oracle數(shù)據(jù)庫系統(tǒng)加固規(guī)范

SHG-Oracle-03-01-01 25SHG-Oracle-03-01-02 264設(shè)備其他安全要 28SHG-Oracle-04-01-01 28SHG-Oracle-04-01-02 29SHG-Oracle-01-01-01號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟SHG-Oracle-01-01-01為不同的管理員分配不同的賬號應(yīng)按照用戶分配賬號，避免不同用戶間共享賬號,提高安全select*fromall_users;select*fromdba_users;記錄用戶列表1、參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;立role，并給role授權(quán)，把role賦給不同的用戶2、補充操作說明1、abc1和abc2是兩個不同的賬號名稱，可根據(jù)不同用刪除用戶：例如創(chuàng)建了一個用戶A，要刪除它可以這樣做connectsys/密碼assysdba;dropuserAcascade;不能通過不能通過Sql*Net遠(yuǎn)程以SYSDBA用戶連接到數(shù)據(jù)庫。2.在數(shù)據(jù)庫主機(jī)上以sqlplus‘/assysdba’連接到據(jù)庫需要輸入口令。檢檢測操作2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/文件中參數(shù)是否被設(shè)置成NONE。實施風(fēng)險重要等級高★★★SHG-Oracle-01-01-04SHGSHG-Oracle-01-01-04權(quán)限最小化在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所對系統(tǒng)的威脅性越高select*fromuser_sys_privs;select*fromuser_role_privs;select*fromuser_tab_privs;記錄用戶擁有權(quán)限號實施目的系統(tǒng)當(dāng)前狀態(tài)、參考配置操作grant權(quán)限tousername;revoke權(quán)限fromusername;2、補充操作說明用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限還原添加或刪除的權(quán)限業(yè)務(wù)測試正常實施步驟判斷依據(jù)實施風(fēng)險重要等級高★SHG-Oracle-01-01-05號SHG-Oracle-01-01-05數(shù)據(jù)庫角色實施目的使用數(shù)據(jù)庫角色(ROLE)來管理對象的權(quán)限。賬號管理混亂select*fromdba_role_privs;系統(tǒng)當(dāng)前狀態(tài)select*fromuser_role_privs;記錄用戶擁有的role一．創(chuàng)建角色,修改角色1.創(chuàng)建角色，不指定密碼：createroletestrole；2．創(chuàng)建角色，指定密碼：createroletestroleidentifiedbypasswd;alterroletestroleidentifiedbypasswd;4.給角色授予權(quán)限。GrantselectonTable_nametotestrole;實施步驟實施步驟granttestroletoUser_Name;二、起用角色：給用戶賦予角色，角色并不會立即起作1．角色不能立即起作用。必須下次斷開此次連接，下次連接才能起作用。testroleidentifiedbypasswd立即生效；3．無密碼的角色：setroletestrole；刪除相應(yīng)的Rolerevokerole_namefromuser_name高高★判斷依據(jù)實施風(fēng)險重要等級對應(yīng)用用戶不要賦予DBARole或不必要的權(quán)限SHG-Oracle-01-01-06SHGSHG-Oracle-01-01-06用戶profile對用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。SELECTprofileFROMdba_usersWHEREusername=’user_name’;記錄用戶賦予的profile可通過下面類似命令來創(chuàng)建profile，并把它賦予一個戶SQL>showparameterresource_limitSQL>altersystemsetresource_limit=true;CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟高高★PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERuser_namePROFILEprofile_name;判斷依據(jù)實施風(fēng)險重要等級alteruserdinyaprofiledefault;恢復(fù)默認(rèn)1.可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程2.可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶的CPU資源占4、檢測操作2.查詢視圖dba_profiles和dba_usres來檢查profile是否創(chuàng)建。SHG-Oracle-01-01-07編編號SHG-Oracle-01-01-07實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)實施風(fēng)險數(shù)據(jù)字典保護(hù)啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問數(shù)據(jù)字ShowparameterO7_DICTIONARY_ACCESSIBILITY記錄當(dāng)前狀態(tài)通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)字典。altersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;修改O7_DICTIONARY_ACCESSIBILITY為原來屬性以普通用戶登陸到數(shù)據(jù)庫，不能查看X$開頭的表，比select*fromsys.x$ksppi;檢測操作2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境3.使用showparameter命令來檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY高重重要等級★SHG-Oracle-01-01-08SHGSHG-Oracle-01-01-08限制在DBA組中的操作系統(tǒng)用戶數(shù)量，通常DBA組中Cat/etc/passwd參考配置操作通過/etc/passwd文件來檢查是否有其它用戶在DBA組e1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd-lusername只有具備超級用戶權(quán)限的使用者方可使用，#passwd-lusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。還原/etc/passwd文件判定條件屬于DBA組。檢測操作號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)影響組用戶管理通通過/etc/passwd文件來檢查是否有其它用戶在DBA組高★實施風(fēng)險重要等級SHG-Oracle-01-02-01號SHG-Oracle號缺省密碼長度復(fù)雜度限制對于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長度至少6實施目的位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4實施目的至少2系統(tǒng)當(dāng)前狀態(tài)SELECTprofileFROMdba_系統(tǒng)當(dāng)前狀態(tài)eusername用戶賦予的profile1、參考配置操作為用戶建profile，調(diào)整PASSWORD_VERIFY_FUNCTION，指定密碼復(fù)雜度實施步驟實施步驟SQL>CREATEORREPLACEFUNCTIONmy_password_verify(usernameVARCHAR2,password,old_,old_passwordVARCHAR2)RETURNBOOLEAN2BEGIN3IFLENGTH(password)<6THEN4raise_application_error(-20001,''Passwordmustbeatleast6characterslong'');5ENDIF;6RETURN(TRUE);7END;SQL>createprofileTEST_PROFILElimit2password_verify_functi判斷依據(jù)實施風(fēng)險重要等級MY_PASSWORD_VERIFY;alteruseruser_nameMY_PASSWORD_VERIFY;1、判定條件修改密碼為不符合要求的密碼，將失敗alteruseruser_nameidentifiedbypasswd;將失敗低★★★SHG-Oracle-01-02-02編編號SHG-Oracle-01-02-02實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)缺省密碼生存周期限制對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期密碼被非法利用，并且難以管理密碼被非法利用，并且難以管理SELECTprofileFROMdba_usersWHEREusername’user_name’;記錄用戶賦予的profile、參考配置操作為用戶建相關(guān)profile，指定PASSWORD_GRACE_TIME為2、補充操作說明alteruseruser_nameprofiledefault;3、判定條件到期不修改密碼，密碼將會失效。連接數(shù)據(jù)庫將不會成功測操作connectusername/password報錯實施風(fēng)險重要等級低★★★功功低★SHG-Oracle-01-02-03號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)實施風(fēng)險重要等級SHG-Oracle-01-02-03密碼重復(fù)使用限制對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不密碼破解的幾率增加能重復(fù)使用最近5次(含5密碼破解的幾率增加SELECTprofileFROMdba_usersWHEREusername’user_name’;記錄用戶賦予的profile、參考配置操作為用戶建profile,指定PASSWORD_REUSE_MAX為52、補充操作說明當(dāng)前使用的密碼，必需在密碼修改5次后才能再次被使用alteruseruser_nameprofiledefault;3、判定條件重用修改5次內(nèi)的密碼，將不能成功測操作alteruserusernameidentifiedbypassword1;password1在5次修改密碼內(nèi)被使用，該操作將不能成中中★號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)SHG-Oracle-01-02-04密碼重試限制對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證允許暴力破解密碼失敗次數(shù)超過6次(不含6允許暴力破解密碼SELECTprofileFROMdba_usersWHEREusername’user_name’;記錄用戶賦予的profile、參考配置操作為用戶建profile，指定FAILED_LOGIN_ATTEMPTS為62、補充操作說明如果連續(xù)6次連接該用戶不成功，用戶將被鎖定alteruseruser_nameprofiledefault;3、判定條件連續(xù)6次用錯誤的密碼連接用戶，第7次時用戶將被鎖定測操作實施風(fēng)險重要等級connectusername/password，連續(xù)6次失敗，用戶被鎖定號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟SHG-Oracle-01-02-05修改默認(rèn)密碼更改數(shù)據(jù)庫默認(rèn)帳號的密碼。可能被破解密碼詢問管理員賬號密碼,并記錄參考配置操作1.可通過下面命令來更改默認(rèn)用戶的密碼：ALTERUSERuser_nameIDENTIFIEDBYpasswd;2.下面是默認(rèn)用戶密碼列表：CTXSYSCTXSYSDBSNMPDBSNMPLBACSYSLBACSYSMDDATAMDDATAMDSYSMDSYSDMSYSDMSYSOLAPSYSMANAGERORDPLUGINSORDPLUGINSORDSYSORDSYSOUTLNOUTLN中中★SI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASYSCHANGE_ON_INSTALLSYSMANCHANGE_ON_INSTALL判斷依據(jù)SYSTEMMANAGERALTERUSERuser_nameIDENTIFIEDBYpasswd;判定條件不能以用戶名作為密碼或使用默認(rèn)密碼的賬戶登陸到數(shù)據(jù)庫。檢測操作2.檢查數(shù)據(jù)庫默認(rèn)賬戶是否使用了用戶名作為密碼或默認(rèn)密碼。實施風(fēng)險重要等級---------SHG-Oracle-02-01-01號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟SHG-Oracle-02-01-01啟用日志記錄功能數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄時用戶使用的IP地址。無法對用戶的登陸進(jìn)行日志記錄--createtablelogin_--登入登出信息表(--session_idintnotnull--sessionidlogin_on_time登入時間login_off_time登出時間user_in_db登入的dbuserdate,date,varchar2(30),機(jī)machinevarchar2(20),--機(jī)器名ip_addressvarchar2(20),--ip地址run_programvarchar2(20)--以何程序登入);createorreplacetriggerlogin_on_info--記錄登入信息的觸發(fā)器afterlogonondatabaseBegininsertintologin_log(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)selectAUDSID,sysdate,null,,machine,SYS_CONTEXT('USERENV','IP_ADDRESS'),programfromv$sessionwhereAUDSID=USERENV('SESSIONID');--當(dāng)前SESSIONEND;createorreplacetriggerlogin_off_info--記錄登出信息的觸發(fā)器beforelogoffondatabaseBeginupdatesysdatelogin_loglogin_off_time=wheresession_idUSERENV('SESSIONID');--當(dāng)前SESSIONexceptionwhenothersthennull;END;ALTERTRIGGER名稱DISABLE;droptrigger名稱;=判斷依據(jù)實施風(fēng)險重要等級判定條件登錄測試，檢查相關(guān)信息是否被記錄補充說明觸發(fā)器與AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是足。特別是RAC環(huán)境，資源消耗較大。低★★★SHG-Oracle-02-01-02號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟SHG-Oracle-02-01-02記錄用戶對設(shè)備的操作數(shù)據(jù)庫應(yīng)配置日志功能，記錄用戶對數(shù)據(jù)庫的操作無法對用戶的操作進(jìn)行日志記錄createtableemployees_log(whovarchar2(30),actionvarchar2(20));whendate);createorreplacetriggerbiud_employ_copybeforeinsertorupdateordeleteonemployees_copydeclarel_action%type;begininsertingthenl_action:='insert';elsifupdatingthen高高★判斷依據(jù)實施風(fēng)險重要等級elsifdeletingthenl_action:='update';elseraise_application_error(-2001,'youshouleneverevergetthiserror.');endif;insertintoemployees_log(who,action,when)values(user,l_action,sysdate);endbiud_employ_copy;ALTERTRIGGER名稱DISABLE;droptrigger名稱;SHG-Oracle-02-01-03號SHG-Oracle-02-01-03記錄系統(tǒng)安全事件實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)實施風(fēng)險通過設(shè)置讓系統(tǒng)記錄安全事件，方便管理員分析無法記錄系統(tǒng)的各種安全事件參考配置操作createtablejax_event_table(eventnamevarchar2(30),timedate);createtriggertr_startupafterstartupondatabasebegininsertintojax_event_tablevalues(ora_sysevent,sysdate);end;createtriggertr_shutdownbeforeshutdownondatabasebegininsertintojax_event_tabledroptrigger名稱;記錄系統(tǒng)安全事件高重重要等級★SHG-Oracle-02-01-04SHGSHG-Oracle-02-01-04數(shù)據(jù)庫審計策略根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計策略日志被刪除后無法恢復(fù)。showparameteraudit_sys_operations;showparameteraudit_trail;查看返回SQL>altersystemsetaudit_sys_operations=TRUEscope=spfile;SQL>altersystemsetaudit_trail=dbscope=spfile;SQL>showparameteraudit;SQL>auditallontable_name;noauditallontable_name;恢復(fù)audit_sys_operations,audit_trail屬性判定條件對審計的對象進(jìn)行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。檢測操作1.檢查初始化參數(shù)audit_trail是否設(shè)置。號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)2.2.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數(shù)AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別實施風(fēng)險重要等級低★3通信協(xié)議SHG-Oracle-03-01-01SHGSHG-Oracle-03-01-01設(shè)置只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。P查看$ORACLE_HOME/network/admin/參考配置操作只需在服務(wù)器上的文件$ORACLE_HOME/network/admin/中設(shè)置以下行：=yes=(ip1,ip2?)號實施目的系統(tǒng)當(dāng)前狀態(tài)實施步驟判斷依據(jù)還原$ORACLE_HOME/network/admin/文件判定條件在非信任的客戶端以數(shù)據(jù)庫賬戶登陸被提示拒絕。檢測操作檢查$ORACLE_HOME/network/admin/文件中是否設(shè)置參實施風(fēng)險重要等級高SHG-Oracle-03-01-02SHGSHG-Oracle-03-01-02網(wǎng)絡(luò)數(shù)據(jù)傳輸安全使用Oracle提供的高級安全選件來加密客戶端與數(shù)據(jù)庫之間或中間件與數(shù)據(jù)庫之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)數(shù)據(jù)傳輸?shù)牟话踩栽黾佑涗洐z查$ORACLE_HOME/network/admin/文件號實施目的系統(tǒng)當(dāng)前狀態(tài)高高★參考配置操作1.在OracleNetManager中選擇“OracleAdvanced實施步驟判斷依據(jù)2.然后選擇Encryption。4.選擇加密類型。5.