绿盟oracle基线扫描的修复过程

最新推荐文章于 2022-12-28 21:07:27 发布
最新推荐文章于 2022-12-28 21:07:27 发布
阅读量649 收藏
点赞数 1
文章标签: 数据库

 \\检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。已修复

修复前:
SQL> show parameter remote_login_passwordfile;
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
remote_login_passwordfile            string      EXCLUSIVE
修复方法:    
alter system set remote_login_passwordfile=NONE scope=spfile sid='*';    
修复后:
SQL>  show parameter remote_login_passwordfile;
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
remote_login_passwordfile            string      NONE


\\检查是否对用户的属性进行控制。已修复

修复方法:
alter profile SYS_PROF limit PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_GRACE_TIME 90; 
alter profile CMSZ_PROF limit PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_GRACE_TIME 90; 
alter profile APP_PROF limit PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_GRACE_TIME 90; 
alter profile MONITORING_PROFILE limit PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_GRACE_TIME 90; 
修复后:    
SQL> select * from DBA_PROFILES where PROFILE='SYS_PROF';
PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT
------------------------------ -------------------------------- -------- ----------------------------------------
SYS_PROF                       COMPOSITE_LIMIT                  KERNEL   DEFAULT
SYS_PROF                       SESSIONS_PER_USER                KERNEL   DEFAULT
SYS_PROF                       CPU_PER_SESSION                  KERNEL   DEFAULT
SYS_PROF                       CPU_PER_CALL                     KERNEL   DEFAULT
SYS_PROF                       LOGICAL_READS_PER_SESSION        KERNEL   DEFAULT
SYS_PROF                       LOGICAL_READS_PER_CALL           KERNEL   DEFAULT
SYS_PROF                       IDLE_TIME                        KERNEL   120
SYS_PROF                       CONNECT_TIME                     KERNEL   DEFAULT
SYS_PROF                       PRIVATE_SGA                      KERNEL   DEFAULT
SYS_PROF                       FAILED_LOGIN_ATTEMPTS            PASSWORD 6
SYS_PROF                       PASSWORD_LIFE_TIME               PASSWORD 60
SYS_PROF                       PASSWORD_REUSE_TIME              PASSWORD 60
SYS_PROF                       PASSWORD_REUSE_MAX               PASSWORD 5
SYS_PROF                       PASSWORD_VERIFY_FUNCTION         PASSWORD VERIFY_FUNCTION
SYS_PROF                       PASSWORD_LOCK_TIME               PASSWORD DEFAULT
SYS_PROF                       PASSWORD_GRACE_TIME              PASSWORD 90   \\建议改为7就行了
    

\\检查是否启用数据字典保护。已修复。

修复方法:
alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile sid='*'; 
修复后:
SQL> show parameter O7_DICTIONARY_ACCESSIBILITY
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY          boolean     FALSE

\\检查是否设置数据库口令复杂度,建议系统用户不更改:MGMT_VIEW,SYS,SYSTEM,SYSMAN。已修复。

修复方法:
select distinct profile from dba_profiles;
select username,profile from dba_users where account_status='OPEN'; 
alter user GUOBB profile CMSZ_PROF; 
alter user SCOTT profile CMSZ_PROF;
alter user YANGMM profile CMSZ_PROF;
alter user FVNOPUB profile APP_PROF;
修复后:    
SQL> select username,profile from dba_users where account_status='OPEN'; 
USERNAME                       PROFILE
------------------------------ ------------------------------
GUOBB                          CMSZ_PROF
SCOTT                          CMSZ_PROF
YANGMM                         CMSZ_PROF
MCBDBA                         APP_PROF
FVNOPUB                        APP_PROF
DBSNMP                         MONITORING_PROFILE
MGMT_VIEW                      DEFAULT
SYS                            DEFAULT
SYSTEM                         DEFAULT
SYSMAN                         DEFAULT


\\检查是否限制DBA组中的操作系统用户(只有oracle安装用户) ,oracle/grid用户必须为dba组。其他用户可以去掉。不需修复

修复方法:
grep dba /etc/group   
修复后:
oracle@tyqzoraa[fms1]:/home/oracle$ grep dba /etc/group 
dba::201:grid,oracle
asmdba::206:grid,oracle
    

\\检查是否设置登录认证方式。已修复

修复方法:
alter system set REMOTE_OS_AUTHENT=FALSE scope=spfile sid='*'; 
修复后:
SQL> show parameter REMOTE_OS_AUTHENT
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
remote_os_authent                    boolean     FALSE
    

\\检查是否设置PUBLIC角色执行权限。在使用中不能去除权限。已修复

修复前:
select table_name from dba_tab_privs where grantee='PUBLIC' and privilege='EXECUTE' and table_name in ('UTL_FILE','UTL_TCP','UTL_HTTP','UTL_SMTP','DBMS_LOB','DBMS_SYS_SQL','DBMS_JOB');
TABLE_NAME
------------------------------
DBMS_LOB
UTL_TCP
UTL_HTTP
UTL_FILE
UTL_SMTP
DBMS_JOB
修复方法:
revoke execute on 程序包名称 from public; 
修复后:
SQL> select table_name from dba_tab_privs where grantee='PUBLIC' and privilege='EXECUTE' and table_name in ('UTL_FILE','UTL_TCP','UTL_HTTP','UTL_SMTP','DBMS_LOB','DBMS_SYS_SQL','DBMS_JOB');
TABLE_NAME
------------------------------
DBMS_LOB
UTL_FILE
DBMS_JOB
    

\\检查是否设置用户登录日志触发器。可以做,建议保留7天的登陆日志。已修复

修复前:
SQL> select count(*) from LOGIN_LOG;
ERROR at line 1:
ORA-00942: table or view does not exist
修复方法:
create table LOGIN_LOG( 
SESSION_ID NUMBER(32) NOT NULL, 
LOGIN_ON_TIME DATE, 
USER_IN_DB VARCHAR(50), 
IP_ADDRESS VARCHAR(20) 
) tablespace users; 

create trigger LOGIN_INFO 
after logon on database 
begin 
insert into LOGIN_LOG(SESSION_ID,LOGIN_ON_TIME,USER_IN_DB,IP_ADDRESS) select AUDSID,sysdate,sys.login_user,SYS_CONTEXT('USERENV','IP_ADDRESS') from v$session where AUDSID=USERENV('SESSIONID'); 
end; 
/      

SQL> ! cat /home/oracle/DELETE_LOGIN_LOG.sql
create or replace procedure DELETE_LOGIN_LOG
as
jobno_lihb number;
begin
jobno_lihb := 10086;
DBMS_JOB.SUBMIT(jobno_lihb,'delete from SYS.LOGIN_LOG;',SYSDATE,'SYSDATE+7');
commit;
end DELETE_LOGIN_LOG;
/

exec DELETE_LOGIN_LOG

//select * from user_jobs where what like 'delete from SYS.LOGIN_LOG%'; 查看作业号
//exec dbms_job.remove(61); 根据作业号清除作业
修复后:
SQL> select count(*) from LOGIN_LOG;
COUNT(*)
----------
901
        

\\检查是否设置数据库监听器(LISTENER)启动密码。可以做。已修复

修复方法:
[grid@./localhost ~]$ $ORACLE_HOME/bin/lsnrctl 
LSNRCTL> start
LSNRCTL> set current_listener LISTENER
LSNRCTL> set password
LSNRCTL> save_config
vi listener.ora的内容,把密码写进去,避免忘记  

    

\\检查是否根据机器性能和业务需求,设置最大最小连接数。200和225数值太小,建议不做。不能修复

修复方法:
alter system set processes=200 scope=spfile; 
alter system set sessions=225 scope=spfile;    
修复后:
SQL> show parameter processes
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
aq_tm_processes                      integer     1
db_writer_processes                  integer     3
gcs_server_processes                 integer     2
global_txn_processes                 integer     1
job_queue_processes                  integer     1000
log_archive_max_processes            integer     4
processes                            integer     1000
SQL> show parameter sessions 
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
java_max_sessionspace_size           integer     0
java_soft_sessionspace_limit         integer     0
license_max_sessions                 integer     0
license_sessions_warning             integer     0
sessions                             integer     1536
shared_server_sessions               integer
    
    

\\全部做完需要重启才能生效

    单实例:
直接shutdown immediate 然后startup
    rac集群:
一个节点一个节点来。a节点关闭启动,b节点关闭启动。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31441616/viewspace-2140627/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/31441616/viewspace-2140627/

cuankun4601
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux基线修复
02-18
Linux系统centos 7 Linux基线修复shell 脚本,请放心下载
linux基线安全一键检查与修复
04-20
本脚本使用shell语言编写,根据linux基线安全标准,对centos 7 操作系统进行扫描与修复。优点如下: (1)可视化操作 (2)一键扫描/修复 (3)脚本收纳了14项安全标准,并支持扩展 (4)脚本中涉及到数组、函数的简单应用,可供初学者研究、学习。
绿盟 rhel6的oracle 基线修复脚本。
cuankun4601的博客
04-03 281
注意事项: 1、脚本中数据库用户oracle的密码为Oracle_123,可修改 2、Rac库中,grid用户不要放在dba组中。 3、revoke execute on'UTL_FILE','UTL_TCP','UTL...
阿里云服务器基线修复
J_Lee
03-08 1516
1、设置用户权限配置文件的权限 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow 注解: /etc/group 用户群组信息文件 /etc/passwd 用户信息文件 /etc/shadow 用户密码文件
centos7 主机基线扫描修复
Dan_Xiao_Hui的博客
08-10 1029
主机基线扫描修复
绿盟主机扫描报告生成1.3(修复web汇总bug).xls
07-22
能够对绿盟极光安全扫描扫描出来的报告进行二次加工,目前可生成主机报告以及web报告。原先的绿盟生成出来的Excel格式报告非常乱,而且不好归类,我写了个宏将扫描出来后的主机问题全部按照漏洞类型,风险描述,...
常用图标库_绿盟.ppt
08-17
绿盟
绿盟售前工程师NSSP试题有带部分答案
11-06
绿盟售前工程师NSSP试题 ,115题 带部分答案, ,准备考绿盟售前工程师的朋友,可以看看!很有用!
服务器基线扫描修复,怎么对服务器进行基线和漏洞扫描
weixin_42588555的博客
08-06 1960
怎么对服务器进行基线和漏洞扫描 内容精选换一换如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。有关对主机进行授权的详细操作,请参见如何对主机进行授权?。北京时间1月3日,Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞,漏洞详情如下:漏洞名称:Inte...
设置 Oracle 监听器密码(LISTENER)
热门推荐
乐沙弥的世界
07-24 2万+
--==================================-- 设置 Oracle 监听器密码(LISTENER)--==================================    监听器也有安全?Sure!在缺省的情况下,任意用户不需要使用任何密码即通过lsnrctl 工具对Oracle Listener进行操作或关闭,从而造成任意新的会话都将无法建立连接。在Oracl
oracle加固
weixin_34242658的博客
11-12 493
一.检查项名称:检查是否使用加密传输 判断条件:通过网络层捕获的数据库传输包为加密包,有设置sqlnet.encryption为符合要求1.在Oracle Net Manager中选择“Oracle Advanced Security”。 2. 然后选择Encryption。 3. 选择Client或Server选项。 4. 选择加密类型。 ...
39_应急响应
qq_45301512的博客
12-28 794
下面可以看到,我先使用last命令,发现kali这个用户是192.168.11.142主机登录者,并且显示仍在在线,pts代表的是远程登录的用户,这是因为之前,我在windows主机使用ssh远程登录了kali。这里如果发现可疑的用户,直接删除用户的话,用户的文件都会丢失,后面如果发现该用户不是攻击者,会造成很大麻烦,因此,当发现可疑用户的话,可疑先进行锁定,使之无法登录,然后去查询是否是授权的用户,是的话再解锁。
限制DBA组中操作系统用户数量,通常DBA组中只有Oracle安装用户
三朝看客
04-16 497
安全问题:应限制DBA组中操作系统用户数量,通常DBA组中只有Oracle安装用户 但是又想拥有类似的权限,怎么弄呢? GRANT ADM_PARALLEL_EXECUTE_TASK TO user_1 WITH ADMIN OPTION; GRANT AQ_ADMINISTRATOR_ROLE TO user_1 WITH ADMIN OPTION; GRANT AQ_US...
Oracle安全基线的一些检查命令
VVzv的博客
08-26 2252
Oracle安全基线检查 检查是否限制口令不能重用的天数: select dba_profiles.profile,resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status='OPEN' and resou...
Oracle安装操作系统用户
gdf的足迹
04-16 1132
本文转自Maclean 的博客http://www.askmaclean.com/archives/oracle-installation-os-user-groups.html Oracle软件在安装维护过程中长要和操作用户组(OS user group)打交道,从早前的只有oracle用户dba组发展到今天11gr2中的grid用户和asm组,Oracle管理的日新月异可见
安全基线
weixin_33901641的博客
11-04 4522
2019独角兽企业重金招聘Python工程师标准>>> ...
绿盟极光漏洞扫描工具下载
最新发布
06-08
绿盟极光漏洞扫描工具是一款由绿盟科技开发的专业安全扫描软件,用于发现网络系统中的潜在安全漏洞。它能够自动化检测Web应用、操作系统和网络设备的安全弱点。要下载绿盟极光漏洞扫描工具,你可以按照以下步骤进行: 1. 访问绿盟科技的官方网站(www.greensecurity.com),找到官方支持的产品页面。 2. 在产品列表中查找“极光漏洞扫描器”或类似的产品名称。 3. 点击下载链接,通常会有Windows、Linux等不同平台的安装包供选择,根据你的系统版本下载对应版本。 4. 完成下载后,按照提示进行安装,可能需要注册账号或接受许可协议。 5. 安装过程中确保遵循官方的指引,特别是关于许可证和更新设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值