Oracle数据库系统加固规范
- 格式:docx
- 大小:33.92 KB
- 文档页数:33
下载文档原格式
合集下载
(完整版)Oracle漏洞扫描安全加固
漏洞5.检查是否存在dvsys用户dbms_macadm对象(14)
漏洞6.检查是否数据库应配置日志功能(11)
漏洞7.检查是否记录操作日志(13)
漏洞8.检查是否记录安全事件日志(7)
漏洞9.检查是否根据业务要求制定数据库审计策略
漏洞10.检查是否为监听设置密码
漏洞11.检查是否限制可以访问数据库的地址(1)
SQL*Plus: Release 10.2.0.4.0 - Production on Thu Jan 9 11:33:56 2014
Copyright (c) 1982, 2007, Oracle. All Rights Reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
COUNT(*)
----------
0
解决方案:
暂时不处理。
漏洞5.检查是否存在dvsys用户dbms_macadm对象
类型:Oracle数据库类
问题:
SQL> select count(*) from dba_users where username='DVSYS';
COUNT(*)
----------
bash-3.2$ cp $ORACLE_HOME/network/admin/sqlnet.ora $ORACLE_HOME/network/admin/
Oracle数据库漏洞的解决方案全部执行完成后,需要重启Oracle实例来生效某些操作。
漏洞1.检查是否对用户的属性进行控制
*
ERROR at line 1:
漏洞6.检查是否数据库应配置日志功能(11)
漏洞7.检查是否记录操作日志(13)
漏洞8.检查是否记录安全事件日志(7)
漏洞9.检查是否根据业务要求制定数据库审计策略
漏洞10.检查是否为监听设置密码
漏洞11.检查是否限制可以访问数据库的地址(1)
SQL*Plus: Release 10.2.0.4.0 - Production on Thu Jan 9 11:33:56 2014
Copyright (c) 1982, 2007, Oracle. All Rights Reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
COUNT(*)
----------
0
解决方案:
暂时不处理。
漏洞5.检查是否存在dvsys用户dbms_macadm对象
类型:Oracle数据库类
问题:
SQL> select count(*) from dba_users where username='DVSYS';
COUNT(*)
----------
bash-3.2$ cp $ORACLE_HOME/network/admin/sqlnet.ora $ORACLE_HOME/network/admin/
Oracle数据库漏洞的解决方案全部执行完成后,需要重启Oracle实例来生效某些操作。
漏洞1.检查是否对用户的属性进行控制
*
ERROR at line 1:
Oracle数据库安全配置基线
Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南,以帮助确保数据库的安全性。
通过按照以下步骤进行配置,可以减少潜在的安全威胁和风险。
配置步骤
以下是Oracle数据库安全配置的基线步骤:
1. 安装最新的数据库补丁:确保在安装数据库之前,先安装最新的补丁程序,以修复已知的安全漏洞。
2. 禁用默认的系统帐户:在部署数据库之前,禁用默认的系统帐户(如SYSTEM、SYS、SYSMAN等),并创建自定义的管理员帐户。
3. 启用密码复杂性检查:使用强密码策略,确保数据库用户的密码具备足够的复杂性和强度。
4. 实施账户锁定策略:设置账户锁定策略,限制登录失败的次数,以防止暴力。
5. 限制数据库访问权限:核实数据库用户的访问权限,仅赋予他们所需的最低权限,以限制潜在的恶意操作。
6. 启用审计功能:启用Oracle数据库的审计功能,记录和监控数据库的所有活动,便于发现潜在的安全威胁。
7. 启用网络加密:使用SSL/TLS等加密协议,确保数据库与客户端之间的通信是安全和加密的。
8. 实施备份和恢复策略:定期备份数据库,并测试恢复过程,以防止数据丢失和灾难恢复。
9. 定期审查和更新安全配置:定期审查数据库的安全配置,并根据最新的安全标准和最佳实践的推荐,更新配置以提高安全性。
总结
通过遵循以上基线配置步骤,可以帮助提高Oracle数据库的安全性。
然而,在实际应用中,还应根据具体情况进行定制化的安全配置,并持续关注新的安全威胁和漏洞,及时进行更新和升级。
数据库加固方案
以我给的标题写文档,最低1503字,要求以Markdown 文本格式输出,不要带图片,标题为:数据库加固方案# 数据库加固方案## 1. 引言在当今信息化时代,数据库已成为企业信息系统的核心。
然而,随着互联网的快速发展,数据库面临着各种安全威胁。
为了保护数据库的安全性和完整性,数据库加固已成为企业不可或缺的一部分。
本文将介绍数据库加固的必要性,并提供一些常用的数据库加固方案。
## 2. 数据库加固的必要性数据库作为企业最重要的数据存储和处理工具之一,其安全性至关重要。
以下是数据库加固的必要性:### 2.1 数据保密性数据库中存储着企业的核心业务数据、客户信息等重要信息。
为了防止敏感数据被未授权的人员访问和泄露,需要采取措施保护数据库的数据保密性。
### 2.2 数据完整性数据库中的数据应该能够保证其完整性,即数据没有被非法篡改或意外破坏。
通过加固数据库,可以减少数据受到攻击和篡改的风险,保证数据的完整性。
### 2.3 数据可用性数据库作为企业信息系统的核心,其高可用性是非常重要的。
通过加固数据库,可以提高数据库的稳定性和可用性,减少系统故障以及非计划停机的风险。
## 3. 常用的数据库加固方案针对数据库的加固需求,以下是一些常用的数据库加固方案:### 3.1 强化系统安全性通过强化操作系统的安全性,可以提高数据库的整体安全性。
可以采取以下措施:- 及时安装操作系统的安全更新补丁;- 限制操作系统的访问权限;- 配置合适的防火墙规则,限制对数据库的访问;- 禁用不必要的服务和端口;- 加密操作系统的存储介质等。
### 3.2 数据库身份验证和访问控制合理的身份验证和访问控制是保护数据库的重要手段。
可以采取以下措施:- 为数据库设置强密码策略,并定期更改密码;- 限制只有授权用户才能访问数据库;- 细粒度的访问控制,根据用户角色和权限,控制其对数据库的操作;- 监控和记录数据库访问日志,及时发现异常行为;- 使用基于角色的访问控制工具,如Oracle的`Oracle Database Vault`。
Oracle数据库安全配置基线
4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置。
基线符合性判定依据
参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;
sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE。
基线符合性判定依据
上述账户口令均不能成功登录。
备注
3.1.5密码更改策略
安全基线项目名称
数据库管理系统Oracle密码更改策略安全基线要求项
安全基线项说明
Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。
检测操作步骤
1.以Oracle用户登陆到系统中;
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等;
2.可通过设置profile来限制数据库账户的CPU资源占用。
备注
2.1.4数据字典访问权限
安全基线项目名称
数据库管理系统Oracle数据字典访问权限策略安全基线要求项
安全基线项说明
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
备注
第3章口令
3.1口令安全
3.1.1账户口令的生存期
安全基线项目名称
数据库管理系统Oracle账户口令生存期安全基线要求项
安全基线项说明
在相应应用程序条件允许的情况下,对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
检测操作步骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/as sysdba’登陆到sqlplus环境中;
基线符合性判定依据
参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;
sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE。
基线符合性判定依据
上述账户口令均不能成功登录。
备注
3.1.5密码更改策略
安全基线项目名称
数据库管理系统Oracle密码更改策略安全基线要求项
安全基线项说明
Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。
检测操作步骤
1.以Oracle用户登陆到系统中;
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等;
2.可通过设置profile来限制数据库账户的CPU资源占用。
备注
2.1.4数据字典访问权限
安全基线项目名称
数据库管理系统Oracle数据字典访问权限策略安全基线要求项
安全基线项说明
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
备注
第3章口令
3.1口令安全
3.1.1账户口令的生存期
安全基线项目名称
数据库管理系统Oracle账户口令生存期安全基线要求项
安全基线项说明
在相应应用程序条件允许的情况下,对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
检测操作步骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/as sysdba’登陆到sqlplus环境中;
数据库安全性的加固与防护
数据库安全性的加固与防护现代社会中,数据库已经成为个人和组织存储、管理和访问大量数据的重要工具。
然而,随着数据库被广泛使用,数据库安全性问题变得越来越重要。
数据库安全性的加固和防护是保护数据免受非法访问和恶意攻击的关键。
本文将探讨数据库安全性的加固和防护方法,以帮助个人和组织保护他们的数据安全。
在加固和防护数据库的过程中,首先需要识别潜在的安全威胁。
数据库面临的主要安全威胁包括未经授权的访问、数据泄露、数据篡改和拒绝服务攻击。
针对这些威胁,可以采取如下措施:1. 数据加密:将敏感数据加密存储在数据库中是一种有效的防御措施。
使用对称加密和非对称加密算法可以保护数据的机密性和完整性。
此外,还可以对传输过程中的数据进行加密,以防止数据在传输中被篡改或窃取。
2. 强化访问控制:通过实施严格的访问控制政策,可以限制对数据库的访问权限。
这包括使用强密码策略、实施多因素身份验证和限制权限的原则。
只有经过授权的用户才能访问数据库,并且可以根据需要为每个用户分配最低权限,以减少潜在的风险。
3. 定期备份和恢复:定期备份数据库并保留多个副本是一种有效的防护方法。
这样,在数据丢失或遭到破坏时,可以迅速恢复数据。
备份的数据也应存储在安全的地方,以防止数据遭到攻击或损坏。
4. 更新和修补漏洞:定期更新数据库软件和相关补丁可以修复发现的安全漏洞,并提高数据库的安全性。
无论是操作系统还是数据库软件,都应定期检查并安装相关更新和补丁,以保持最新的安全性。
5. 审计和监控:通过实施审计和监控机制,可以监视数据库的访问和活动,并及时发现潜在的安全威胁。
这包括监控登录尝试、异常访问和数据变更等活动。
审计记录和日志应储存在安全的地方,并进行定期的检查和分析。
6. 敏感数据脱敏:将敏感数据的识别信息去除或替换为模拟数据,称为数据脱敏。
这对于需要共享或复制数据库内容的情况非常有用,以减少风险。
数据脱敏应基于实际风险和合规要求来进行,并且应在保护数据的同时保持数据可用性。
XXXOracle数据库安全加固方案
XXXOracle数据库安全加固方案2014年11月19日
前言
为规范Oracle数据库安全加固操作,全面系统地降低Oracle数据库面临的风险,及时堵塞漏洞,提高安全防护能力,特制订《XXXOracle数据库安全加固方案》。
本方案适用于Oracle数据库安全加固工作要求。
本方案由XXX负责起草设计。
本方案主要起草人:XXX。
目录
1.适用范围3
2.方案实施准备3
2.1 准备工作3
2.2 危险点分析及预控措施4
3.方案实施流程5
4.方案实施程序及标准6
5.方案实施操作记录13
XXXOracle数据库安全加固方案1.适用范围
本方案适用于XXX Oracle 8i、10g数据库安全加固。
2.方案实施准备
2.1 准备工作
2.2 危险点分析及预控措施
3.方案实施流程
4.方案实施程序及标准
5.方案实施操作记录
Oracle数据库安全加固操作记录见附录A。
附录A
Oracle数据库安全加固操作记录
编号:日期:年月日。
oracle安全基线
Oracle数据库安全配置基线加固操作指导书佛山供电局信息中心2014年4月目录1.1 Oracle数据库安全配置基线 (2)1.1.1 确保数据库多余用户已锁定 (2)1.1.2 口令加密 (3)1.1.3 数据库SYSDBA帐号登录控制 (3)1.1.4 口令应有复杂度要求 (5)1.1.5 应启用登录失败处理功能 (9)1.1.6 网络通信加密 (10)1.1.7 应对数据库主机管理员帐号进行控制 (10)1.1.8 依据安全策略控制用户对资源的访问 (12)1.1.9 实现管理用户的权限分离 (13)1.1.10 应对数据库数据字典保护 (14)1.1.11 确保安全审计配置符合安全审计策略的要求 (15)1.1.12 应保护审计记录避免受到破坏 (17)1.1.13 数据库系统应遵循最小安装的原则 (17)1.1.14 应设置监听口令 (17)1.1.15 应设置监听服务空闲连接超时时间 (19)1.1 Oracle数据库安全配置基线1.1.1 确保数据库多余用户已锁定利用sqlplus登录进oracle数据库执行下列语句查看所有用户:select * from all_users;1.1.2 口令加密1.1.3 数据库SYSDBA帐号登录控制1、远程登录利用sqlplus登录进oracle数据库使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE确保设置为NONE。
执行语句:Show parameter REMOTE_LOGIN_PASSWORDFILE;2、自动登录在服务器上查找 SQLNET.ORA 文件,一般是$ORACLE_HOME/network/admin 目录中,不过有时路径会不一样(按实际情况查找,直接采用搜索功能也可)。
查看该文件SQLNET.AUTHENTICATION_SERVICES的值,确保为none1、远程登录2、自动登录在$ORACLE_HOME\network\admin目录下的Sqlnet.ora文件中设置SQLNET.AUTHENTICATION_SERVICES=(NONE)1.1.4 口令应有复杂度要求1.1.5 应启用登录失败处理功能利用sqlplus登录进oracle数据库。
Oracle数据库安全配置规范
Oracle数据库安全配置规范1.概述1.1. 目的本规范明确了Oracle数据库安全配置方面的基本要求。
为了提高Oracle数据库的安全性而提出的。
1.2. 范围本规范适用于XXXX使用的Oracle数据库版本。
2.配置标准2.1. 帐号管理及认证授权2.1.1.按照用户分配帐号【目的】应按照用户分配账号,避免不同用户间共享账号。
【具体配置】create user abc1 identified by password1;create user abc2 identified by password2;建立role,并给role授权,把role赋给不同的用户删除无关帐号2.1.2.删除无用帐号【目的】应删除或锁定与数据库运行、维护等工作无关的账号。
【具体配置】alter user username lock;drop user username cascade;2.1.3.限制DBA远程登录【目的】限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
【具体配置】1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。
2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。
【检测操作】1. 以Oracle用户登陆到系统中。
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。
3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
等保测评oracle数据库加固
等保测评oracle数据库加固控制点安全要求要求解读测评⽅法预期结果或主要证据⾝份鉴别a)应对登录的⽤户进⾏⾝份标识和鉴别,⾝份标识具有唯⼀性,⾝份鉴别信息具有复杂度要求并定期更换应检查Oracle数据库的⼝令策略配置,查看其⾝份鉴别信息是否具有不易被冒⽤的特点,例如,⼝令⾜够长,⼝今复杂(如规定字符应混有⼤,⼩写字母数字和特殊字符),⼝令定期更新,新旧⼝令的替换要求1)访谈数据库管理员系统⽤户是否已设置密码,并查看登录过程中系统账户是否使⽤了密码进⾏验证登录2)查看是否启⽤⼝令复杂度函数: select limitfrom dba_profiles where profile= ' DEFAULT'and resource_name='PASSWORD_VERIFY_FUNCTION'3)检查utlpwdmg.sql 中“-- Check for theminimum length of the password“部分中“length(password)<"后的值4) PASSWORD_LIFE_TIME(⼝令过期时限)1)需要登录密码2)dba_profiles 策略中PASSWORD_VERIFY_FUNCTION'的值不为UNLLIMITED3)utlpwdmg.sql 中“-- Check for theminimum length of the password“部分中“length(password)<"后的值为8或以上4)dba_profiles策略中PASSWORD_LIFE_TIME不为UNLIMITEDb)应具有登录失败处理功能,应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动退出等相关措施应检查数据库系统,查看是否已配置了鉴别失败处理功能,并设置了⾮法登录次数的限制值,对超过限制值的登录终⽌其鉴别会话或临时封闭帐号。
ORACLE 安全加固操作步骤
ORACLE 安全加固操作步骤一、 安装ORACLE NET8二、 配置DB SCANNER扫描数据库0.安装DB SCANNER软件0.配置DB SCANNER(0)在DB SCANNER菜单scanner->configure connection->oracle中选择Add Server,出现如图信息:Server Name:连接符Protocol:选择TCP/IP SocketsSID:ORACLE数据库SIDHostname or IP address:为ORACLE数据库IP地址Port Oracle listens on:默认为1521(0)选择scan database->network neighborhood->oracle中oracle.world连接符(0)点击Add Database(0)填写DBA 帐户和密码,选择所制订的策略,Host Account与HostPassword为空操作系统处于安全状态在进行ORACLE数据库的安全配置之前,首先必须对操作系统进行安全配置,保证操作系统处于安全状态防止破坏者构造恶意的SQL语句对要使用的操作数据库软件(程序)进行必要的安全审核,很多基于数据库的WEB应用常出现的安全隐患,如ASP、PHP等脚本。
对于脚本主要是一个过滤问题,需要过滤一些类似 , ‘ ; @ / 等字符,防止破坏者构造恶意的SQL语句。
加载ORACLE最新补丁检查当前所有已安装的数据库产品的版本信息Oracle7 至 8.0:cd $ORACLE_HOME/orainst./inspdverOracle 8i 或更高:cd $ORACLE_HOME/installcat unix.rgsORACLE最新补丁下载地址是:删除或锁定不需要的缺省安装用户Oracle在建立数据库的时候会创建一系列用户帐号。
这些用户有系统管理员用户(SYSTEM, SYS),某些管理工具的帐号(如DBSNMP等),以及示例用户(如SCOTT)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
回退方案
还原添加或删除的权限
判断依据
业务测试正常
实施风险
高
重要等级
★
备注
1.1.5SHG-Oracle-01-01-05
[编号
SHG-Oracle-01-01-05
名称
数据库角色
实施目的
使用数据库角色(ROLE)来管理对象的权限。
在spfile中设
置
REMOTE_LOGIN_PASSWORDFILE=NONE来
禁止
实施步骤
SYSDBA用户从远程登陆。在sqlnet.ora
中设置
SQLNET.AUTHENTICATION_SERVICES=NONE
来禁用
SYSDBA角色的自动登录。
回退方案
还原spfile,sqInet.ora文件配置
实施风险
高
重要等级
★★★
备注
1.1.4SHG-Oracle-01-01-04
编号
SHG-Oracle-01-01-04
名称
权限最小化
实施目的
在数据库权限配置能力内,根据用户的业务需要,配置其所 需的最小权限。
问题影响
账号权限越大,对系统的威胁性越高
系统当前状态
select * from user sys privs;
Oracle数据库系统加固规范
1账号管理、认证授权1
1.1账号1.…
1.1.1SHG-Oracle-01-01-011.…
1.1.2SHG-Oracle-01-01-022…
1.1.3SHG-Oracle-01-01-033…
1.1.4SHG-Oracle-01-01-044.…
1.1.5SHG-Oracle-01-01-055.…
REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
Show parameter REMOTE_LOGIN_PASSWORDFILE
4.检查在
$ORACLE_HOME/network/admi n/sql net.ora文件中参
数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
系统当前状态
select*fromall_users;
select*fromdba_users;
记录用户列表
实施步骤
1、参考配置操作
create user abc1 ide ntified by password^
create user abc2 identified by password2;
建立role,并给role授权,把role赋给不同的用户
备注
1.1.3SHG-Oracle-01-01-03
编号
SHG-Oracle-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备数据库超级管理员(SYSDBA)权限的用户远程登' J录0。
问题影响
允许数据库超级管理员远程非法登陆
系统当前状态
查看spfile,sqInet.ora内容
1、参考配置操作
1.2.3SHG-Oracle-01-02-0314..
1.2.4SHG-Oracle-01-02-04.15..
1.2.5SHG-Oracle-01-02-05.16..
2日志配置18
2.1.1SHG-Oracle-02-01-0118..
2.1.2SHG-Oracle-02-01-022.1..
记录用户列表
实施步骤
1、参考配置操作
alter user user name lock;//锁定用户
drop user user name cascade;//删除用户
回退方案
删除新增加的帐户
判断依据
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,
可以删除
实施风险
高
重要等级
★★★
select * from user_role_privs; select * from user_tab_privs;
记录用户拥有权限
实施步骤
1、参考配置操作
grant权限to user name;
revoke权限from user name;
2、补充操作说明
用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Oracle-01-01-02
编号
SHG-Oracle-01-01-02
名称
删除或锁定无效账号
实施目的
删除或锁定无效的账号,减少系统安全隐患。
问题影响
允许非法利用系统默认账号
系统当前状态
select*fromall_users;
select*fromdba_users;
判断依据
判定条件
1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。
2.在数据库主机上以sqlplus/as sysdba连接到数据
库需要输入口令。
检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus'/as sysdba'登陆至U sqlplus环境中。
3.使用show parameter命令来检查参数
2.1.3SHG-Oracle-02-01-0322..
2.1.4SHG-Oracle-02-01-0424..
3通信协议25
3.1.1SHG-Oracle-03-01-0125..
3.1.2SHG-Oracle-03-01-0226..
4设备其他安全要求28
4.1.1SHG-Oracle-04-01-0128..
4.1.2S
1.1.1 SHG-Oracle-O1-O1-O1
编号
SHG-Oracle-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
应按照用户分配账号,避免不同用户间共享账号,提高安全
性。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户, 取不同的名称;
回退方案
删除用户:例如创建了一个用户A,要删除它可以这样做
connect sys/密码as sysdba;
drop user A cascade;//就这样用户就被删除了
判断依据
标记用户用途,定期建立用户列表,比较是否有非法用户
1.1.6SHG-Oracle-01-01-067....
1.1.7SHG-Oracle-01-01-078....
1.1.8SHG-Oracle-01-01-08.10..
1.2口令.1.1....
1.2.1SHG-Oracle-01-02-011.1..
1.2.2SHG-Oracle-01-02-0212..
还原添加或删除的权限
判断依据
业务测试正常
实施风险
高
重要等级
★
备注
1.1.5SHG-Oracle-01-01-05
[编号
SHG-Oracle-01-01-05
名称
数据库角色
实施目的
使用数据库角色(ROLE)来管理对象的权限。
在spfile中设
置
REMOTE_LOGIN_PASSWORDFILE=NONE来
禁止
实施步骤
SYSDBA用户从远程登陆。在sqlnet.ora
中设置
SQLNET.AUTHENTICATION_SERVICES=NONE
来禁用
SYSDBA角色的自动登录。
回退方案
还原spfile,sqInet.ora文件配置
实施风险
高
重要等级
★★★
备注
1.1.4SHG-Oracle-01-01-04
编号
SHG-Oracle-01-01-04
名称
权限最小化
实施目的
在数据库权限配置能力内,根据用户的业务需要,配置其所 需的最小权限。
问题影响
账号权限越大,对系统的威胁性越高
系统当前状态
select * from user sys privs;
Oracle数据库系统加固规范
1账号管理、认证授权1
1.1账号1.…
1.1.1SHG-Oracle-01-01-011.…
1.1.2SHG-Oracle-01-01-022…
1.1.3SHG-Oracle-01-01-033…
1.1.4SHG-Oracle-01-01-044.…
1.1.5SHG-Oracle-01-01-055.…
REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
Show parameter REMOTE_LOGIN_PASSWORDFILE
4.检查在
$ORACLE_HOME/network/admi n/sql net.ora文件中参
数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
系统当前状态
select*fromall_users;
select*fromdba_users;
记录用户列表
实施步骤
1、参考配置操作
create user abc1 ide ntified by password^
create user abc2 identified by password2;
建立role,并给role授权,把role赋给不同的用户
备注
1.1.3SHG-Oracle-01-01-03
编号
SHG-Oracle-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备数据库超级管理员(SYSDBA)权限的用户远程登' J录0。
问题影响
允许数据库超级管理员远程非法登陆
系统当前状态
查看spfile,sqInet.ora内容
1、参考配置操作
1.2.3SHG-Oracle-01-02-0314..
1.2.4SHG-Oracle-01-02-04.15..
1.2.5SHG-Oracle-01-02-05.16..
2日志配置18
2.1.1SHG-Oracle-02-01-0118..
2.1.2SHG-Oracle-02-01-022.1..
记录用户列表
实施步骤
1、参考配置操作
alter user user name lock;//锁定用户
drop user user name cascade;//删除用户
回退方案
删除新增加的帐户
判断依据
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,
可以删除
实施风险
高
重要等级
★★★
select * from user_role_privs; select * from user_tab_privs;
记录用户拥有权限
实施步骤
1、参考配置操作
grant权限to user name;
revoke权限from user name;
2、补充操作说明
用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Oracle-01-01-02
编号
SHG-Oracle-01-01-02
名称
删除或锁定无效账号
实施目的
删除或锁定无效的账号,减少系统安全隐患。
问题影响
允许非法利用系统默认账号
系统当前状态
select*fromall_users;
select*fromdba_users;
判断依据
判定条件
1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。
2.在数据库主机上以sqlplus/as sysdba连接到数据
库需要输入口令。
检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus'/as sysdba'登陆至U sqlplus环境中。
3.使用show parameter命令来检查参数
2.1.3SHG-Oracle-02-01-0322..
2.1.4SHG-Oracle-02-01-0424..
3通信协议25
3.1.1SHG-Oracle-03-01-0125..
3.1.2SHG-Oracle-03-01-0226..
4设备其他安全要求28
4.1.1SHG-Oracle-04-01-0128..
4.1.2S
1.1.1 SHG-Oracle-O1-O1-O1
编号
SHG-Oracle-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
应按照用户分配账号,避免不同用户间共享账号,提高安全
性。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户, 取不同的名称;
回退方案
删除用户:例如创建了一个用户A,要删除它可以这样做
connect sys/密码as sysdba;
drop user A cascade;//就这样用户就被删除了
判断依据
标记用户用途,定期建立用户列表,比较是否有非法用户
1.1.6SHG-Oracle-01-01-067....
1.1.7SHG-Oracle-01-01-078....
1.1.8SHG-Oracle-01-01-08.10..
1.2口令.1.1....
1.2.1SHG-Oracle-01-02-011.1..
1.2.2SHG-Oracle-01-02-0212..