HYPERLINK l bookmark6 1.1.3數(shù)據(jù)庫SYSDBA帳號登錄控制3 HYPERLINK l bookmark10 口令應(yīng)有復(fù)雜度要求5 HYPERLINK l bookmark22 應(yīng)啟用登錄失敗處理功能9 HYPERLINK l bookmark24 網(wǎng)絡(luò)通信加密10應(yīng)對數(shù)據(jù)庫主機(jī)管理員帳號進(jìn)行控制10 HY

2、PERLINK l bookmark26 依據(jù)安全策略控制用戶對資源的訪問12 HYPERLINK l bookmark28 實現(xiàn)管理用戶的權(quán)限分離13 HYPERLINK l bookmark30 應(yīng)對數(shù)據(jù)庫數(shù)據(jù)字典保護(hù)14 HYPERLINK l bookmark34 確保安全審計配置符合安全審計策略的要求15應(yīng)保護(hù)審計記錄避免受到破壞17數(shù)據(jù)庫系統(tǒng)應(yīng)遵循最小安裝的原則17應(yīng)設(shè)置監(jiān)聽口令17 HYPERLINK l bookmark36 應(yīng)設(shè)置監(jiān)聽服務(wù)空閑連接超時時間191.1Oracle數(shù)據(jù)庫安全配置基線1.1.1確保數(shù)據(jù)庫多余用戶已鎖定基線要求查看Oracle用戶列表,確保數(shù)據(jù)庫多余用

3、戶已鎖定基線標(biāo)準(zhǔn)SYS/SYSMAN/SYSTEM和單獨(dú)創(chuàng)建的業(yè)務(wù)賬戶外,其余賬戶均已鎖定檢査方法利用sqlplus登錄進(jìn)oracle數(shù)據(jù)庫執(zhí)行下列語句查看所有用戶:select*fromall_users;-I-di-E*JibrL”unAll,anaF41WI1rnvi4+Stll-11rriatpaiI用SM-,35d-1111LImai=*131-1-M-11ii-&Sn-11*1iiTtIi-P1aijM11aalLaLKfIIcr*14,口Af|亠IWW-ariiTrfAlFl*731!j-11i|PVWVH1-3HiitiVSMl1Hi-M4*?加固方法根據(jù)需要執(zhí)行下列語句:al

4、teruserusername(需要鎖定的用戶名)lock;(鎖定用戶)dropuserusername(需要刪除的用戶名)cascade;(刪除用戶)一般不要去刪除1.1.2口令加密基線要求口令加密基線標(biāo)準(zhǔn)Sqlnet.ora文件中的ORA_ENCRYPT_LOGIN=TRUEinit.ora文件中的dblinkencryptlong=TRUE檢査方法檢測$ORACLE_HOMEnetworkadmin目錄下的Sqlnet.ora文件中的ORA_ENCRYPT_LOGIN參數(shù)確保設(shè)為TRUE,保證客戶端口令加密檢測$ORACLE_HOME/dbs目錄下的init.ora文件中的dblink_

5、encrypt_long參數(shù)確保設(shè)為TRUE,保證服務(wù)器口令加密加固方法設(shè)置$ORACLE_HOMEnetworkadmin目錄下的Sqlnet.ora文件中的ORA_ENCRYPT_LOGIN參數(shù)為TRUE,保證客戶端口令加密設(shè)置$ORACLE_HOME/dbs目錄下的init.ora文件中的dblink_encrypt_long參數(shù)為TRUE,保證服務(wù)器口令加密1.1.3數(shù)據(jù)庫SYSDBA帳號登錄控制基線要求數(shù)據(jù)庫SYSDBA帳號登錄控制基線標(biāo)準(zhǔn)禁止遠(yuǎn)程登錄(同時禁止遠(yuǎn)程和自動登錄會sys用戶無法登錄數(shù)據(jù)庫)檢査方法1、遠(yuǎn)程登錄利用sqlplus登錄進(jìn)oracle數(shù)據(jù)庫使用showpara

6、meter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE確保設(shè)置為NONE。執(zhí)行語句:ShowparameterREMOTE_LOGIN_PASSWORDFILE;2、自動登錄在服務(wù)器上查找SQLNET.ORA文件,一般是$ORACLE_HOME/network/admin目錄中,不過有時路徑會不一樣(按實際情況查找,直接采用搜索功能也可)。查看該文件SQLNET.AUTHENTICATION_SERVICES的值,確保為none加固方法1、遠(yuǎn)程登錄在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠(yuǎn)程登陸。altersp

7、fileREMOTE_LOGIN_PASSWORDFILE=NONE執(zhí)行下列四個步驟:1、conn/assysdba;2、altersystemsetremote_login_passwordfile=nonescope=spfile;3、shutdownimmediate;(注意這里要重啟才生效)4、Startup;1.1.4口令應(yīng)有復(fù)雜度要求基線要求數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換;基線標(biāo)準(zhǔn)PASSWORD_LIFE_TIME:口令有效時間password_life_time=90PASSWORD_LOCK_TIME:登錄超過有效次數(shù)鎖定時間p

8、asswordlocktime=10*l/1440PASSWORD_REUSE_MAX:口令歷史記錄保留次數(shù)password_reuse_max=5PASSWORD_REUSE_TIME:口令再次被使用的間隔時間passwordreusetime=365檢査方法利用sqlplus登錄進(jìn)oracle數(shù)據(jù)庫查詢視圖dba_profiles和dba_usres來檢查profile確保已修改。執(zhí)行語句查看:select*fromdbaprofilesorderbyPROFILE;加固方法密碼長度檢測:創(chuàng)建函數(shù)CREATEORREPLACEFUNCTIONmy_verify_function(usern

9、amevarchar2,passwordvarchar2,old_passwordvarchar2)RETURNbooleanISnboolean;minteger;differinteger;isdigitboolean;ischarboolean;ispunctboolean;digitarrayvarchar2(20);punctarrayvarchar2(25);chararrayvarchar2(52);BEGINdigitarray:=0123456789;chararray:=abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ

10、;punctarray:=!#$%&-Check訐thepasswordissameastheusernameIFNLS_LOWER(password)=NLS_LOWER(username)THENraise_application_error(-20001,Passwordsameasorsimilartouser);ENDIF;-CheckfortheminimumlengthofthepasswordIFlength(password)8THENraise_application_error(-20002,Passwordlengthlessthan4);ENDIF;-Check訐th

11、epasswordistoosimple.Adictionaryofwordsmaybe-maintainedandacheckmaybemadesoasnottoallowthewords-thataretoosimpleforthepassword.IFNLS_LOWER(password)IN(welcome,database,account,user,password,oracle,computer,abed)THENraise_application_error(-20002,Passwordtoosimple);ENDIF;-Checkfthepasswordcontainsatl

12、eastoneletter,onedigitandone-punctuationmark.-1.Checkforthedigitisdigit:=FALSE;m:=length(password);FORiIN1.10LOOPFORjIN1.mLOOPIFsubstr(password,j,1)=substr(digitarray,i,1)THENisdigit:=TRUE;GOTOfindchar;ENDIF;ENDLOOP;ENDLOOP;IFisdigit=FALSETHENraise_application_error(-20003,Passwordshouldcontainatlea

13、stonedigit,onecharacterandonepunctuation);ENDIF;-2.Checkforthecharacterischar:=FALSE;FORiIN1.length(chararray)LOOPFORjIN1.mLOOPIFsubstr(password,j,1)=substr(chararray,i,1)THENischar:=TRUE;GOTOfindpunct;ENDIF;ENDLOOP;ENDLOOP;IFischar=FALSETHENraise_application_error(-20003,Passwordshouldcontainatleas

14、tonedigit,onecharacterandonepunctuation);ENDIF;-3.Checkforthepunctuationispunct:=FALSE;FORiINl.length(punctarray)LOOPFORjIN1.mLOOPIFsubstr(password,j,1)=substr(punctarray,i,1)THENispunct:=TRUE;GOTOendsearch;ENDIF;ENDLOOP;ENDLOOP;IFispunct=FALSETHENraise_application_error(-20003,Passwordshouldcontain

15、atleastonedigit,onecharacterandonepunctuation);ENDIF;-Checkfthepassworddiffersfromthepreviouspasswordbyatleast-3lettersIFold_passwordISNOTNULLTHENdiffer:=length(old_password)-length(password);IFabs(differ)3THENIFlength(password)length(old_password)THENm:=length(password);ELSEm:=length(old_password);

16、ENDIF;differ:=abs(differ);FORiIN1.mLOOPIFsubstr(password,i,1)!=substr(old_password,i,1)THENdiffer:=differ+1;ENDIF;ENDLOOP;IFdifferCSirtUAtT土品2、登錄oracle:3、注意:hoststring(主機(jī)字符串)就是準(zhǔn)備登錄的數(shù)據(jù)庫名,一般默認(rèn)登錄開啟的那個數(shù)據(jù)庫,所以通常不用填。4、登入后界面:1時11p4lIAnmUsunm依據(jù)安全策略控制用戶對資源的訪問基線要求應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;基線標(biāo)準(zhǔn)1、數(shù)據(jù)庫相關(guān)文件目錄權(quán)限設(shè)置2

17、、關(guān)閉XDB服務(wù),禁止PL/SQL外部過程(獨(dú)立)3、數(shù)據(jù)庫安裝、數(shù)據(jù)文件、備份等目錄的權(quán)限應(yīng)LxjrtiiDgVOHiftCLETftiwPstarted.To桁1SstenGlolxal刖申口1犧耐也唧“耳FixSlzthits:Uddijshlc*Size*14575-65k&h4tak4SBuiFFers251432*叫t”RHndflBUHF1=SK0*1山屯bytVEDdkihiiM1Fioumtrd.*penedlshowptaiHiD-lvrail;N冊EIVPEOIUE詬1社屮T7*電*AIK5g-rH-W-嗚仙叭imJuIV.J-rrnlHm-IKS強(qiáng)胡H-3-1PASSW

18、ORDS_LISTENER。(直接用搜索功能搜索listener.ora文件).ltLltrLIGKHt-!Lisn-ClipRPG-lalbaiHhau-mi*士町葦乞J!.呼:MMICLIIET|姑口-IHa1KI-I岸時遼iriwd-irKnir-Hti|iIlkmHHSLAIHIMLI5r亠M?piiFE|MlitlLiar-ifKt用ilW.iPeissCT4imi:3i-檢查$ORACLE_HOME/network/admin/listener.ora文件中確保設(shè)置參數(shù)SjQltUnrctli1ConnectingtoPasswordchangedforLISTENERThecom

19、mandcompletedsuccessfullyLSNRCTLsaveconfigl.SHHCTI.Fijp32-Tiii.Windows:U::iiinI0U.J-Fi-ii1ih=i.iononLB1VGILcrianciBoassiwra?Oldrassword-1ftlliiteIlKUkJDESEIIIPTIinHLBS!IPE5CHIPTI0HRPPESSLIT-Lrisi:aiiniricml.SNHCTI.nHOK-C:(JKacIfBt-OdUCtXI0.1PIDCFROGRRHfKtprCC)PdesuorOehangsdlofL1JS1ENEJiLrit?i:onnidiitdccinipletedE;iu.DtfK:f|Connect

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論