Oracle数据库系统加固规范62477【技术学习】.doc

Oracle数据库系统加固规范目　录1 账号管理、认证授权 11.1 账号 11.1.1 SHG-Oracle-01-01-01 11.1.2 SHG-Oracle-01-01-02 21.1.3 SHG-Oracle-01-01-03 31.1.4 SHG-Oracle-01-01-04 41.1.5 SHG-Oracle-01-01-05 51.1.6 SHG-Oracle-01-01-06 71.1.7 SHG-Oracle-01-01-07 81.1.8 SHG-Oracle-01-01-08 101.2 口令 111.2.1 SHG-Oracle-01-02-01 111.2.2 SHG-Oracle-01-02-02 121.2.3 SHG-Oracle-01-02-03 141.2.4 SHG-Oracle-01-02-04 151.2.5 SHG-Oracle-01-02-05 162 日志配置 182.1.1 SHG-Oracle-02-01-01 182.1.2 SHG-Oracle-02-01-02 212.1.3 SHG-Oracle-02-01-03 222.1.4 SHG-Oracle-02-01-04 243 通信协议 253.1.1 SHG-Oracle-03-01-01 253.1.2 SHG-Oracle-03-01-02 264 设备其他安全要求 274.1.1 SHG-Oracle-04-01-01 274.1.2 SHG-Oracle-04-01-02 29互联网络1 账号管理、认证授权1.1 账号1.1.1 SHG-Oracle-01-01-01编号SHG-Oracle-01-01-01名称为不同的管理员分配不同的账号实施目的应按照用户分配账号，避免不同用户间共享账号,提高安全性。

问题影响账号混淆，权限不明确，存在用户越权使用的可能系统当前状态select   *   from   all_users;   select   *   from   dba_users;记录用户列表实施步骤1、参考配置操作create user abc1 identified by password1;create user abc2 identified by password2;建立role，并给role授权，把role赋给不同的用户2、 补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；回退方案删除用户：例如创建了一个用户 A，要删除它可以这样做connect sys/密码 as sysdba;drop user A cascade;//就这样用户就被删除了判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注1.1.2 SHG-Oracle-01-01-02编号SHG-Oracle-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患问题影响允许非法利用系统默认账号系统当前状态select   *   from   all_users;   select   *   from   dba_users;记录用户列表实施步骤1、参考配置操作alter user username lock;//锁定用户drop user username cascade;//删除用户回退方案删除新增加的帐户判断依据首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除实施风险高重要等级★★★备注1.1.3 SHG-Oracle-01-01-03编号SHG-Oracle-01-01-03名称限制超级管理员远程登录实施目的限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

问题影响允许数据库超级管理员远程非法登陆系统当前状态查看spfile,sqlnet.ora内容实施步骤1、参考配置操作在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录回退方案还原spfile,sqlnet.ora文件配置判断依据判定条件1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库2. 在数据库主机上以sqlplus ‘/as sysdba’连接到数据库需要输入口令检测操作1. 以Oracle用户登陆到系统中2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONEShow parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。

实施风险高重要等级★★★备注1.1.4 SHG-Oracle-01-01-04编号SHG-Oracle-01-01-04名称权限最小化实施目的在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限问题影响账号权限越大,对系统的威胁性越高系统当前状态select * from user_sys_privs;select * from user_role_privs;select * from user_tab_privs;记录用户拥有权限实施步骤1、 参考配置操作grant　权限　to username;revoke 权限　from username;2、 补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限回退方案还原添加或删除的权限判断依据业务测试正常实施风险高重要等级★备注1.1.5 SHG-Oracle-01-01-05编号SHG-Oracle-01-01-05名称数据库角色实施目的使用数据库角色（ROLE）来管理对象的权限问题影响账号管理混乱 系统当前状态select * from dba_role_privs;select * from user_role_privs;记录用户拥有的role实施步骤一．创建角色,修改角色1.创建角色，不指定密码：create role testrole；2．创建角色，指定密码：create role testrole identified by passwd;3．修改角色：alter role testrole identified by passwd;4. 给角色授予权限。

Grant select on Table_name to testrole;把角色赋予用户：（特别说明，授予角色不是实时的如下：）grant testrole to User_Name;二、起用角色：给用户赋予角色，角色并不会立即起作用1．角色不能立即起作用必须下次断开此次连接，下次连接才能起作用2.或者执行命令：有密码的角色set role testrole identified by passwd 立即生效；3．无密码的角色：set role testrole；回退方案删除相应的Rolerevoke   role_name   from   user_name判断依据对应用用户不要赋予DBA Role或不必要的权限实施风险高重要等级★备注1.1.6 SHG-Oracle-01-01-06编号SHG-Oracle-01-01-06名称用户profile实施目的对用户的属性进行控制，包括密码策略、资源限制等问题影响账号安全性低. 系统当前状态SELECT profile FROM dba_users WHERE username=’user_name’;记录用户赋予的profile实施步骤可通过下面类似命令来创建profile，并把它赋予一个用户SQL> show parameter resource_limitSQL> alter system set resource_limit=true;CREATE PROFILE profile_name LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90;ALTER USER user_name PROFILE profile_name;回退方案alter user dinya profile default;恢复默认判断依据1. 可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。

2. 可通过设置profile来限制数据库账户的CPU资源占用4、检测操作1. 以DBA用户登陆到sqlplus中2. 查询视图dba_profiles和dba_usres来检查profile是否创建实施风险高重要等级★备注1.1.7 SHG-Oracle-01-01-07编号SHG-Oracle-01-01-07名称数据字典保护实施目的启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表问题影响数据库安全性低.系统当前状态Show parameter O7_DICTIONARY_ACCESSIBILITY记录当前状态实施步骤通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile; 回退方案修改O7_DICTIONARY_ACCESSIBILITY为原来属性判断依据以普通用户登陆到数据库，不能查看X$开头的表，比如：select * from sys. x$ksppi;检测操作1. 以Oracle用户登陆到系统中2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。

3. 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSEShow 。