Oracle漏洞扫描安全系统加固.doc

关于操作系统和数据库合规检查漏洞的解决方案 Oracle数据库分册适用软件版 本Oracle10g、11g 适用硬件版主题关于操作系统和数据库合规检查漏洞的解决方案 Oracle数据库分册1、问题描述与原因：Oracle数据库在合规检查时被扫描岀漏洞，要求对这些漏洞进展解决2、应对措施：对存在漏洞进展定制的安全加固操作3、执行条件/须知事项：?加固前确保服务器、数据库、网管运行均正常最好重启下服务器、数据库和网管查看重 启后网管是否能运行正常如果加固前服务器本身有问题，加固后服务器运行异常会加大 排查难度本解决方案执行完成后，需要重启 Oracle数据库来生效某些操作本解决方案不必完全执行，请根据系统扫描出的漏洞选择对应的漏洞条目进展操作如无特殊说明，本文中的执行用户均为 oracle4、操作步骤：漏洞清单〔单击可跳转〕：〔注：漏洞名称与配置项信息中的配置项名称对应〕漏洞1.检查是否对用户的属性进展控制 〔5〕漏洞2.检查是否配置 Oracle软件账户的安全策略 〔2〕漏洞3.检查是否启用数据字典保护漏洞4.检查是否在数据库对象上设置了 VPD和OLS〔 6〕漏洞5.检杳是否存在 dvsvs用户dbms macadm 对象〔14〕漏洞6.检查是否数据库应配置日志功能 〔11〕漏洞7.检查是否记录操作日志 〔13〕漏洞8.检杳是否记录安全事件日志 〔7〕漏洞9.检杳是否根据业务要求制定数据库审计谋略漏洞10 检杳是否为监听设置密码漏洞11. 检杳是否限制可以访问数据库的地址 〔1〕漏洞12. 检杳是否使用加密传输 〔4〕漏洞13 检查是否设置超时时间 〔15〕漏洞14. 检查是否设置 DBA组用户数量限制 〔3〕漏洞15. 检查是否删除或者锁定无关某某漏洞16. 检查是否限制具备数据库超级管理员〔 SYSDBA〕权限的用户远程登录〔10〕漏洞17. 检查口令强度设置 〔17〕漏洞18. 检查某某口令生存周期 〔12〕漏洞19. 检查是否设置记住历史密码次数 〔8〕漏洞20. 检查是否配置最大认证失败次数漏洞21. 检查是否在配置用户所需的最小权限 〔9〕漏洞22. 检查是否使用数据库角色〔ROLE丨来管理对象的权限(16)漏洞23. 检查是否更改数据库默认某某的密码执行Oracle安全加固操作前备份文件：:bash-3.2$ cp .org:bash-3.2$ cp .orgOracle数据库漏洞的解决方案全部执行完成后，需要重启 Oracle实例来生效某些操作。

漏洞1.检查是否对用户的属性进展控制类型：Oracle数据库类问题：| a 〜亠 aaj a a 44 a a q 亠 saia 亠 4 s a sad —— aaAhaa aaaiaAb sj 44 s u』亠 sad Afaaa q-4 a a q.亠 baj 44 s a jj. sad —-aa = B a a q 亠 bsj 亠 a- s a 〜亠 sad —-aa && a a 亠亠 bBj 亠 4 s d 亠4 a a > as SBJAbaj s a』亠 a S jj. tad AA s a』亠 A：fa a a』亠 ・ w w:SQL> select count(t.username) from dba_users t where profile not in ('DEFAULT','MONITOR |lNG_PROFILE');|COUNT(T.USERNAME) 0解决方案：暂时不处理漏洞2.检查是否配置 Oracle软件账户的安全策略类型：Oracle数据库类问题：略解决方案：暂时不处理漏洞3.检查是否启用数据字典保护类型：Oracle数据库类问题：；SQL> select value from v$parameter where name like '%O7_DlCTlONARY_ACCESSlBILITY%';sele；ct value from v$parameter where name like '%O7_DICTIONARY_ACCESSIBILITY%'I!:*■[ERROR at line 1:ORA-01034: ORACLE not availableIprocess ID: 0!I[Session ID: 0 Serial number: 0解决方案：在数据库启动的情况下，通过下面的命令检查 o7_dictionary_accessibility 的参数值：■bash-3.2$ sqlplus system/oraclei:SQL*Plus: Release 1020.4.0 - Production on Thu Jan 9 11:33:56 2014II^Copyright (c) 1982, 2007, Oracle. All Rights Reserved.II:II■Connected to:IIOracle Database 10g Enterprise Edition Release 10.2.0.4.0 - ProductionI:With the Partitioning, OLAP, Data Mining and Real Application Testing optionsII:\!iSQL> show parameter o7_dictionary_accessibility;iJi![name type valueI]I:：O7_DICTIONARY_ACCESSIBILITY boolean FALSE检查出默认的结果是 FALSE后，使用下面的命令退出 SQL*PLUSI:SQL> exit:Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit ProIiAuctionWith the Partitioning, OLAP, Data Mining and Real Application Testing options漏洞4.检查是否在数据库对象上设置了 VPD和OLS类型：Oracle数据库类问题：| ■ BJB ■■■ ■■ ・・ ■ ・・・■■■■■■■■ KB ■■■■■■■■■■■■ KB ■■■■■■■ ■・・■■■・・■・・・ ■■■■■■■■ n ■ ■ ■・・■・・・ ■■■ ■・■ ■ ■» ■・・■・・・■■・・・■» ■■■■■■■■ ■ U ■■■ OtB ■ ■・■ ・・・■・・・■■■■■■■ ■・■ ■ ■«iSQL> select count(*) from v$vpd_policy;1 COUNT(*)I・ ■・・■■・・■：・・・ an ・・■■・■・ m ■・・■■・・■・・・ an ・・■«■・■・・「■■・・■・・・■■・・・bm ■・ n ■・・》・・■・・・■・・・■■・■・ n ■・ ■・・■・・・■・・・ an ・■・■・■・ m ■・・■・・・■・・・■■・・■・：■■ ■・■・■・・■・・・■・・・■!■・■■■・■・■・■・・■■・・・■・・・ n ・■ ■■解决方案：暂时不处理。

漏洞5.检查是否存在 dvsys用户dbms_macadm 对象类型：Oracle数据库类问题：iSQL> 'seleCt' c0u'nt(*)fr0m' dba_users where ■uSername=1DVSYSr;"i COUNT(*)t-—————… 解决方案：暂时不处理漏洞6.检查是否数据库应配置日志功能类型：Oracle数据库类问题：;SQL> select count(*) from dba_triggers t where trim(t.triggering_event) = trim('LOGON b;I；COUNT(*)i: 丨0解决方案：暂时不处理漏洞7.检查是否记录操作日志类型：Oracle数据库类问题：| a 二亠 aad^^aa 亠4 a a an q 亠 a m j_l ■ a a 亠 Ahaa «“ q 亠 & n』a a』亠 as a a q 亠 tad ■u a a J-s. - a q 亠 aw』a a m 4 “ n && a a ta j 亠 4 a』a =』亠 tad ■u aau：SQL> select value from v$parameter t where t.name = 'audit_trail';I —Iiselect value from v$parameter t where t.name = 'audit_trail'i:*ii〔ERROR at line 1:ORA-01034: ORACLE not availableIProcess ID: 0II^Session ID: 0 Serial number: 0I ■ an ■・・■■■ ・・■■・・・■» ■■■■■■■■■ ■・・■■・・■・・・》■■■■■■■■ ara ■・・■■・・■・・・ m ■■■■■■■ ar・■ ■ an ■・・■・・・ ■・・・■■■・■・ ■・■・ an ■・・■・・・■・・・ ■■■■■■■■ ■・・■・・・■・・・ kb ・■・■・■・na ■ ■ n解决方案：暂时不处理。

漏洞8.检查是否记录安全事件日志类型：Oracle数据库类问题：iSQ'L> 'select' c0u'nf(*)"fr0m' db a_Yriggers f where' trim(f.friggerihg_eventy="frim(1 LOGON"?); COUNT(*)r；解决方案：暂时不处理漏洞9.检查是否根据业务要求制定数据库审计谋略类型：Oracle数据库类问题：；SQL> select value from v$parameter t where t.name = 'audit_trail';Iiselect value from v$parameter t where t.name = 'audit_trail'I:*I[ERROR at line 1:IOrA-01034: ORACLE not availableI:Process ID: 0II■Session ID: 0 Serial number: 0la Ha j-LHa4Aaaa albs albs Abia albs解决方案：暂时不处理漏洞10. 检查是否为监听设置密码类型：Oracle数据库类问题：；$ cat 'find $ORaCle_HOME -name sqlnet.ora' | grep -v "#"|grep -v "A$"find: 0652-081 cani[not change directory to : : The file aAccess permission。