Oracle数据库安全配置基线
ORACLE安全配置基线
profile and dba users . account status二'OPEN' and
resource 且拥e二'PASSWORD GRACE TIME'
基线符合性 判定依据 加固方案
查询结果中 PASSWORD GRACE TlME 小子等于 70 设置 PASSWORD_GRACE_TIME 小子等于 7
3)
将返回结果不必需的账号列表对比,如发现无关账号.表明不符
合安全要求 E 根据列表只保留必需!账号.结合实际情况锁定(或删除)无关账
号Q
锁定账号
删除账号
al ter
user <username> account lock;
dtop ilser 勺lsern础l e) cascad已 1
风险等级
高
1. 1 .2 眼制超级管理员远程登录
第 l 页共 6 页
ORACLE 安全配置基线
基线符合性 判定依据
07 DICTIONARY ACCESSIBILITYE Show parameter 07_DICTIONARY_ACCESSIBILITY 参数 07 DICTIONARY ACCESSIBILITY 是否设置为 FAL乒E
Ð7_DICTIONARY_ACCESSIBILITY 二 FAlβE 则表明符合安全要求。
风险等级
备注
高
密码过期后 7 天内不修改密码,密码将失效
1. 1. 7 口令复杂度策略
对于采用静态口令进行认证的数据库,口令长度至少 B 位,并包括数
安全基线项说明
字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不 得设置相同的口令。密码应至少每 90 天进行更换 。 以 Oracle 用户登陆到系统中;
Oracle数据库安全配置手册
Oracle数据库安全配置手册Version 1.0版本控制目录第一章目的与范围 (1)1.1目的 (1)1.2适用范围 (1)1.3数据库类型 (1)第二章数据库安全规范 (1)2.1操作系统安全 (1)2.2帐户安全 (2)2.3密码安全 (2)2.4访问权限安全 (2)2.5日志记录 (3)2.6加密 (3)2.7管理员客户端安全 (3)2.8安全补丁 (3)2.9审计 (3)第三章数据库安全配置手册 (4)3.1O RACLE数据库安全配置方法 (4)3.1.1 基本漏洞加固方法 (4)3.1.2 特定漏洞加固方法 (12)第一章目的与范围1.1 目的为了加强宝付的数据安全管理,全面提高宝付各业务系统的数据安全水平,保证业务系统的正常运营,提高业务服务质量,特制定本方法。
本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。
1.2适用范围本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。
1.3数据库类型数据库类型为Oracle 11g。
第二章数据库安全规范2.1 操作系统安全要使数据库安全,首先要使其所在的平台和网络安全。
然后就要考虑操作系统的安全性。
Oracle使用大量用户不需要直接访问的文件。
例如,数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。
因此,只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。
导出转储文件和其他备份文件也必须受到保护。
可以把数据复制到其他数据库上,或者是作为复制模式的一部分,或者是提供一个开发数据库。
若要保护数据的安全,就要对数据所驻留的每一个数据库及这些数据库的备份进行保护。
如果某人能从含有你的数据备份的数据库中带走备份磁带,那么你在数据库中所做的全部保密工作就失去意义。
必须防止对全部数据备份的非法访问。
2.2 帐户安全为了避免数据库帐户大量耗费系统资源,影响其它用户的正常访问,可以根据应用的实际需要,对数据库帐户所使用的资源(如CPU等)进行限制。
Oracle数据库安全配置基线
Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南,以帮助确保数据库的安全性。
通过按照以下步骤进行配置,可以减少潜在的安全威胁和风险。
配置步骤
以下是Oracle数据库安全配置的基线步骤:
1. 安装最新的数据库补丁:确保在安装数据库之前,先安装最新的补丁程序,以修复已知的安全漏洞。
2. 禁用默认的系统帐户:在部署数据库之前,禁用默认的系统帐户(如SYSTEM、SYS、SYSMAN等),并创建自定义的管理员帐户。
3. 启用密码复杂性检查:使用强密码策略,确保数据库用户的密码具备足够的复杂性和强度。
4. 实施账户锁定策略:设置账户锁定策略,限制登录失败的次数,以防止暴力。
5. 限制数据库访问权限:核实数据库用户的访问权限,仅赋予他们所需的最低权限,以限制潜在的恶意操作。
6. 启用审计功能:启用Oracle数据库的审计功能,记录和监控数据库的所有活动,便于发现潜在的安全威胁。
7. 启用网络加密:使用SSL/TLS等加密协议,确保数据库与客户端之间的通信是安全和加密的。
8. 实施备份和恢复策略:定期备份数据库,并测试恢复过程,以防止数据丢失和灾难恢复。
9. 定期审查和更新安全配置:定期审查数据库的安全配置,并根据最新的安全标准和最佳实践的推荐,更新配置以提高安全性。
总结
通过遵循以上基线配置步骤,可以帮助提高Oracle数据库的安全性。
然而,在实际应用中,还应根据具体情况进行定制化的安全配置,并持续关注新的安全威胁和漏洞,及时进行更新和升级。
数据库安全基线
Oracle数据库安全基线目录1.1.Oracle 数据库系统安全基线配置规范............... 错误!未定义书签。
1.1.1.Linux版本...................................... 错误!未定义书签。
1.1.1.1.删除无用帐号.................................... 错误!未定义书签。
1.1.1.2.默认帐号修改口令................................ 错误!未定义书签。
1.1.1.3.限制数据库SYSDBA帐号........................... 错误!未定义书签。
1.1.1.4.口令策略........................................ 错误!未定义书签。
1.1.1.5.帐号锁定策略.................................... 错误!未定义书签。
1.1.1.6.用户权限最小化.................................. 错误!未定义书签。
1.1.1.7.public权限..................................... 错误!未定义书签。
1.1.1.8.数据库角色管理.................................. 错误!未定义书签。
1.1.1.9.启用日志审计.................................... 错误!未定义书签。
1.1.1.10.日志记录及保存.................................. 错误!未定义书签。
1.1.1.11.日志文件保护.................................... 错误!未定义书签。
1.1.1.12.开启监听器日志.................................. 错误!未定义书签。
Oracle数据库系统安全加固规范
ELK-Oracle-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。。
问题影响
允许数据库超级管理员远程非法登陆
系统当前状态
查看spfile,sqlnet.ora内容
实施步骤
1、参考配置操作
在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。
示例:
SQL>CREATE OR REPLACE FUNCTION my_password_verify (username VARCHAR2 ,password VARCHAR2 ,old_password VARCHAR2 ) RETURN BOOLEAN IS
2 BEGIN
3 IF LENGTH(password) < 6 THEN
实施风险
高
重要等级
★
备注
1.1.5
编号
ELK-Oracle-01-01-05
名称
数据库角色
实施目的
使用数据库角色(ROLE)来管理对象的权限。
问题影响
账号管理混乱
系统当前状态
select * from dba_role_privs;
select * from user_role_privs;
记录用户拥有的role
实施风险
低
重要等级
★★★
备注
1.2.2
编号
ELK-Oracle-01-02-02
Oracle数据库安全配置标准
XX公司Oracle数据库安全配置标准(试行)1 目的为保证公司应用系统的信息安全,规范数据库层面的安全配置操作,制定本标准。
2 范围本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。
3 安全配置标准3.1安装数据库的主机要求●主机应当专门用于数据库的安装和使用;●数据库主机避免安装在域控制器上;●硬件要求请参考Oracle 10g及以上各发行版自带的发行说明;●主机操作系统层面应当保证安全:Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上,数据库软件安装之前,应当保证主机操作系统层面的安全,需要对主机进行安全设置,补丁更新,防病毒软件安装等。
3.2数据库补丁安装标准日常运行维护中如果Oracle推出新的补丁,则应按照《基础平台运维管理办法》的相关规定,在进行评估、验证之后,升级相关补丁。
3.3数据库口令安全配置标准3.3.1 密码复杂性配置要求1.密码长度至少为8位2.必须为DBA帐户和普通帐户提供复杂的口令,需要包含以下字符:⏹英语大写字母 A, B, C, … Z⏹英语小写字母 a, b, c, … z⏹西方阿拉伯数字 0, 1, 2, (9)⏹非字母数字字符,如标点符号,@, #, $, %, &, *等⏹为用户建profile,调整PASSWORD_VERIFY_FUNCTION,对密码负载度进行设置:3.3.2 创建应用账号并授权创建用户:SQL>create user username identified by password;基本授权:SQL>grant connect,resource to username;创建表空间:SQL>create tablespace tablespace_name datafile ‘/home/oracle/tablespace_name.dbf’size 500m;用户与表空间对应:SQL>alter user username default tablespace tablespace_name;3.3.3 禁用不必要的数据库帐户针对每个数据库里的数据库帐号,确保没有测试帐号和无用的帐号存在。
Oracle数据库安全配置基线
Oracle数据库安全配置基线目录第1章概述 ....................................................................................................... 错误!未指定书签。
1.1目的 ....................................................................................................... 错误!未指定书签。
1.2适用范围 ............................................................................................... 错误!未指定书签。
1.3适用版本 ............................................................................................... 错误!未指定书签。
第2章账号 ....................................................................................................... 错误!未指定书签。
2.1账号安全 ............................................................................................... 错误!未指定书签。
2.1.1删除不必要账号........................................................................... 错误!未指定书签。
2.1.2限制超级管理员远程登录........................................................... 错误!未指定书签。
ORACLE安全配置基线
检测操作步骤
基线符合性 判定依据
加固 方案 风险等级
各拉
以 Oracle 用户登陆到系统中。
2) 以 sqlplus γas sysdba' 登陆到 sqlplus 环境中。 使用 show pararneter 命令来检查参数
S pfil e 中 REMOTE L∞IN PASSWORDFILE 是否设置为 NONEo
2) 以 sqlplus ‘ / as sy s: dba' 登陆到 sq.l plus 环境中。 3) 执行 select resource_name, limït from dba---'pr'ofil 白,
dba_users where dba_profiles . profile 二 dba users pxofile and dba_ users. aCc Olmt_s t. atus二, OP凹. and resource_ name=' FA1LED_LOGIN_ATTEMPTS' ;
设置 PASSWORD L1FE T1 胆小子等于 90
高 重要账号不能过期
1. 1. 9 认证控制
安全基线项说明
检测操作步骤
基线符合性 判定依据 加国方案 风险等级 备注
对于采用静态口令认 i正技术的数据库,应配置当用户连续认证失败次 数超过 10 次,锁定该用户使用的帐号。
以 Orac1e 用户登陆到系统中。
| 自动断开超过 10 分钟的空闲远程连接,以防止在长时间远程连接过程
中被其他人窃听到敏感信息的泄露。同时防止远程人员在离开时并未 锁屏或贝iJ有效保护,他人借助此时时间空闲进行违规操作带来不必要
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中;
3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users
.profile and dba_users.account_status='OPEN' and resource_name='FAILED_LOGIN_ATTEMPTS'。
基线符合性判定依据
查询结果中FAILED_LOGIN_ATTEMPTS等于6。
备注
3.1.4
安全基线项目名称
数据库管理系统Oracle默认账户口令策略安全基线要求项
3. 使用show parameter命令来检查参数audit_trail是否设置;
4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。
基线符合性判定依据
参数audit_trail不能设置为NONE。
备注
第5章
5.1
5.1.1
安全基线项目名称
基线符合性判定依据
查询结果中PASSWORD_LIFE_TIME小于等于90。
备注
3.1.6
安全基线项目名称
数据库管理系统Oracle密码复杂度策略安全基线要求项
安全基线项说明
对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1. 以Oracle用户登陆到系统中;
用户对数据库的操作,包括但不限于以下内容:账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果;
记录对与数据库相关的安全事件。
检测操作步骤
1. 以Oracle用户登陆到系统中;
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中;
使用lsnrctl start或lsnrctl stop命令启停listener需要密码。
备注
5.1.2
安全基线项目名称
数据库管理系统Oracle加密数据安全基线要求项
安全基线项说明
在相应应用程序条件许可的情况下,使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。
.profile and dba_users.account_status='OPEN' and resource_name='PASSWORD_REUSE_MAX'。
基线符合性判定依据
查询结果中PASSWORD_REUSE_MAX大于等于5。
备注
3.1.3
安全基线项目名称
数据库管理系统Oracle认证控制策略安全基线要求项
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
备注
2.1.2
安全基线项目名称
数据库管理系统Oracle远程登录安全基线要求项
安全基线项说明
限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
检测操作步骤
1. 以Oracle用户登陆到系统中。
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。
数据库管理系统Oracle监听器安全基线要求项
安全基线项说明
为数据库监听器(LISTENER)的关闭和启动设置密码。
检测操作步骤
检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。
基线符合性判定依据
要求正确设置参数PASSWORDS_LISTENER;
基线符合性判定依据
为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度
备注
第4章
4.1
4.1.1
安全基线项目名称
数据库管理系统Oracle数据审计策略安全基线要求项
安全基线项说明
根据业务要求制定数据库审计策略。
对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址;
安全基线项说明
对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
检测操作步骤
1. 以Oracle用户登陆到系统中;
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中;
3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users
Oracle数据库安全配置基线
第1章
1.1
本文规定了Oracle数据库应当遵循的安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:Oracle数据库服务器。
3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。
Show parameter REMOTE_LOGIN_PASSWORDFILE
4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置。
基线符合性判定依据
参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;
sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE。
备注
2.1.3
安全基线项目名称
数据库管理系统Oracle用户属性控制策略安全基线要求项
安全基线项说明
对用户的属性进行控制,包括密码策略、资源限制等。
安全基线项说明
更改数据库默认帐号的密码。
检测操作步骤
1. 以Oracle用户登陆到系统中;
2. 以system/system、system/manager、sys/sys、sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陆sqlplus环境。
检测操作步骤
1. 以DBA用户登陆到sqlplus中;
2.查询视图dba_profiles和dba_usres来检查profile是否创建。
基线符合性判定依据
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等;
2.可通过设置profile来限制数据库账户的CPU资源占用。
备注
2.1.4
安全基线项目名称
数据库管理系统Oracle数据字典访问权限策略安全基线要求项
安全基线项说明
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
检测操作步骤
1. 以Oracle用户登陆到系统中;
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中;
3. 使用show parameter命令检查参数O7_DICTIONARY_ACCESSIBILITY。
1.3
适用于Oracle 10g。
第2章
2.1
2.1.1
安全基线项目名称
数据库管理系统Oracle删除不必要帐号安全基线要求项
安全基线项说明
应删除或锁定与数据库运行、维护等工作无关的账号。
检测操作步骤
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。
基线符合性判定依据
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中;
3、执行select limit from dba_profiles where
resource_name='PASSWORD_VERIFY_FUNCTION' and profile in (select profile from dba_users where account_status='OPEN')。
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中;
3、执行select limit from dba_profiles where
resource_name='PASSWORD_LIFE_TIME' and profile in (select profile from dba_users where account_status='OPEN')。
基线符合性判定依据
select VALUE fromv$parameterwhere NAME='O7_DICTIONARY_ACCESSIBILITY'是否设置为FALSE
备注
第3章
3.1
3.1.1
安全基线项目名称
数据库管理系统Oracle账户口令生存期安全基线要求项
安全基线项说明
在相应应用程序条件允许的情况下,对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
安全基线项说明
对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作步骤