©2010-2026 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
1、XXXOracle数据库平安加固方案 2014年11月19日 前言 为标准Oracle数据库平安加固操作,全面系统地降低Oracle数据库面临的风险,及时堵塞漏洞,提高平安防护能力,特制 订?XXXOracle数据库平安加固方案?。 审计操作 2.重启数据库.使设置生效 linux/unix平台那么 会记录在 audit_file_dest 参 数指定文件中;审计 功能对数据库的性能 和磁盘空间要求较 高;需要重启数据库, 应提前通知业务部门 20 配置日志策略,确保数据库 的归档日志文件、在线日志 文件、网络日志、跟踪文件、 警告日志记录功能是否启 用并且仃效实施 1
2、 .配宜归档模式 将数据库正常美闭 SQL>SHUTDOWN IMMEDIATE 启动到MOUNT模式 SQL>STARTUP MOUNT SQL>ALTER DATABASE ARCHIVELOG SQL>ALTER DATABASE OPEN 2 .配置归档日志的名称格式 ALTER SYSTEM SET 1og_archvie_format=,%S_%T^%R. 1og' scope=spfile 3 .配置归档位置 ALTER SYSTEM SET 1og_arch i ve_dest_1=' 1ocat i on=\orac1e\oradata\arch i ve
3、1' scope=spfile 对磁盘空间要求非常 高;需要重启数据库, 应提前通知业务部门 21 配置日志管理策略、保证口 志存放的地点的平安可奇 1.配置多个归档位置,包括本地归档位置和远程归档位置 ALTER SYSTEM SET log_archive dest_2=,location=\oracle\oradata\archive2' scope=spfile ALTER SYSTEM SET log_archive_dest_3=,service=standby' scope=spfile 配置远程归档位置时,SERVICE选项需要制定远程数据库的网络效劳名(在tns
4、names. Ora文 件中配置) 对磁盘空间要求非常 高:需要重启数据库, 应提前通知业务部门 漏洞加固 22 安装系统平安补丁,对扫描 或手工检查发现的系统漏 洞进展修补 1 .运行防病毒软件(如SEP)保护操作系统 2 .下载并安奘相应的平安补丁 更新平安补丁可能对 数据库系统、应用系 统造成影响:需要进 展严格测试并做好备 份恢豆措施后实施. 退出系统 23 退出系统 1 .断开数据库连接 2 .关闭和数据库主机之间的连接 5.方案实施操作记录 Oracle数据库平安加固操作记录见附录A。 附录A Oracle数据库平安加固操作记录 编号:日期:
5、年 月日
名称:
地点:
序号
工程
完成情况
1
登录系统
2
帐号权限加固
3
数据访问控制加固
4
效劳加固
5
网络访问控制加固
6
口令策略加固
7
审计谋略加固
8
漏洞加固
9
退出系统
记录
请详细记录操作情况:
操作说明
操作命令
备注
删除权限
REVOKE select any table FROM
6、 本方案主要起草人:XXX。 目录 1 .适用范围2.方案实施准备3 2 . 1准备工作3 3 .2危险点分析及慎控措施3.方案实施流程4 2 .方案实施程序及标准4.方案实施操作记录11 XXXOracle数据库平安加固方案 i.适用范围 本方案适用于XXX Oracle 8i. 10g数据库平安加固。 2 .方案实施准备准备工作 序号 内容 标准 1 核实Oracle数据库平安加固操作申谙 熟悉本次方案实施的内容和操作 2 填写、核实工作操作内容 填写工作操作内容,并经相美责任人书面认可 3 获知木次操作所需的信息 1、获知Oracle数据库主机的
7、地址、用户名和密码 2、获知Oracle数据库sys和system用户的密码 危险点分析及预控措施 序号 危险点 防范措施 1 修改帐号权限时,造成权限过大或过小 以最小权限原那么为每个帐号分配其必须的角色、系统权限、对象权限 和语句权限 2 删除或制止有用的效劳、组件等 对无用的效劳、组件进展排查,并和应用系统厂商进展确认 3 增加网络访问控制,对应用系统造成影响 操作前和业务部门、应用系统厂商进展确认并做好测试工作 .方案实施流程 3 .方案实施程序及标准 序号 工作内容 操作方法及标准 平安措施及本卷须知 登录系统 1 通过管理主机登录Ora
8、cle 数据库主机
通过ssh或vnc或RDP登录Oracle数据库主机,输入用户名密码
注意用户名、密码的 保密
2
登录Oracle数据库
以sys用户的身份登录Oracle数据库,默认:
sqlplus / as sysdba (10g) IjJc sqlplus usornamc/password (8i)
帐号权
限加固
3
限制应用用户在数据库中 的权限,尽量保证最小化, 防止授予了 DBA权限
1 .杳看权限
SQL>SELECT * FROM dba_sys_privs WHERE grantce=
9、CT * FROM dba_tab_privs WHERE grantee=
10、程序包执行权限 SQL>SELECT table_name PROM dba tab privs WHERE grantee='PUBLIC' and 执行权限 privilege:'EXECUTE'; 2.撤销public角色的程序包执行权限(例如撤销在utl file包上的执行权限) SQL>REVOKE execute ON utl file FROM public; Oracle 官方建议撤销 publ ic 角色对le、utl、utl tcp> utl_smlp» dbns random 程序包的执行权限. 5 修改系统帐户的默认口令 (特别是管理员角色
11、类帐 户)锁定所有不需要的用户
1 .修改sys和system 口令
SQL>ALTER USER sys IDENTIFIED BY
12、 CASCADE;
7
为所有应用用户配置强口 令
1,根据设置的口令策略修改弱口令
SQL>ALTER USER 〈username〉 IDENTIFIED BY
13、统同理(方法不同) 修改权限可能对局部 应用系统造成影响, 褥要联系业务部门和 应用系统厂商做好相 美的测试工作 9 ®fi$ORACLE_HOME/bin 其 下所有程序的访问权限或 其他平安控制机制 1 .用操作系统命令查看bin目录下所有程序文件的访问权限(以RedHat Linux为例) Is -1 $0RACLE_H0ME/bin 2 .用操作系统命令删除组和其他用户的写权限 chmod 640 $OKACLE_HOME/bin/* 修改权限可能对局部 应用系统造成影响. 需要联系业务部门和 应用系统厂商做好相 J J 关的测试工作 效劳加 固
14、
10
在不影响业务系统正常运 行情况下,停顿或禁用与承 放业务无关的效劳或组件
1 .用操作系统命令查看有无与业务无关的效劳或组件
2 .用操作系统命令停顿或禁用与业务无关的效劳或组件
需要和业务部门确认
11
删除数据库中存在有无用 的、测试的、废弃的表.视 图
1 .查看数据库中表或视图等对象
SQL>SELECT * FROM dba.tables:
SQL>SELECT * FROM dba_views:
2 .删除数据库中存在的无用的、测试的、废弃的表或视图
SQL>DROP TABLE 15、m©>:
需要和业务部门确认
网络访问控制加固
12
设置TNS登录的1P眼制, 仅允许最少的必要的1P地 址可连接TNS监听器
1 .在目录$ORACLE』OYE/network/admin下修改sqlnet. ora文件实现TNS登录IP限制,设置以 下配设信息:
tcp.validn 16、统 造成影响,需要联系 业务部门和应用系统 厂商做好相关的测试 工作
13
关闭远程操作系统认证
1,在目录$ORACLE_HOME/ne,ork/admin下修改sqlnet. ora文件,设置以下配身信息: sqlnet. authentication_services=(NONE)
2.修改参数 Remote_login_passwordfile 为 EXCLUSIVE 或 SHARED
SQL>ALTER SYSTEM SET REiK)TE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE:
需要重启效劳,应提 前通知业务部门
17、3,修改参数 REMOTE_OS_AITHENT
SQL>ALTER SYSTEM SET REVK)TE_OS_AUTHENT=FALSE SCOPE=SPFILE;
4,重启数据库和监听使修改生效
14
在不影响应用的前提下,更
改默认的1521端口
1 .查看当前监听的状态
Isnrctl status
2 .停顿监听
Isnrctl stop
3 .修改监听文件的端口号,在目录$ORACLE_HOVE/nctwork/admin下修改listener.ora文件 (例如把端口号改为“251)
LISTENER =
(DESCRIPTIONJJST =
(D 18、ESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST=1XX?ALHOST)(PORT=11251))
)
)
1.修改初始化参数local 1 istener
SQL>AI.TER SYSTEM SET local listener='"(address=(protocol=tcp) (host=localhost) (pnrt=l 1251 J)",;
SQDquit
5 .重启监听器
Isnrctl start
6 .修改完毕,使用新端口登录测试
netstat -tunap I grep 11251
Isnrctl statu 19、s
客户端连接测试
对所仃应用系统都行 影响,需要跟业务部 门配合做好评估和测 试工作
15
限制对监听器的远程管理, 并设置监听器管理口令
1.进入监听设置状态
Isnrctl
可能对局部应用系统 造成膨响,需要联系
(8i)
2 .设置当前监听器
set current」istener 〈listenername)
3 .设置密码 change_password set password
4 .保存设置 save_config
5 .检查 1 istener. ora 文件,看是否有一条 PASSWORDS_<1 istenername》的记录
业务部门 20、和应用系统 厂商做好相关的测试
工作
16
外部程序调用监听配置的
删除(8i)
1 .翻开listener.ora文件,删除以下配置文件: (ADDRESS_LIST =
(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROCO)) )
(SID_DESC =
(SID_NAME = PLSExtProc)
(ORACLE_1IOME = C:\oracle\ora81) (PROGRAM = extproc)
)
2 .重启监听
3 .查看监听状态
钛认安装时,会安装 一个PL/SQL外部程序
(ExtProc)条目在 listene 21、r. ora 中,是 oracle为调用外部程 序默认配置的监听, 它的名字通常是 ExtProc 或 PLSExtProc,但一般 不会使用它,可以直 接从 listener.ora 中 将这项移除,因为对 Ext Proc已经有多种 攻击手段了,在不使 用外部程序时, oracle也是建议删除 的。
口令策略加固
16
设置口令且杂度要求
1 .检查profile文件设酉
SQ1.>SELECT * FROM dba_prof i 1 es :
2 .创立口令复杂度函数
SQL>fl$ORACLE_HOME/rdb 22、口令复杂度,要求长度不小卜4位字符串,而且是字母和数字或特殊字符的混合,用户 名和口令制止一样
SQL>ALTER PROFILE "DEFAULT- LIMIT password_verify_funclion verify_function;
但是Oracle 口令复杂 度包含的特殊字符不 是任意特殊字符都可 以,一般以下划线、$、 *等符号为主.
17
设置口令使用期限,要求到
期后自动更改
1 .检查profile文件设区
SQL>SELECT * FROM dba_profiles:
2 .设置profi le密码策略,建议使用控制台设置
SQL>ALTER PRO 23、FILE "DEFAULT" LIMIT password.)ife.time 30:
18
设置策略对口令尝试次数 进展限制
1 .检查profile文件设置
SQL>SELECT ♦ FROM dba profiles:
2 .设置profile密码策略
SQL>ALTER PROFILE "DEFAULT" LIMIT failed login attempts 5 password lock .time 1;
设置口令尝试次数为 5次,登录超过有效次 数锁定时间为1天.
缺陷是万一有恶意访 何,在输入屡次错误 密码后此用户就被锁 定导致不可用.
审计谋略加固
19
启用相应的审计功能,配置 审核策略使系统能够审核 数据库管理和平安相关操 作的信息,建议对SYSDBA
1 .启用审计功能
SQL>ALTER SYSTEM SET audit_trail=os scopo=spfilc:
2 .启用对sysdba的活动审计
SQL>ALTER SYSTEM SET audit sys_operations=true;
假设是windows平 台,audit trai 1 会记 录在windows的事件 管理器中,假设是
©2010-2026 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
