Oracle数据库系统加固规范.doc

Oracle数据库系统加固规范 目　录 1 账号管理、认证授权 1 1.1 账号 1 1.1.1 SHG-Oracle-01-01-01 1 1.1.2 SHG-Oracle-01-01-02 2 1.1.3 SHG-Oracle-01-01-03 3 1.1.4 SHG-Oracle-01-01-04 4 1.1.5 SHG-Oracle-01-01-05 5 1.1.6 SHG-Oracle-01-01-06 7 1.1.7 SHG-Oracle-01-01-07 8 1.1.8 SHG-Oracle-01-01-08 10 1.2 口令 11 1.2.1 SHG-Oracle-01-02-01 11 1.2.2 SHG-Oracle-01-02-02 12 1.2.3 SHG-Oracle-01-02-03 14 1.2.4 SHG-Oracle-01-02-04 15 1.2.5 SHG-Oracle-01-02-05 16 2 日志配置 18 2.1.1 SHG-Oracle-02-01-01 18 2.1.2 SHG-Oracle-02-01-02 21 2.1.3 SHG-Oracle-02-01-03 22 2.1.4 SHG-Oracle-02-01-04 24 3 通信协议 25 3.1.1 SHG-Oracle-03-01-01 25 3.1.2 SHG-Oracle-03-01-02 26 4 设备其他安全要求 27 4.1.1 SHG-Oracle-04-01-01 27 4.1.2 SHG-Oracle-04-01-02 29 账号管理、认证授权 账号 SHG-Oracle-01-01-01 编号 SHG-Oracle-01-01-01 名称 为不同的管理员分配不同的账号 实施目的 应按照用户分配账号，避免不同用户间共享账号,提高安全性。 问题影响 账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 select ? * ? from ? all_users; ? select ? * ? from ? dba_users; 记录用户列表 实施步骤 1、参考配置操作 create user abc1 identified by password1; create user abc2 identified by password2; 建立role，并给role授权，把role赋给不同的用户 补充操作说明 1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称； 回退方案 删除用户：例如创建了一个用户 A，要删除它可以这样做 connect sys/密码 as sysdba; drop user A cascade;//就这样用户就被删除了 判断依据 标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险 高 重要等级 ★★★ 备注 SHG-Oracle-01-01-02 编号 SHG-Oracle-01-01-02 名称 删除或锁定无效账号 实施目的 删除或锁定无效的账号，减少系统安全隐患。 问题影响 允许非法利用系统默认账号 系统当前状态 select ? * ? from ? all_users; ? select ? * ? from ? dba_users; 记录用户列表 实施步骤 1、参考配置操作 alter user username lock;//锁定用户 drop user username cascade;//删除用户 回退方案 删除新增加的帐户 判断依据 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除 实施风险 高 重要等级 ★★★ 备注 SHG-Oracle-01-01-03 编号 SHG-Oracle-01-01-03 名称 限制超级管理员远程登录 实施目的 限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。。 问题影响 允许数据库超级管理员远程非法登陆 系统当前状态 查看spfile,sqlnet.ora内容 实施步骤 1、参考配置操作 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。 回退方案 还原spfile,sqlnet.ora文件‘/as sysdba’连接到数据库需要输入口令。 检测操作 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。