Oracle数据库安全配置手册

Oracle数据库安全配置手册

Version 1.0

版本控制

目录

第一章目的与范围 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3数据库类型 (1)

第二章数据库安全规范 (1)

2.1操作系统安全 (1)

2.2帐户安全 (2)

2.3密码安全 (2)

2.4访问权限安全 (2)

2.5日志记录 (3)

2.6加密 (3)

2.7管理员客户端安全 (3)

2.8安全补丁 (3)

2.9审计 (3)

第三章数据库安全配置手册 (4)

3.1O RACLE数据库安全配置方法 (4)

3.1.1 基本漏洞加固方法 (4)

3.1.2 特定漏洞加固方法 (12)

第一章目的与范围

1.1 目的

为了加强宝付的数据安全管理，全面提高宝付各业务系统的数据安全水平，保证业务系统的正常运营，提高业务服务质量，特制定本方法。

本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。

1.2适用范围

本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。

1.3数据库类型

数据库类型为Oracle 11g。

第二章数据库安全规范

2.1 操作系统安全

要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。若要保护数据的安全，就要对数

据所驻留的每一个数据库及这些数据库的备份进行保护。如果某人能从含有你的数据备份的数据库中带走备份磁带，那么你在数据库中所做的全部保密工作就失去意义。必须防止对全部数据备份的非法访问。

2.2 帐户安全

为了避免数据库帐户大量耗费系统资源，影响其它用户的正常访问，可以根据应用的实际需要，对数据库帐户所使用的资源（如CPU等）进行限制。这样可以控制恶意攻击者发起大量的连接及事务破坏数据库系统的正常运行，限制数据库帐户的系统资源可以用profile实施。

此外，数据库创建后，会存在一些内建的帐户，这些帐户都有初始密码。出于安全的考虑，需要修改这些内建帐户的初始密码，防止恶意攻击者以众所周知的初始密码登录数据库。另外，对不使用的帐户应锁定，消除帐户安全隐患。

2.3密码安全

用户登录数据库的密码非常重要，一旦密码被窃听，数据库的安全就面临严重的威胁。从Oracle 7.1开始，client 远程连接数据库，Oracle Net 会自动对通过网络传输的登录密码进行加密，保证密码不被明文传输而被窃听。在Oracle7.1之前，可在sqlnet.ora中设置ora_encrypt_login=true。

此外，对密码进行严格的管理。可以使用profile来管理口令的终止、重新使用和复杂性。例如，可以限制一个口令的寿命、锁定口令过旧的帐户等。也可以强制一个口令至少有一定程度的复杂性并锁定一个多次注册失败的帐户。这样可以有效地防止黒客猜测帐户口令，减少口令安全隐患。

2.4 访问权限安全

对帐户的访问权限进行严格控制，给予帐户需要的最少权限，包括系统权限和对象权限。对象权限可以实施到数据库对象的字段级别。

2.5 日志记录

Oracle的警告日志alertsid.log里记录有数据库的关键活动，如删除表空间等，出于安全的考虑，需有规律地检查警告日志。

2.6 加密

为了保证敏感数据从client到server在传输过程中不被窃听，可以对数据进行加密，以密文进行传输。

2.7 管理员客户端安全

为了防止恶意用户冒名顶替管理员从远端客户机连接数据库进行破坏，可以对远端数据库的IP地址进行限定。当然这种方法如果和网络安全一起实施，会更加安全。

2.8 安全补丁

Oracle虽然具有很高的安全性，但是不可避免还是有安全漏洞，一个比较安全的办法是时刻关注Oracle的安全公告，并及时安装安全补丁。安全公告和补丁位置如下：

https://www.360docs.net/doc/471551315.html,/deploy/security/alerts.htm

2.9 审计

出于数据库的安全，需要实施审计以跟踪重要的或可疑的数据库活动。审计通常被认为是最有效的安全机制，它确保系统的合法用户做他们应该做的事情，并且能够阻止用户滥用或误用访问权限。通过审计，一个公司可以跟踪其各个用户的活动，从而发现安全上的缺陷。另外，如果用户知道他们正在被跟踪审计，那么就可能降低他们滥用职权的可能性。因为传统型的审计产生数量极大的数据，所以这就很难从中发现有用的信息，因此，Oracle9i引进了精确细化的审

计。使用这种广泛精确细化的审计，可以更容易地发现安全缺陷。例如，如果为重复选择社会身份认证号码制定了一条审计策略，则当重复选择该社会身份认证号码时，就会自动发生警报，以警告可能被入侵的部门的系统管理员。然后系统管理员就能采取终止非法数据库会晤的措施。

?由服务器强制进行的审计捕获用户的活动、系统权限、语句或者对象?触发器能够记录未被自动包含在审计追踪中的定制信息

?精细粒度的、可扩展的审计功能使机构能够定义具体的审计政策，以便在恶意入侵发生时，立刻识别、警告和解决这一入侵--而不管它是来自机构外部还是机构内部

?事件处理器提供了确定如何处理由触发器启动的某一审计事件的灵活性?通过保存初始连接的登录用户及以该用户名义进行操作的用户的身份来审计多层系统中的活动

第三章数据库安全配置手册

3.1 Oracle数据库安全配置方法

3.1.1 基本漏洞加固方法

1、操作系统安全性

2、用户环境文件

3、内建帐户

4、口令管理

5、登陆口令

6、口令文件验证

7、系统权限

是否有必要

8、对象权限

编号：008 名称：对象权限重要等级：高

基本信息：

对象级权限(object-level privilege)使用户可以访问不属于自己的数据。可以使用角色来减少权限的管理。显式权限也可以使用，并且在一些情况下是必须的。权限通过grant命令创建，存于数据字典中。对表、视图、序列(以及它们的同义词)的访问，加上执行过程、函数、软件包及类型的能力都可以授权给用户。

检测内容：

?检查对象权限

建议操作：

下表列出了可以授予对象的权限。

9、日志记录

3.1.2 特定漏洞加固方法

一、对传输数据进行加密

如果需要对客户端和服务器端传输的数据进行加密，以防数据窃听，可以修改客户端和服务器端的sqlnet.ora文件，对传输的数据进行加密，以避免明文在网络上的传输。

具体请参阅Oracle Advanced Security Administrator’s Guide——Configuring Data Encryption and Integrity

二、对于访问数据库的客户端IP地址进行配置。

数据库监听客户端IP地址的连接记录，存储在/$oracle/log/listener.log文件里，请管理员定期查看和分析该日志文件。

在/$oracle/network/admin目录下修改SQLNET.ORA文件，增加如下内容：tcp.validnode_checking=YES

tcp.excluded_nodes=(192.168.0.1)

对于访问数据库客户端IP的限制，借助操作系统或者防火墙等设备实现也是可行的。

三、安装最新补丁程序

Oracle虽然具有很高的安全性，但是不可避免还有安全漏洞，一个比较安全的办法是时刻关注Oracle的安全公告，并及时安装安全补丁。安全公告和补丁位置如下：

m

由于涉及Oracle数据库的业务都是非常关键的，在安装安全补丁前一定要做好备份工作，联系Oracle公司或者你的开发商，定时做补丁升级是非常必要的。

四、对敏感的数据库活动实施审计

对敏感的数据库活动，如删除表等进行审计。

Oracle提供的数据库审计类型有：

语句审计：监视由一个或者多个特定用户或者所有用户提交的SQL

语句。这种类型的审计范围非常广。

●特权审计：监视数据库里一个或者多个特定用户或者所有用户使用

的系统权限，比如audit create table。这种类型的审计范围是中等的。

●模式对象审计：监视一个模式里在一个或者多个对象上发生的行为，

比如：audit insert into EMPLOYEES。这种类型的审计是非常有重点

的，范围狭窄。

设定初始化参数audit_trail为DB或OS。

DB表示将审计记录写到数据库的AUD$表里；OS表示将审计记录写到操作系统文件中，默认生成在$ORACLE_HOME/rdbms/audit目录，审计文件也可以用初始化参数AUDIT_另外指定。

启用审计

在AUDIT_OPTIONS表里有144个可以审计的审计命令，如：create table, insert, select等。

根据实际需要确定要审计的类型，比如，若需知道什么时候一个新表被加到数据库，可通过下列命令启用审计：

audit create table by ;

查询审计

select * from dba_audit_trail;

五、用户管理

5-1 过多的用户被授予DBA的权限

用命令SELECT 的'DBA'选项列出所有被授予了DBA角色的用户，根据需要分配用户角色，命令：SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED=’DBA’。

5-2 存在把权限授给PUBLIC的情况

删除不需要的帐号，比如SCOTT等示例用户；对于不明确是否能删除的用户可以暂时锁定该用户，或赋予非常复杂的口令。

删除用户及其所有的数据对象命令：drop user dbuser cascade;

取消用户角色权限：revoke connect from dbuser;

应检查的用户名包括：SCOTT, DBSNMP, TRACESVR, CTXSYS, MDSYS, DEMO, CTXDEMO, APPLSYS, PO8, NAMES, SYSADM, ORDPLUGIN, OUTLN, ADAMS, BLAKE, JONES, CLARK, AURORA$ORB$UNAUTHENTICATED, APPS。

5-3 连接时使用空口令。

修改口令文件PROFILE，防止利用空口令或默认口令进行连接。

六、限制UTL_FILE的使用

与应用系统开发商确认是否有用户需要使用UTL_FILE程序包。如果没有用户使用，应收回普通用户对该包的执行权限。如果确实有用户需要使用UTL_FILE包，应确保只有确实需要的用户才拥有UTL_FILE的执行权。同时在init.ora中设定参数“UTL_”使用UTL_FILE包的程序确实需要访问的目录。与应用系统开发商商议，是否可以改变DB_LINK的创建方式，在创建DB_LINK时不指定用户名和口令。

七、数据库配置：数据库配置未采用数据字典保护。

检查初始化参数O7_DICTIONARY_ACCESSIBILITY是否为FALSE。该参数为FALSE, 将阻止具有ANY 权限的用户访问数据字典基表，以有力地保护数据字典。

此参数的修改需要重启数据库才能生效.

Default:

Oracle 8i:TURE

Oracle9i: FALSE

八、关闭HTTP Server

HTTP Server用于通过HTTP访问数据库，如EM和动态服务。若无必要，关闭该server:

$> cd $ORACLE_HOME/Apache/Apache/bin

$> apachectl stop

九、关闭远程数据库验证

远程数据库验证只用于当你信任客户端用户时采用。这种验证机制是：用户在客户端验证，当用户登录数据库时不再需要用服务器端数据库密码验证，故称为远程数据库验证。为加强安全起见，关闭远程数据库验证。

设定初始化参数

REMOTE_OS_AUTHENT = FALSE

十、实施VPD 和Oracle Label Security

如有必要，在普通的数据库安全机制外，还可实施另一种新的安全机制，称为VPD（虚拟专用数据库），帮助从数据库内部提供有效的安全。这种安全机制的原理是从用户登录到数据库开始，预先为特定用户设定的自定义的安全策略发生作用，使得当用户提交一个查询（或insert,update,delete）时，自动地加上相应的where子句，这样细粒度的访问控制被Oracle自动实现和保证，对用户和应用透明。例如，使用以下查询从数据库里查询数据：

select * from customers;

如果customers表里有一个相关的安全策略来限制销售代表只能查看自己顾客的信息，这个查询将被自动地重写为：

select * from customers where sales_rep_id=sys_context(‘hr_context’, ‘sales_id’);

比如说，A,B两位销售代表键入的是同一条SQL语句，select * from customers, 但返回的结果不同：A返回的是select * from orders where sales_rep_id=406, B返回的是select * from orders where sales_rep_id=152，也就是说某个销售代表只能访问到他本人的销售的信息，其他销售代表的信息则访问不了。被安全策略自动地加到用户的查询上的where子句确保该销售代表只能查看到他自己的客户数据，别人的数据看不到。销售代表的ID从用户定义的应用

程序上下文hr_context里得到。

在VPD里，仍然需要授予用户对每个表的适当的权限，但是你不需要创建视图和过程来防止用户访问其他客户的数据。因此，不必担心用户通过SQL*PLUS等访问到他们不该访问的数据。

创建和配置VPD的步骤如下：

●确定数据库对象和它们的关系

●定义安全策略目标

●创建应用程序上下文

●创建设置上下文的包

●创建策略函数

●将策略函数与表或者视图相关联

VPD的详细信息请参阅

Oracle Label Security 为精细化(fine-grained) 访问控制提供了基于行标签(row labels) 的复杂而灵活的安全性。Oracle Label Security 借用政府机构、国防部门及商业组织使用的“贴标签”(labeling) 概念来保护敏感信息并提供数据隔离能力。

Oracle Label Security是一种特别的VPD, 通过它可以创建安全策略，然后透明地设置VPD以实施该策略，这些过程通过内建的package来完成，不需要开发PL/SQL程序，这是相比VPD来说的一大好处。其原理具体来讲：安全管理员对用户贴上标签指派级别和类型，数据行也打上标签，指示该数据行的级别和敏感度。当用户试图执行一个任务，比如从表里查询记录时，Oracle label security 将校验用户的标签和数据行的标签是否匹配，以确保从这个表返回正确的行。用户只能对数据库里有匹配的访问标签的行进行访问和交互。详细的配置举例可见：，Note 230980.1

IBMPower740小型机+11G数据库维护教程

露露Power740小型机+11G数据库维护教程 硬件环境： 1、Power740小型机+AIX6.1操作系统 2、数据库版本：oracle 11.2.0.4 3、数据库安装模式:Oracle11R2+ASM+RAC（集群负载） 一、开机步骤 1、打开Power740小型机1和2开关机开关 两台服务器都要开机，在确定小型机电源处于关闭情况下开机，如果小型机处于开机状态跳过此步骤。 2、开启集群和数据库 小机开机后集群和数据库自动启动，一般不需要手工启动。 Ping 192.168.0.31\32\33\34\35 -t ping通后查询数据库状态。 通过实际IP登录小机1 登录方式1：windows开始菜单-运行 telnet 192.168.0.31 登录方式2：远程连接小机工具 登录方式3：直接在小机操作 用户名:root 密码:root #su – grid 切换到grid网格用户 $crs_stat –t 查询集群状态

ORACLE正常工作状态：3个gsd进程是OFFLINE 其他进程都是ONLINE。 此时完成开机和数据库启动操作，应用程序可以正常使用。 如果等待30分钟还没有正常启动,启动出现异常,可执行以下操作： #su – grid $srvctl start nodeapps -n dbserver1 $srvctl start nodeapps -n dbserver2 $srvctl start asm -n dbserver2 $srvctl start asm -n dbserver1 $srvctl start database -d lolo 单独启动监听 srvctl start listener -n dbserver1 srvctl start listener -n dbserver2 3、启动客户管理系统接口 远程桌面192.168.1.24->露露运营绩效管理系统->业务查询->WEB定时任务->【启动任务】4、启动EM 说明：EM为ORACLE数据库WEB管理，可以不启动，不启动不影响应用程序使用。 1）通过服务IP登录小机1 登录方式1：windows开始菜单-运行 telnet 192.168.0.33 登录方式2：远程连接小机工具 登录方式3：直接在小机操作 以下以登录方式1说明。 用户名:root 密码:root

Oracle 数据库安全综述

Oracl e 数据库安全综述 邓明翥 2007061035 摘要信息时代，数据安全性和日俱增。对于企业数据库来说。安全性和系统性能同样重要．一旦数据丢失或者非法用户侵入，对于任何一个使用系统来说都是致命的问题．提高Oracle数据库安全性就要做好安全管理工作．文章从Oracle 入手从安全机制和安全策略两个角度分析其安全，并给出一些安全管理操作的具体方法，最后通过对比给出其安全策略的优点。 1数据库系统简介 1.1背景介绍 随着网络技术的飞速发展。网络安全问题日渐突出。数据库技术自20世纪60年代产生至今，也已得到了快速的发展和广泛使用，数据库中由于数据大量集中存放，且为众多用户直接共享，安全性问题尤为突出。 数据库是按照数据结构来组织、存储和管理数据的仓库，它产生于距今五十年前。经过几十年的发展，数据库技术在理论上得到不断完善的同时，也广泛地投入到财务、教育、电子政务、金融等领域中得到大规模的使用。目前，市场上不仅有能满足个人用户需要的桌面小型数据库管理系统，也有能提供大规模数据管理功能、使用在网络环境的大中型数据库管理系统。 1.2数据库系统产品简介 随着大规模数据组织和管理日益引起人们的关注，数据库系统显现出越来越大的市场价值，许多公司都推出了各具特色的数据库管理系统。下面对在市场上占据主流、具有一定代表意义的两款数据库系统做简要介绍。 1.2.1SQL Server简介 SQL Server是由Microsoft公司开发和推广的关系数据库管理系统。它最初是由Microsoft、Sybase、Ashton-Tate三家公司共同开发的，并于1988年推出了第一个OS/2版本。由于Microsoft公司强大的开发能力和市场影响力，自1988年起，不断有新版本SQL Server推出并迅速占领中小型数据库市场。根据来自BZ Research2007年数据库整合和统计报告的数据，SQL Server的市场占有率为74.7%，高居第一。其中，SQL Server2000的用户群最为庞大，SQL Server2008是最新版本。本文所提及的SQL Server，如未特别指出，都指的是SQL Server2000。 SQL Server具有典型的C/S结构。使用图形化用户界面，使系统管理和数据库管理更加直观、简介。同时，还提供了丰富的编程接口工具，为用户进行程序

Oracle数据库维保服务方案

XXXXXX 数据库运维服务方案 XXXXXXX股份有限公司 2020-8-2

目录 一、前言........................................................................... - 2 - 二、数据库服务需求分析.................................................. - 7 - 三、数据库服务技术方案.................................................. - 9 - 3.1XXXXX Oracle数据库运维服务介绍............................ - 9 - 3.2XXXXX Oracle数据库运维基础服务............................ - 9 - 3.3Oracle数据库运维基础服务..................................... - 11 - 3.4.1 数据库基础运维服务级别分类 ........................................................................ - 11 - 3.4.2 数据库基础运维服务详述.................................................................................. - 12 - 3.4.2.1热线电话技术支持服务..................................................................................... - 12 - 3.4.2.2数据库基础运维远程拨入故障处理服务 .................................................... - 12 - 3.4.2.3数据库健康检查 .................................................................................................. - 13 - 3.4.2.4数据库故障排查 .................................................................................................. - 14 - 3.4.2.5数据库故障信息及时告知................................................................................ - 17 - 3.4.2.6辅助故障定位服务.............................................................................................. - 17 - 3.4.2.7数据库补丁安装、小版本升级....................................................................... - 18 - 3.4.2.8OEM安装配置 ...................................................................................................... - 19 - 3.4.2.9重要问题通知....................................................................................................... - 20 - 3.4.2.10数据库运维相关技术建议 ............................................................................. - 20 - 3.4.2.11知识传递.............................................................................................................. - 21 - 3.4Oracle数据库运维高级服务..................................... - 22 - 3.4.1 Oracle数据库高级运维服务内容.................................................................... - 22 - 3.4.2 数据库性能优化.................................................................................................... - 22 - 3.4.3 数据库版本升级运维服务.................................................................................. - 26 - 3.4.4 数据库实施项目.................................................................................................... - 27 - - 1 -

oracle数据库安全管理制度

竭诚为您提供优质文档/双击可除oracle数据库安全管理制度 篇一：规章制度之数据备份及应急恢复制度 医院信息系统运行与应用管理规章制度汇编 数据备份工作制度及应急恢复工作规定 数据备份工作制度 1、数据备份是备份his系统所有的数据，包括病人费用信息和医疗信息，关系到整个系统的正常运转，影响到全院的医疗工作的正常秩序，责任重大，数据管理员要有高度的事业心、责任感和一丝不苟万无一失的严谨工作作风。 2、严格按照《数据备份方案》要求，逐条认真操作，每天做逻辑备份，每周六作全部备份，每月做一次冷备份． 3、每两周对数据要进行一次恢复试验，以确保备份数据的安全可靠。 4、为了整理数据库，每月对oRacle数据库进行一次expoRt和inpoRt。 5、根据数据增长量，应定期对过期数据进行处理。 6、每天对服务器进行仔细检查，主要查看文件是否有损坏，cpu和内存占用资源情况，客户端登录和访问数据库

是否正常等。 7、如系统发现异常情况，要马上处理，处理不了要立即汇报，并提出建议。 8、严格遵守保密制度和网络管理规范，绝对保密数据管理员口令，当有其他人对服务器进行操作时，要亲自在场并作好详细记录，有第二者知道口令时要及时更改口令。 9、每次对服务器进行操作时，认真作好登录统计，不得马虎。 10、要熟练掌握nt、oRacle数据库知识，不断提高业务水平。 11、数据备份磁带要异地存放，安全保管。 12、如不按规定执行出现重大事故，追究责任者的一切责任并严肃处理。 应急恢复工作规定 1、当计算机网络中心服务器确认出现故障时，由系统管理员，按《数据备份恢复方案》进行系统恢复。 2、系统管理员由信息科主任指定专人负责恢复。当人员变动时应有交接手续。 3、当网络线路不通时，网络系统维护人员应立即到场进行维护，当光纤损坏时应立即使用备用光纤进行恢复，交换机出现故障时，应使用备用交换机，即刻通知前台工作站工作人员使用。

Oracle DBA 数据库日常维护手册 常用SQL 脚本

Oracle数据库日常维护 【版本整理日期：2011/02/26 】 版本整理人：1634068400@https://www.360docs.net/doc/471551315.html, 本文档包含以下内容： 1．Oracle数据库日常维护 2．Oracle DBA 常用管理脚本 3．Oracle DB 常用SQL 语句

/******************************************************** https://www.360docs.net/doc/471551315.html,(若跳转不成功，请复制到浏览器或联系Q) https://www.360docs.net/doc/471551315.html,/item.htm?id=7437120468Metalink Sharing ********************************************************/

在Oracle数据库运行期间，DBA应该对数据库的运行日志及表空间的使用情况进行监控，及早发现数据库中存在的问题。 一、Oracle警告日志文件监控 Oracle在运行过程中，会在警告日志文件(alert_SID.log)中记录数据库的一些运行情况： l数据库的启动、关闭，启动时的非缺省参数； l数据库的重做日志切换情况，记录每次切换的时间，及如果因为检查点(checkpoint)操作没有执行完成造成不能切换，会记录不能切换的原因； l对数据库进行的某些操作，如创建或删除表空间、增加数据文件； l数据库发生的错误，如表空间不够、出现坏块、数据库内部错误(ORA －600)

DBA 应该定期检查日志文件，根据日志中发现的问题及时进行处理 问题 处理 启动参数不对 检查初始化参数文件 因为检查点操作或归档操作没有完成造成重做日志不能切换 如果经常发生这样的情况，可以考虑增加重做日志文件组；想办法提高检查点 或归档操作的效率； 有人未经授权删除了表空间 检查数据库的安全问题，是否密码太简 单；如有必要，撤消某些用户的系统权 限 出现坏块 检查是否是硬件问题(如磁盘本生有坏 块)，如果不是，检查是那个数据库对象 出现了坏块，对这个对象进行重建 表空间不够 增加数据文件到相应的表空间 出现ORA-600 根据日志文件的内容查看相应的TRC 文件，如果是Oracle 的bug ，要及时打 上相应的补丁 二、数据库表空间使用情况监控（字典管理表空间） 数据库运行了一段时间后，由于不断的在表空间上创建和删除对象，会在表空间上产生大量的碎片，DBA 应该及时了解表空间的碎片和可用空间情况，以决定是否要对碎片进行整理或为表空间增加数据文件。 select tablespace_name,

Oracle数据库安全加固文档

1 端口设置 1.1 避免使用默认的监听端口 配置项 名称 避免使用默认的监听端口 检查方法 1检查$ORACLE_HOME/network/admin/listener.ora中是否有port=1521一项。 操作步骤 1 备份$ORACLE_HOME/network/admin/目录下的tnsnames.ora, listener.ora 文件 2 备份$ORACLE_HOME/dbs目录下的spfileSid.ora和initSid.ora 3执行$ lsnrctl stop 关闭Listener 4用vi修改listener.ora中的端口号1521为其他端口 5用SQL>startup immediate 关闭数据库 6 修改initSid.ora添加一项LOCAL_LISTENER=listener1 7 在tnsnames.ora中添加一项 listener1 = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = hostname)(PORT = 1522)) ) ) 8 SQL>create spfile from pfile 9 $ lsnrctl start 10 SQL>startup 启动数据库 回退操作 关闭Listener和数据库，恢复备份的文件到原来的目录，重启Listener和数据库。 风险 1.修改默认端口会影响到目前使用该数据库的应用,需要这些应用同步修改为新的端口 2.需要关闭重启数据库以及关闭重启Listener来完成端口的修改 2 用户与权限 2.1 设置LISTENER的启动关闭密码 配置项 名称 设置LISTENER的启动关闭密码 检查方法 检查$ORACLE_HOME/network/admin/listener.ora文件中是否有PASSWORDS_LISTENER一项，若有说明密码已设定。 操作步骤1 备份$ORACLE_HOME/network/admin/listener.ora文件2设置步骤 $ lsnrctl

Oracle数据库日常维护手册

Oracle数据库日常维护手册 在Oracle数据库运行期间，DBA应该对数据库的运行日志及表空间的使用情况进行监控，及早发现数据库中存在的问题。 一、Oracle警告日志文件监控 Oracle在运行过程中，会在警告日志文件(alert_SID.log)中记录数据库的一些运行情况: ●数据库的启动、关闭，启动时的非缺省参数; ●数据库的重做日志切换情况，记录每次切换的时间，及如果因为检查点(checkpoint)操作没有执行完成造成不能切换，会记录不能切换的原因; ●对数据库进行的某些操作，如创建或删除表空间、增加数据文件; ●数据库发生的错误，如表空间不够、出现坏块、数据库内部错误(ORA-600) DBA应该定期检查日志文件，根据日志中发现的问题及时进行处理 问题处理 启动参数不对检查初始化参数文件 因为检查点操作或归档操作没有完成造成重做日志不能切换如果经常发生这样的情况，可以考虑增加重做日志文件组;想办法提高检查点或归档操作的效率; 有人未经授权删除了表空间检查数据库的安全问题，是否密码太简单;如有必要，撤消某些用户的系统权限 出现坏块检查是否是硬件问题(如磁盘本生有坏块)，如果不是，检查是那个数据库对象出现了坏块，对这个对象进行重建 表空间不够增加数据文件到相应的表空间 出现ORA-600根据日志文件的内容查看相应的TRC文件，如果是Oracle的bug，要及时打上相应的补丁 二、数据库表空间使用情况监控(字典管理表空间)

数据库运行了一段时间后，由于不断的在表空间上创建和删除对象，会在表空间上产生大量的碎片，DBA应该及时了解表空间的碎片和可用空间情况，以决定是否要对碎片进行整理或为表空间增加数据文件。 select tablespace_name, count(*) chunks , max(bytes/1024/1024) max_chunk from dba_free_space group by tablespace_name; 个人收集整理 上面的SQL列出了数据库中每个表空间的空闲块情况,如下所示: TABLESPACE_NAME CHUNKS MAX_CHUNK -------------------- ---------- ---------- INDX 1 57.9921875 RBS 3 490.992188 RMAN_TS 1 16.515625 SYSTEM 1 207.296875 TEMP 20 70.8046875 TOOLS 1 11.8359375 USERS 67 71.3671875个人收集整理 其中，CHUNKS列表示表空间中有多少可用的空闲块(每个空闲块是由一些连续的Oracle 数据块组成)，如果这样的空闲块过多，比如平均到每个数据文件上超过了100个，那么该表空间的碎片状况就比较严重了，可以尝试用以下的SQL命令进行表空间相邻碎片的接合: alter tablespace 表空间名 coalesce; 然后再执行查看表空间碎片的SQL语句，看表空间的碎片有没有减少。如果没有效果，并且表空间的碎片已经严重影响到了数据库的运行，则考虑对该表空间进行重建。 MAX_CHUNK列的结果是表空间上最大的可用块大小，如果该表空间上的对象所需分配的空间(NEXT值)大于可用块的大小的话，就会提示ORA-1652、ORA-1653、ORA-1654的错误信息，DBA应该及时对表空间的空间进行扩充，以避免这些错误发生。 对表空间的扩充对表空间的数据文件大小进行扩展，或向表空间增加数据文件，具体操作见“存储管理”部份。 三、查看数据库的连接情况

oracle安全机制

Oracle安全机制 安全性是评价一个数据库产品的重要指标，直接决定了数据库的优劣。Oracle数据库采用一系列的安全控制机制，以保证数据库的安全性。Oracle数据库在3个层次上采取安全控制机制。（1）系统安全性：在系统级别上控制数据库的存取和使用机制，包括有效的用户和口令、判断用户是否被授予权限可以连接数据库、用户创建数据库对象时可以使用的表空间大小、用户的资源限制、是否启动数据库的审计功能、用户可以进行哪些操作系统等。（2）数据安全性：在数据库模式对象级别上控制数据库的存取和使用机制，包括用户可以存取的模式对象以及在该对象上可以进行的操作等。用户要对某个模式对象进行操作，必须具有该对象相应的对象权限。（3）网络安全性：oracle数据库是网络数据库，因此网络数据库传输的安全性至关重要，主要包括登陆助手、目录管理、标签安全性等。Oracle通过分发Wallet、数字证书、SSL安全套接字和数据秘钥等办法来确保网络数据传输的安全性。 一、系统安全方面采取的安全机制包括用户管理、资源限制和口令管理、权 限管理、角色管理、审计、利用OEM进行安全管理。 1、用户管理 用户是数据库的使用者和管理者，Orcle数据库通过设置用户及其安全属性来控制用户对数据库的访问和操作。用户管理是Oracle数据库安全管理的核心和基础。Oracle数据库中的用户分为两类，一类是创建数据库时系统与定义的用户，而预定义的用户根据作用不同又可以分为三类：1、管理员用户，2、示例方案用户，3、内置用户；另一类是根据应用需要由DBA创建的用户。 可以通过查询数据字典视图dba_users，查看当前数据库中所有用户信息。 如下图所示显示open的用户是已经开启的用户，显示expired & locked的用户是已经过期或是锁定的用户

ORACLE数据库日常维护与管理手册

全球眼?（MEGAEYES）网络图像管理系统2.0 ORACLE日常维护与管理手册 北京互信互通信息技术有限公司 2004-08-08

目录 全球眼?（MEGAEYES）网络图像管理系统2.0 (1) 1引言 (3) 1.1 目的 (3) 1.2 范围 (3) 1.3 参考资料 (3) 2日常维护与管理说明 (3) 2.1 运行环境 (3) 2.1.1硬件环境 (3) 2.1.2软件环境 (3) 2.2 数据库日常维护 (4) 2.2.1数据库初始设置 (4) 2.2.2每日工作内容 (5) 2.2.3每周工作内容 (6) 2.2.4每月工作内容 (7)

1引言 1.1目的 对于重要的商业系统来说，数据库系统的正常运行是保证商业应用平稳运行的关键。但是数据库在运行过程中可能会因为种种原因发生问题。这时，数据库的管理与日常维护工作将变得尤为重要。 为了指导数据库管理员做好日常维护工作，保证数据库系统的正常运行，特制定本文档。当然，数据库的日常维护是复杂和繁琐的，本文仅涉及一些常见的数据库日常维护的内容，在实际工作中，数据库管理员还需要做更多的工作。 1.2范围 本文档使用的人员：数据库维护管理人员和相关人员。 本文档涉及内容：oracle数据库的日常维护与管理解决方案。 1.3参考资料 中国电信网络视频监控技术（暂行）规范 2日常维护与管理说明 2.1运行环境 程序的运行环境包括硬件运行环境和软件运行环境。 2.1.1硬件环境 ◆CPU类型：Intel及其兼容系列CPU ◆内存容量：剩余内存要达2G以上 ◆硬盘容量：剩余硬盘容量要达1G以上 ◆网卡类型：100M网卡 2.1.2软件环境 ◆操作系统：RedHat Linux AS 3.0 ◆数据库：Oracle9i Database Release 2 (9.2.0.4.0) for Linux x86

Oracle数据库安全配置手册

Oracle数据库安全配置手册 Version 1.0

版本控制

目录 第一章目的与范围 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3数据库类型 (1) 第二章数据库安全规范 (1) 2.1操作系统安全 (1) 2.2帐户安全 (2) 2.3密码安全 (2) 2.4访问权限安全 (2) 2.5日志记录 (3) 2.6加密 (3) 2.7管理员客户端安全 (3) 2.8安全补丁 (3) 2.9审计 (3) 第三章数据库安全配置手册 (4) 3.1O RACLE数据库安全配置方法 (4) 3.1.1 基本漏洞加固方法 (4) 3.1.2 特定漏洞加固方法 (12)

第一章目的与范围 1.1 目的 为了加强宝付的数据安全管理，全面提高宝付各业务系统的数据安全水平，保证业务系统的正常运营，提高业务服务质量，特制定本方法。 本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。 1.2适用范围 本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。 1.3数据库类型 数据库类型为Oracle 11g。 第二章数据库安全规范 2.1 操作系统安全 要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。若要保护数据的安全，就要对数

Oracle安全性的讲解

数据库安全性问题一直是围绕着数据库管理员的恶梦，数据库数据的丢失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为如今关注的一个话题。 甲骨文董事长拉里·埃里森在 Oracle OpenWorld大会上，谈到了 一个观点——要保护数据库安全，关键在于加密。他还认为，我们不仅要为发往互联网的数据库中的数据加密，还要为从硬盘转移到后端系统的过程中的数据加密。他还建议企业禁止用户在没有进行加密的情况下实施数据备份。“因为如果没有加密的备份CD或者DVD光盘一旦丢失，你就会失去信息。” 数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。因此，数据库管理员应从以下几个方面对数据库的安全进行考虑。 一：用户角色的管理 这是保护数据库系统安全的重要手段之一。它通过建立不同的用户组和用户口令验证，可以有效地防止非法的Oracle用户进入数据库系统，造成不必要的麻烦和损坏；另外在Oracle数据库中，可以通过授权来对Oracle用户的操作进行限制，即允许一些用户可以对Oracle服务器进行访问，也就是说对整个数据库具有读写的权利，而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。在此，特别强调对SYS 和SYSTEM两个特殊账户的保密管理。 为了保护ORACLE数据库服务器的安全，应保证$ORACLE_HOME/bin目录下的所有内容的所有权为Oracle用户所有。 为了加强数据库在网络中的安全性，对于远程用户，应使用加密方式通过密码来访问数据库，加强网络上的DBA权限控制，如拒绝远程的DBA访问等。

Oracle数据库日常维护实施方案书

Oracle数据库日常维护方案书

————————————————————————————————作者：————————————————————————————————日期： 2

ORACLE数据库日常运行维护年度服务项目 方案书

目录 1 2 3 项目背景及目标 (5) 1.1项目背景 (5) 1.2项目目标 (5) 需求分析 (5) 项目总体方案 (7) 3.1数据库性能优化 (8) 3.1.1检查Oracle数据库性能 (8) 3.1.1.1 3.1.1.2 3.1.1.3 3.1.1.4 3.1.1.5 3.1.1.6 3.1.1.7 3.1.1.8 3.1.1.9 检查数据库的等待事件 (9) Disk Read 最高的SQL 语句的获取 (9) 查找前十条性能差的sql (9) 等待时间最多的 5 个系统等待事件的获取 (9) 检查运行很久的SQL (9) 检查消耗CPU 最高的进程 (10) 检查碎片程度高的表 (10) 检查表空间的I/O 比例 (10) 检查文件系统的I/O 比例 (10) 3.1.1.10 检查死锁及处理 (10) 3.1.1.11 检查数据库cpu、I/O、内存性能 (11) 3.1.1.12 查看是否有僵死进程 (12) 3.1.1.13 检查行链接/迁移 (13) 3.1.1.14 定期做统计分析 (13) 3.1.1.15 检查缓冲区命中率 (14) 3.1.1.16 检查共享池命中率 (14) 3.1.1.17 检查排序区 (14) 3.1.1.18 检查日志缓冲区 (15) 3.1.2性能调优及方法 (15) 3.1.2.1 3.1.2.2 3.1.2.3 3.1.2.4 3.1.2.5 寻找问题根源 (16) System_Event 事件 (16) Session_Event 事件 (16) Session_Wait (17) 应用优化 (17) 3.1.2.5.1 3.1.2.5.2 3.1.2.5.3 3.1.2.5.4 例程调优 (17) I-O 优化 (19) 竞争优化 (19) O-S 监控 (20) 3.2数据库备份恢复 (21) 3.2.1检查Oracle数据库备份结果 (21) 3.2.1.1 3.2.1.2 3.2.1.3 检查数据库备份日志信息 (21) 检查backup 卷中文件产生的时间 (22) 检查oracle 用户的email (22) 3.3数据库迁移 (22)

Oracle数据库维护手册

Oracle 数据库定期维护手册 定期备份任务计划执行检查 打开附件(系统工具(任务计划 查看状态，如果状态是未能启动,则打开菜单高级(查看日志，看未能执行任务计划的原因，并处理，处理完成后，右击任务计划运行。 使用DBA 图形工具(8.1.7 DBA Studio,9i Oracle Enterprise manager Console,10G 网页的EM )检查数据库状态 主要检查空间使用情况，重点对超过80%已使用的表空间进行检查，必要时增加数据文件或将相应的数据文件设为自动扩展，注意单个数据文件大小不要超过3.9G Oracle警告日志文件监控 Oracle在运行过程中，会在警告日志文件(alert.log或alert_SID.log)中记录数据库的一些运行情况: ●数据库的启动、关闭，启动时的非缺省参数; ●数据库的重做日志切换情况，记录每次切换的时间，及如果因为检查点(checkpoint)操作没有执行完成造成不能切换，会记录不能切换的原因; ●对数据库进行的某些操作，如创建或删除表空间、增加数据文件; ●数据库发生的错误，如表空间不够、出现坏块、数据库内部错误(ORA-600) DBA应该定期检查日志文件，根据日志中发现的问题及时进行处理 问题处理 如提示启动参数不对，则检查初始化参数文件 因为检查点操作或归档操作没有完成造成重做日志不能切换如果经常发生这样的情况，可以考虑增加重做日志文件组;想办法提高检查点或归档操作的效率; 有人未经授权删除了表空间则检查数据库的安全问题，是否密码太简单;如有必要，撤消某些用户的系统权限 出现坏块检查是否是硬件问题(如磁盘本生有坏块)，如果不是，检查是那个数据库对象出现了坏块，对这个对象进行重建 表空间不够增加数据文件到相应的表空间 出现ORA-600根据日志文件的内容查看相应的TRC文件，如果是Oracle的bug，要及时打上相应的补丁 数据库表空间使用情况检查 数据库运行了一段时间后，由于不断的在表空间上创建和删除对象，会在表空间上产生大量的碎片，DBA应该及时了解表空间的碎片和可用空间情况，以决定是否要对碎片进行整理或为表空间增加数据文件。 select tablespace_name, count(*) chunks , max(bytes/1024/1024) max_chunk from dba_free_space group by tablespace_name; 其中，CHUNKS列表示表空间中有多少可用的空闲块(每个空闲块是由一些连续的Oracle 数据块组成)，如果这样的空闲块过多，比如平均到每个数据文件上超过了100个，那么该

Oracle数据库安全配置标准

XX公司 Oracle数据库安全配置标准（试行） 1 目的 为保证公司应用系统的信息安全，规范数据库层面的安全配置操作，制定本标准。 2 范围 本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。 3 安全配置标准 3.1安装数据库的主机要求 ●主机应当专门用于数据库的安装和使用； ●数据库主机避免安装在域控制器上； ●硬件要求请参考Oracle 10g及以上各发行版自带的发行说明； ●主机操作系统层面应当保证安全：Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上，数据库软件安装之前，应当保证主机操作系统层面的安全，需要对主机进行安全设置，补丁更新，防病毒软件安装等。 3.2数据库补丁安装标准 日常运行维护中如果Oracle推出新的补丁，则应按照《基础平台运维管理办法》的相关规定，在进行评估、验证之后，升级相关补丁。 3.3数据库口令安全配置标准 3.3.1 密码复杂性配置要求 1.密码长度至少为8位 2.必须为DBA帐户和普通帐户提供复杂的口令，需要包含以下字符： ?英语大写字母 A, B, C, … Z ?英语小写字母 a, b, c, … z ?西方阿拉伯数字 0, 1, 2, (9)

?非字母数字字符，如标点符号，@, #, $, %, &, *等 ?为用户建profile，调整PASSWORD_VERIFY_FUNCTION，对密码负载度进行设置： 3.3.2 创建应用账号并授权 创建用户： SQL>create user username identified by password; 基本授权： SQL>grant connect,resource to username; 创建表空间： SQL>create tablespacetablespace_namedatafile ‘/home/oracle/tablespace_name.dbf’size 500m; 用户与表空间对应： SQL>alter user username default tablespacetablespace_name; 3.3.3 禁用不必要的数据库帐户 针对每个数据库里的数据库帐号，确保没有测试帐号和无用的帐号存在。如果存在，应该及时禁用。 使用如下语句查看数据库账号，并锁定不必要的账号 SQL> select username,password,account_status,default_tablespace from dba_users;

Oracle数据库日常维护手册

密级：保密编号： Oracle10g数据库 维护手册

日期： 编写： 核对： 更新： 目录1............................... 检查数据库基本状况9

1.1. ........................... 检查O RACLE实例状态 9 1.2. ........................... 检查O RACLE服务进程 11 1.3. ........................... 检查O RACLE监听状态 14 2........................ 检查系统和ORACLE日志文件16 2.1. ........................ 检查操作系统日志文件 16 2.2. ........................... 检查ORACLE日志文件 16 2.3. ....................... 检查O RACLE核心转储目录 18 2.4. .............. 检查R OOT用户和O RACLE用户的EMAIL 18 3.............................. 检查ORACLE对象状态18 3.1. ....................... 检查O RACLE控制文件状态

19 3.2. ....................... 检查O RACLE在线日志状态 19 3.3. ....................... 检查O RACLE表空间的状态 20 3.4. ................... 检查O RACLE所有数据文件状态 22 3.5. ................................ 检查无效对象 26 3.6. .......................... 检查所有回滚段状态 26 4.................... 检查ORACLE相关资源的使用情况27 4.1. ............. 检查O RACLE初始化文件中相关参数值 28 4.2. .......................... 检查数据库连接情况 31 4.3. ............................ 检查系统磁盘空间 34

oracle数据库维护方案

一、因为目前还不能全部通过程序来定时备份全部的数据库，采用以下备份方式 导出／导入（Export／Import） 利用Export可将数据从数据库中提取出来，利用Import则可将提取出来的数据送回到Oracle数据库中去。 １、简单导出数据（Export）和导入数据（Import） Oracle支持三种方式类型的输出： （１）、表方式（T方式），将指定表的数据导出。 （２）、用户方式（U方式），将指定用户的所有对象及数据导出。 （３）、全库方式（Full方式），瘵数据库中的所有对象导出。 数据导入（Import）的过程是数据导出（Export）的逆过程，分别将数据文件导入数据库和将数据库数据导出到数据文件。 数据库备份完成后在本地放一份，在我的本机放一份。每隔一个月刻录一次光盘。 二以后完善定时备份全部数据库时，还需要一个空间大点的服务器。可以做到定时备份数据库完成以后上传至存储数据服务器。这一系列动作都可以用程序来完成。 具体操作如下： （1）备份数据库 设定数据库的拥有者为Oracle，用户名为system，其口令为test，新建备份目录为/export/home/oracle/backup。建立一个命名为testbackup的备份文件，文件内容如下： ORACLE-HOME=/export/home/oracle;export ORACLE-HOME（数据库初始化） ORACLE-SID=ora;export ORACLE-SID（数据库初始化） rm /export/home/oracle/backup/*(清空备份目录，考虑到数据量大，可以把之前的数据清空后在做备份) rq=date +“%m%d”（取当前日期变量） /export/home/oracle/bin/exp system/test file=/export/home/oracle/backup /exp$rq.dmp log=/exoport/home/oracle/backup/exp$rq.log testbackup编写完成后，用“chmod +x testbackup”命令授予它可执行权限。 （2）异地传输 在备份主机里建立一个备份目录：/data/oradata/newbackup, 在本地主机Oracle用户的注册目录/export/home/oracle里建立一个.netrc文件。设定好备份主机的IP地址，备份主机上的用户为system, 口令为text1。.netrc文件内容为： machine x.x.x..x

Oracle数据库维护及管理基本手册

Oracle数据库维护及管理 基本手册

目录 1 目的 (4) 2 适用范围 (4) 3 适用对象 (4) 4 机房值班 (4) 4.1 服务器规划..................................................................................... 错误！未定义书签。 4.2 日常巡检......................................................................................... 错误！未定义书签。 4.3 Oracle (4) 4.3.1 表空间检查； (4) 4.3.2 表碎片整理 (5) 4.3.3 表索引整理 (5) 4.3.4 检查数据库后台进程是否正常 (6) 4.3.5 查看CRS(群集就绪软件)状态是否正常 (6) 4.3.6 检查报警日志文件 (6) 4.3.7 查看数据库监听状态和监听日志大小 (7) 4.3.8 检查数据文件状态是否是ONLINE (8) 4.3.9 检查数据库是否有失效的对象 (9) 4.3.10 检查数据库服务器性能，记录数据库的cpu使用以及io wait等待 (9) 4.3.11 检查数据库服务器磁盘空间使用率 (10) 4.3.12 检查数据库备份是否正常 (10) 4.3.13 数据库性能监控 (11) 4.3.14 历史数据清理 (11) 4.3.15 监控数据库JOB执行情况 (11) 4.3.16 用户及权限安全监控 (12) 4.4 设备重启规范 (13) 4.4.1 数据库重启 (13)