绿盟 rhel6的oracle 基线修复脚本。

最新推荐文章于 2023-12-22 17:28:31 发布
最新推荐文章于 2023-12-22 17:28:31 发布
阅读量280 收藏 1
点赞数
文章标签: 数据库
注意事项:
1、脚本中数据库用户oracle的密码为Oracle_123,可修改
2、Rac库中,grid用户不要放在dba组中。
3、revoke execute on 'UTL_FILE','UTL_TCP','UTL_HTTP','UTL_SMTP','DBMS_LOB','DBMS_SYS_SQL','DBMS_JOB' from public;这条sql可能会导致alert日志报错,若出现则重新授予即可。

如下是jixian.sql的内容:

点击(此处)折叠或打开

  1. /*创建密码复杂度函数VERIFY_FUNCTION2*/
  2. CREATE OR REPLACE FUNCTION sys."VERIFY_FUNCTION2" (
  3. username varchar2,
  4. password varchar2,
  5. old_password varchar2)
  6. RETURN boolean IS
  7. n boolean;
  8. m integer;
  9. differ integer;
  10. isdigit boolean;
  11. ischar boolean;
  12. ispunct boolean;
  13. digitarray varchar2(20);
  14. punctarray varchar2(25);
  15. chararray varchar2(52);

  17. BEGIN
  18.    digitarray:= '0123456789';
  19.    chararray:= 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
  20.    punctarray:='!"#$%&()``*+,-/:;<=>?_';

  22.    -- Check if the password is same as the username
  23.    IF NLS_LOWER(password) = NLS_LOWER(username) THEN
  24.      raise_application_error(-20001, 'Password same as or similar to user');
  25.    END IF;

  27.    -- Check for the minimum length of the password
  28.    IF length(password) < 8 THEN
  29.       raise_application_error(-20002, 'Password length less than 8');
  30.    END IF;

  32.    -- Check if the password is too simple. A dictionary of words may be
  33.    -- maintained and a check may be made so as not to allow the words
  34.    -- that are too simple for the password.
  35.    IF NLS_LOWER(password) IN ('welcome', 'database', 'account', 'user', 'password', 'oracle', 'computer', 'abcd') THEN
  36.       raise_application_error(-20002, 'Password too simple');
  37.    END IF;

  39.    -- Check if the password contains at least one letter, one digit and one
  40.    -- punctuation mark.
  41.    -- 1. Check for the digit
  42.    isdigit:=FALSE;
  43.    m := length(password);
  44.    FOR i IN 1..10 LOOP
  45.       FOR j IN 1..m LOOP
  46.          IF substr(password,j,1) = substr(digitarray,i,1) THEN
  47.             isdigit:=TRUE;
  48.              GOTO findchar;
  49.          END IF;
  50.       END LOOP;
  51.    END LOOP;
  52.    IF isdigit = FALSE THEN
  53.       raise_application_error(-20003, 'Password should contain at least one digit, one character and one punctuation');
  54.    END IF;
  55.    -- 2. Check for the character
  56.    <<findchar>>
  57.    ischar:=FALSE;
  58.    FOR i IN 1..length(chararray) LOOP
  59.       FOR j IN 1..m LOOP
  60.          IF substr(password,j,1) = substr(chararray,i,1) THEN
  61.             ischar:=TRUE;
  62.              GOTO findpunct;
  63.          END IF;
  64.       END LOOP;
  65.    END LOOP;
  66.    IF ischar = FALSE THEN
  67.       raise_application_error(-20003, 'Password should contain at least one \
  68.               digit, one character and one punctuation');
  69.    END IF;
  70.    -- 3. Check for the punctuation
  71.    <<findpunct>>
  72.    ispunct:=FALSE;
  73.    FOR i IN 1..length(punctarray) LOOP
  74.       FOR j IN 1..m LOOP
  75.          IF substr(password,j,1) = substr(punctarray,i,1) THEN
  76.             ispunct:=TRUE;
  77.              GOTO endsearch;
  78.          END IF;
  79.       END LOOP;
  80.    END LOOP;
  81.    IF ispunct = FALSE THEN
  82.       raise_application_error(-20003, 'Password should contain at least one \
  83.               digit, one character and one punctuation');
  84.    END IF;

  86.    <<endsearch>>
  87.    -- Check if the password differs from the previous password by at least
  88.    -- 3 letters
  89.    IF old_password IS NOT NULL THEN
  90.      differ := length(old_password) - length(password);

  92.      IF abs(differ) < 3 THEN
  93.        IF length(password) < length(old_password) THEN
  94.          m := length(password);
  95.        ELSE
  96.          m := length(old_password);
  97.        END IF;

  99.        differ := abs(differ);
  100.        FOR i IN 1..m LOOP
  101.          IF substr(password,i,1) != substr(old_password,i,1) THEN
  102.            differ := differ + 1;
  103.          END IF;
  104.        END LOOP;

  106.        IF differ < 3 THEN
  107.          raise_application_error(-20004, 'Password should differ by at \
  108.          least 3 characters');
  109.        END IF;
  110.      END IF;
  111.    END IF;
  112.    -- Everything is fine; return TRUE ;
  113.    RETURN(TRUE);
  114. END;
  115. /

  117. /*创建应用用户profile APP_PROF*/
  118. create profile APP_PROF limit
  119. failed_login_attempts 6
  120. password_life_time 360
  121. password_reuse_time 60
  122. password_reuse_max 5
  123. password_lock_time .0004
  124. password_grace_time 5
  125. password_verify_function VERIFY_FUNCTION2;

  127. /*创建系统用户profile SYS_PROF*/
  128. create profile SYS_PROF limit
  129. failed_login_attempts 6
  130. password_life_time 180
  131. password_reuse_time 60
  132. password_reuse_max 5
  133. password_lock_time .001
  134. password_grace_time 30
  135. password_verify_function VERIFY_FUNCTION2;

  137. /*创建具名用户profile CMSZ_PROF*/
  138. create profile CMSZ_PROF limit
  139. failed_login_attempts 6
  140. password_life_time 180
  141. password_reuse_time 60
  142. password_reuse_max 5
  143. password_lock_time .01
  144. password_grace_time 60
  145. password_verify_function VERIFY_FUNCTION2;

  147. /*禁止具有数据库超级管理员(SYSDBA)权限的用户从远程登陆*/
  148. alter system set remote_login_passwordfile=NONE scope=spfile sid='*';

  150. /*限制只有SYSDBA用户才能访问数据字典基础表*/
  151. alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile sid='*';

  153. /*禁止从其他OS登录认证*/
  154. alter system set REMOTE_OS_AUTHENT=FALSE scope=spfile sid='*';

  156. /*开启数据库审计功能*/
  157. alter system set audit_trail=DB scope=spfile sid='*';

  159. /*创建用户登录触发器*/
  160. create table LOGIN_LOG(
  161. SESSION_ID NUMBER(32,0) NOT NULL,
  162. LOGIN_ON_TIME DATE,
  163. USER_IN_DB VARCHAR(50),
  164. IP_ADDRESS VARCHAR(20)
  165. );

  167. create trigger LOGIN_INFO
  168. after logon on database
  169. begin
  170. insert into LOGIN_LOG(SESSION_ID,LOGIN_ON_TIME,USER_IN_DB,IP_ADDRESS) select AUDSID,sysdate,sys.login_user,SYS_CONTEXT('USERENV','IP_ADDRESS') from v$session where AUDSID=USERENV('SESSIONID');
  171. end;
  172. /

  174. /*回收public角色执行权限*/
  175. declare
  176.     cursor c1 is
  177.     select table_name from dba_tab_privs
  178.     where grantee='PUBLIC' and privilege='EXECUTE'
  179.     and table_name in ('UTL_FILE','UTL_TCP','UTL_HTTP','UTL_SMTP','DBMS_LOB','DBMS_SYS_SQL','DBMS_JOB');
  180.     
  181.     v_table_name varchar2(20);
  182.     v_sql varchar2(100);
  183.     
  184. begin
  185.     open c1;
  186.     loop
  187.         fetch c1 into v_table_name;
  188.         exit when c1%notfound;
  189.         v_sql := 'revoke execute on '||v_table_name||' from public';
  190.         execute immediate v_sql;
  191.     end loop;
  192.     close c1;
  193. end;
  194. /

  196. /*回收非系统DBA用户的DBA权限*/
  197. declare
  198.     cursor c1 is
  199.     select a.username from dba_users a left join dba_role_privs b on a.username = b.grantee where granted_role = 'DBA' and a.username not in ('SYS','SYSMAN','SYSTEM');

  201.     v_user_name varchar2(100);
  202.     v_sql varchar2(100);
  203. begin
  204.     open c1;
  205.     loop
  206.         fetch c1 into v_user_name;
  207.         exit when c1%notfound;
  208.         v_sql := 'revoke dba from '||v_user_name||' ';
  209.         execute immediate v_sql;
  210.     end loop;
  211.     close c1;
  212. end;
  213. /

  215. /*修改lock和expire系统用户默认密码*/
  216. declare
  217.     cursor c1 is
  218.     select username from dba_users where ACCOUNT_STATUS like 'EXPIRED%LOCKED' and profile='DEFAULT' and username <> 'XS$NULL';

  220.     v_user_name varchar2(100);
  221.     v_sql1 varchar2(100);
  222.     v_sql2 varchar2(100);

  224. begin
  225.     open c1;
  226.     loop
  227.         fetch c1 into v_user_name;
  228.         exit when c1%notfound;
  229.         v_sql1 := 'alter user '||v_user_name||' identified by Oracle_123';
  230.         v_sql2 := 'alter user '||v_user_name||' password expire';    
  231.         execute immediate v_sql1;
  232.         execute immediate v_sql2;
  233.     end loop;
  234.     close c1;
  235. end;
  236. /

  238. /*修改open系统用户默认密码和profile*/
  239. declare
  240.     cursor c1 is
  241.     select username from dba_users where ACCOUNT_STATUS = 'OPEN' and profile ='DEFAULT' and username in ('SYS','SYSTEM','OUTLN','FLOWS_FILES','MDSYS','ORDSYS','EXFSYS','DBSNMP','WMSYS','APPQOSSYS','APEX_030200','ORDDATA','CTXSYS','ANONYMOUS',
  242. 'XDB','ORDPLUGINS','SI_INFORMTN_SCHEMA','OLAPSYS','ORACLE_OCM','XS$NULL','MDDATA','DIP','APEX_PUBLIC_USER','SPATIAL_CSW_ADMIN_USR','SPATIAL_WFS_ADMIN_USR');

  244.     v_user_name varchar2(100);
  245.     v_sql1 varchar2(100);
  246.     v_sql2 varchar2(100);

  248. begin
  249.     open c1;
  250.     loop
  251.         fetch c1 into v_user_name;
  252.         exit when c1%notfound;
  253.         v_sql1 := 'alter user '||v_user_name||' identified by Oracle_123';
  254.         v_sql2 := 'alter user '||v_user_name||' profile SYS_PROF';        
  255.         execute immediate v_sql1;
  256.         execute immediate v_sql2;
  257.     end loop;
  258.     close c1;
  259. end;
  260. /

  262. /*修改Locked系统用户过期*/
  263. declare
  264.     cursor c1 is
  265.     select username from dba_users where ACCOUNT_STATUS = 'LOCKED' and profile ='DEFAULT';

  267.     v_user_name varchar2(100);
  268.     v_sql varchar2(100);

  270. begin
  271.     open c1;
  272.     loop
  273.         fetch c1 into v_user_name;
  274.         exit when c1%notfound;
  275.         v_sql := 'alter user '||v_user_name||' password expire';    
  276.         execute immediate v_sql;
  277.     end loop;
  278.     close c1;
  279. end;
  280. /



  284. /*修改open应用用户profile*/
  285. declare
  286.     cursor c1 is
  287.     select username from dba_users where ACCOUNT_STATUS = 'OPEN' and profile ='DEFAULT' and username not in ('SYS','SYSTEM','OUTLN','FLOWS_FILES','MDSYS','ORDSYS','EXFSYS','DBSNMP','WMSYS','APPQOSSYS','APEX_030200','ORDDATA','CTXSYS','ANONYMOUS',
  288. 'XDB','ORDPLUGINS','SI_INFORMTN_SCHEMA','OLAPSYS','ORACLE_OCM','XS$NULL','MDDATA','DIP','APEX_PUBLIC_USER','SPATIAL_CSW_ADMIN_USR','SPATIAL_WFS_ADMIN_USR');

  290.     v_user_name varchar2(100);
  291.     v_sql varchar2(100);

  293. begin
  294.     open c1;
  295.     loop
  296.         fetch c1 into v_user_name;
  297.         exit when c1%notfound;
  298.         v_sql := 'alter user '||v_user_name||' profile APP_PROF';
  299.         execute immediate v_sql;
  300.     end loop;
  301.     close c1;
  302. end;
  303. /


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31441616/viewspace-2152524/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/31441616/viewspace-2152524/

cuankun4601
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
绿主机扫描报告生成1.3(修复web汇总bug).xls
07-22
能够对绿极光安全扫描器扫描出来的报告进行二次加工,目前可生成主机报告以及web报告。原先的绿生成出来的Excel格式报告非常乱,而且不好归类,我写了个宏将扫描出来后的主机问题全部按照漏洞类型,风险描述,...
常用图标库_绿.ppt
08-17
绿
绿oracle基线扫描的修复过程
cuankun4601的博客
06-12 648
\\检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。已修复 修复前: SQL> show parameter remote_login_passwordfile; NAME ...
linux服务器基线加固、安全漏扫工具(绿...)扫出来的系统漏洞
swindy博客
12-05 2756
以下脚本主要是修复漏扫工具扫出来的一些系统漏洞 例如:密码强度策略、默认密码有效期、ssh配置加固… 生产环境服务器为Centos7系列、在执行基线加固脚本后、重新对该服务器进行再次漏扫、已消除绝大部分检查项目 #!/bin/bash ### Hardening Script for CentOS7 Servers. ##定义变量### BACKUP=$(date +%F:%T) services_to_disable="chargen-dgram chargen-stream daytime-dgra
oracle回收public默认权限,Oracle 建议撤消 PUBLIC 对功能强大的程序包的 EXECUTE 权限...
weixin_36455339的博客
04-03 191
Oracle 建议撤消 PUBLIC 对功能强大的程序包的 EXECUTE 权限程序包­ UTL_FILE­程序包­ DBMS_RANDOM­ UTL_HTTP­ UTL_SMTP­ UTL_TCP­解决:revoke execute on utl_file from public;revoke execute on DBMS_RANDOM from public;revoke execute o...
oracle数据库安全基线自动检测脚本
zcb_data的博客
06-12 2582
#!/bin/bash #version 2.1 此脚本rhel,centos,oel系统均已测试通过,适用于9i 10g 11g。但未在aix,solaris,unix测试,如果遇到问题请自行微调。 #Author: jn #Date: 2016.8 HOSTNAME=`hostname` echo $HOSTNAME &gt; orack.res.lst SQLPLUS=$ORACLE_...
oracle 安全基线检查
lionzl的专栏
03-12 1261
oracle 安全基线检查 2016年11月16日 10:29:17huryer阅读数:3452 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huryer/article/details/53183951 oracle安全基线检查 1.限制超级管理员远程登录 检查方法: 使用sqlplus检查参数设置。 SQL&gt; sh...
linux系统安全配置基线 -完结版.doc
03-26
linux系统安全配置基线
绿售前工程师NSSP试题有带部分答案
11-06
绿售前工程师NSSP试题 ,115题 带部分答案, ,准备考绿售前工程师的朋友,可以看看!很有用!
linux基线安全一键检查与修复
04-20
脚本使用shell语言编写,根据linux基线安全标准,对centos 7 操作系统进行扫描与修复。优点如下: (1)可视化操作 (2)一键扫描/修复 (3)脚本收纳了14项安全标准,并支持扩展 (4)脚本中涉及到数组、函数的简单应用,可供初学者研究、学习。
18项基线加固脚本
09-01
对LINUX下的18项基线安全加固
Linux基线修复
02-18
Linux系统centos 7 Linux基线修复shell 脚本,请放心下载
CentOS7基线检查工具
02-27
等级保护,CentOS 7 基线检查工具,包含身份鉴别,访问控制,安全审计等信息集中采集。
基线配置扫描脚本
04-07
基线配置扫描脚本:安全加固脚本,适合扫描主机,交换机,数据库,tomcat,weblogic等
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
swindy博客
07-21 1611
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
linux服务器基线脚本整改
最新发布
m0_59388826的博客
12-22 442
2.谨慎使用,如果多台机器建议先执行一台后在批量执行。1.适用于CentOS7系统。
服务器基线扫描修复,怎么对服务器进行基线和漏洞扫描
weixin_42588555的博客
08-06 1957
怎么对服务器进行基线和漏洞扫描 内容精选换一换如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。有关对主机进行授权的详细操作,请参见如何对主机进行授权?。北京时间1月3日,Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞,漏洞详情如下:漏洞名称:Inte...
shell脚本-----基线加固脚本---ali-baseline.sh
linus.lin的博客
01-02 1373
#!/bin/bash cy() { #检查密码重用是否受限制 if [[ ! -f $1 ]];then echo "$1 not found" exit 1 fi grep 'password' $1 |grep sufficient |grep remember &> /dev/null if [[...
绿扫描了weblogic100多补丁,怎么修复这些补丁
06-06
绿扫描发现的补丁漏洞需要根据具体情况采取相应的修复措施。以下是一些常见的修复方法: 1. 手动安装补丁:如果绿扫描发现的漏洞可以通过安装补丁来修复,您可以手动下载并安装相应的补丁。在安装补丁之前,请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值