oracle 安全基线检查

最新推荐文章于 2023-10-24 13:59:49 发布
最新推荐文章于 2023-10-24 13:59:49 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: Oracle

oracle 安全基线检查

2016年11月16日 10:29:17 huryer 阅读数:3452

 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huryer/article/details/53183951

oracle 安全基线检查

1.限制超级管理员远程登录

检查方法:
使用sqlplus检查参数设置。
SQL> show parameter REMOTE_LOGIN_PASSWORDFILE,参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;

修订算法:
SQL> alter system set remote_login_passwordfile=none scope=spfile;
SQL> shutdown immediate
SQL> startup
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

2.用户属性控制

检查方法:
查询视图dba_profiles和dba_users来检查profile是否创建。
SQL> Select profile from dba_profiles;
SQL> Select profile from dba_users;
存在default以外的profile即可

修订算法:
SQL> create profile maintenance limit  PASSWORD_VERIFY_FUNCTION F_PASSWORD_VERIFY
PASSWORD_REUSE_MAX 5
PASSWORD_GRACE_TIME 60
FAILED_LOGIN_ATTEMPTS 6
PASSWORD_LIFE_TIME 90;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

3.数据字典访问权限

检查方法:
使用sqlplus检查参数,
SQL> show parameter O7_DICTIONARY_ACCESSIBILITY
参数O7_DICTIONARY_ACCESSIBILITY设置为FALSE

修订算法:
SQL> alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile;
SQL> shutdown immediate
SQL> startup
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

4.账户口令的生存期

检查方法:
执行
select dba_profiles.profile,resource_name, limit 
from dba_profiles, dba_users 
where dba_profiles.profile = dba_users.profile 
    and dba_users.account_status='OPEN' 
    and resource_name='PASSWORD_GRACE_TIME';
查询结果中PASSWORD_GRACE_TIME小于等于90。

修订算法:
SQL> alter profile default limit PASSWORD_GRACE_TIME 60;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

5.重复口令使用

检查方法:
执行
select dba_profiles.profile,resource_name, limit 
from dba_profiles, dba_users 
where dba_profiles.profile = dba_users.profile 
    and dba_users.account_status='OPEN' 
    and resource_name='PASSWORD_REUSE_MAX';
查询结果中PASSWORD_REUSE_MAX大于等于5。

修订算法:
SQL> alter profile default limit PASSWORD_REUSE_MAX 5;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

6.认证控制

检查方法:
执行
select dba_profiles.profile,resource_name, limit 
from dba_profiles, dba_users 
where dba_profiles.profile = dba_users.profile 
    and dba_users.account_status='OPEN' 
    and resource_name='FAILED_LOGIN_ATTEMPTS';
查询结果中FAILED_LOGIN_ATTEMPTS等于6。

修订算法:
SQL>alter profile default limit FAILED_LOGIN_ATTEMPTS 6;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

7.更改默认帐户密码

检查方法:
sqlplus '/as sysdba'
conn system/system
conn system/manager 
conn sys/sys
conn sys/cHAnge_on_install 
conn scott/scott
conn scott/tiger
conn dbsnmp/dbsnmp 
conn rman/rman
conn xdb/xdb
以上均不能成功登录

修订算法:
不要有空口令和弱口令
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

8.密码更改策略

检查方法:
执行
select profile,limit from dba_profiles 
where resource_name='PASSWORD_LIFE_TIME' 
    and profile in (select profile from dba_users where account_status='OPEN');
查询结果中PASSWORD_LIFE_TIME小于等于90。

修订算法:
SQL> alter profile default limit PASSWORD_LIFE_TIME 90;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

9.密码复杂度策略

检查方法:
执行
select limit from dba_profiles 
where resource_name = 'PASSWORD_VERIFY_FUNCTION' 
and profile in (select profile from dba_users where account_status = 'OPEN');
select text from dba_source where name='PASSWORD_VERIFY_FUNCTION';
查询结果中不为“NULL”且策略为口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类

修订算法:
创建复杂度策略
使用 sys 用户登录,执行如下脚本:
D:\app\administrator\product\11.2.0\dbhome_1\RDBMS\ADMIN\utlpwdmg.sql
oracle 10g, 必须使用sys用户登录,oracle 11g,可以使用 system创建;

然后执行如下脚本:
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 90
PASSWORD_GRACE_TIME 60
PASSWORD_REUSE_TIME UNLIMITED
PASSWORD_REUSE_MAX 5
FAILED_LOGIN_ATTEMPTS 6
PASSWORD_LOCK_TIME 1
PASSWORD_VERIFY_FUNCTION verify_function;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

10.数据库审计策略

检查方法:
1.使用参数设置,
SQL> show parameter audit_trail
参数audit_trail不为NONE。
检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。
2.查看审计表,检查是否有用户登录、操作记录
select * from LOGON_AUDIT.LOGON_AUDIT;

修订算法:
SQL> alter system set audit_trail=os scope=spfile;
SQL> shutdown immediate
SQL> startup
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

11.设置监听器密码

检查方法:
检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。

修订算法:
$ ps -ef|grep tns
$ lsnrctl
LSNRCTL> set current_listener listener 
LSNRCTL> change_password
LSNRCTL> save_config
LSNRCTL> set password  
LSNRCTL> exit
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

12.限制用户数量

检查方法:
检查文件/etc/group,确认除oracle安装用户无其它用户在DBA组中。

修订算法:
  • 1
  • 2
  • 3
  • 4
  • 5

13.使用数据库角色(ROLE)来管理对象的权限

检查方法:
检查应用用户未授予dba角色:
select * from dba_role_privs where granted_role='DBA';

修订算法:
create role
grant 角色 to username; 
revoke DBA from username;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

14.连接超时设置

检查方法:
检查sqlnet.ora文件:
$ cat $ORACLE_HOME/network/admin/sqlnet.ora
查看文件中设置参数SQLNET.EXPIRE_TIME=15。 

修订算法:
$ vi sqlnet.ora
SQLNET.EXPIRE_TIME=10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

15.安全补丁

检查方法:
查看oracle补丁是否为最新,
$ opatch lsinventory

修订算法:
升级为最新补丁,需要Oracle Metalink 帐号下载安全补丁。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

16.可信IP地址访问控制

检查方法:
1.检查sqlnet.ora中是否设置
tcp.validnode_checking = yes,
tcp.invited_nodes :
$ cat $ORACLE_HOME/network/admin/sqlnet.ora

修订算法:
$ vi sqlnet.ora
tcp.validnode_checking = yes 
tcp.invited_nodes = (ip1,ip2…)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10

17.资源控制

检查方法:
查看空闲超时设置:
select profile,limit from dba_profiles where profile='DEFAULT' and resource_name='IDLE_TIME';

修订算法:
IDLE_TIME返回结果应大于0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

18.重要信息资源设置敏感标记

检查方法:
1、询问数据库管理员是否对重要数据设置了敏感标记
2、检查是否安装Oracle Label Security 模块:select username from dba_users;
3、查看是否创建策略:select policy_name,status from dba_sa_policies;
4、查看是否创建级别:select * from dba_sa_levels order by level_num;
5、查看标签创建情况:select * from dba_sa_labels;
6、询问重要数据存储表格名称
7、查看策略与模式、表对应关系:select * from dba_sa_table_policies;判断是否针对重要信息资源设置敏感标签。

修订算法:
1、安装了Oracle Label Security模块
2、可以查询到Oracle Label Security对象的用户LBACSYS
3、创建了相应的策略
4、创建了相应的级别
5、创建了标签
6、针对重要数据设置了敏感标记
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

 

lionzl
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8-1 Oracle安全基线检查
weixin_43263566的博客
11-04 1万+
这意味着,如果某个用户或角色在一定时间内尝试登录失败的次数超过 5 次,其账户将被自动锁定一段时间,以防止恶意攻击者和暴力破解密码。当一个用户多次输入错误的密码时,这个用户可能是一个攻击者试图用暴力方式破解密码或者忘记了自己的密码而一再尝试。使用 Oracle 默认密码复杂度文件:Oracle 提供了一个默认密码复杂度文件 utlpwdmg.sql,该文件定义了密码的有效期、密码过期后的宽限期等参数。如果没有密码验证规则或设置弱密码规则,用户可能会选择容易被猜到的弱密码,从而增加了安全风险。
oracle数据库基线检查.xlsx
07-31
1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE
Linux安全基线检查脚本
weixin_30672019的博客
11-25 584
基线检查内容: 一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;检查方法:命令cat /etc/passwd查看当前所有用户的信息,与管理员确认是否有共享账号情况存在。配置方法:如需建立用户...
oracle常规的基线操作,包括public权限,监听,dba权限等
三朝看客
07-15 1964
oracle设置public角色执行权限 参考配置操作: 以DBA身份登录sqlplus,执行: select table_name from dba_tab_privs where grantee='PUBLIC' and privilege='EXECUTE' and table_name in ('UTL_FILE','UTL_TCP','UTL_HTTP','UTL_SMTP','DBMS...
Linux基线检查安全加固
m0_67284865的博客
06-17 2865
(连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒)用户连续认证失败次数设置为5次即合规,否则不合规。参考配置操作1.执行备份2.修改策略设置,编辑文件增加以下内容注意:unlock_time和root_unlock_time单位为秒。root下可查看因为验证登录失败的账户如果需要解锁的话,需要以root输入。
Oracle(Windows)数据库安全加固指导手册
乐大厨串串香飘万里
10-24 285
SQL>alter user 用户名 profile [new_profile];3)检查日志路径是否存在:切换到oracle的管理员,执行下列命令 $ORACLE_HOME/bin/lsnrctl LSNRCTL> set log_directory <Oracle_install_dir_path路径>/network/admin LSNRCTL> set log_file <sid名称>.log LSNRCTL> set log_status on LSNRCTL> save_config。
Rempte_login_passwordfile说明
Yang
08-10 582
Rempte_login_passwordfile说明 在数据库没有启动之前,数据库内建用户是无法通过数据库来验证身份的 口令文件中存放sysdba/sysoper用户的用户名及口令 允许用户通过口令文件验证,在数据库未启动之前登陆 从而启动数据库 如果没有口令文件,在数据库未启动之前就只能通过操作系统认证. 使用Rman,很多时候需要在nomount,moun
配置及开启oracle的label security
wgz7747147820的博客
01-06 783
08:06:41 SQL> select name,status from dba_ols_status; NAME STATU -------------------- ----- OLS_CONFIGURE_STATUS FALSE OLS_DIRECTORY_STATUS FALSE OLS_ENABLE_STATUS FALSE Elapsed: 00:00:00.00 08:06:54 SQL> exec lbacsys.configure_ols; PL/S
oracle 11g oracle label security
csre4534的博客
07-31 367
一、oracle 11g 启用OLS 1、Registering Oracle Label Security with the Database [oracle@localhost~]$ chopt ena...
中间件+数据库+系统+设备+网络的网络安全基线核查
07-16
cisco防火墙PIX&ASA基线检查 cisco路由交换基线检查表 esxi基线检查 H3C路由交换基线检查 linux基线check oracle数据库基线检查 solaris基线检查 sqlserver基线检查 suse基线检查 windows基线检查 负载均衡基线检查 中间件基线核查 Linux基线核查 MySql基线核查 等等
Oracle安全配置基线
04-09
本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库安全性设置标准,本文档旨在指导数据库管理人员进行ORACLE数据库系统安全配置。
Oracle数据库安全检查列表
11-03
描述了Oracle数据库从安装、配置、使用等方面的安全策略和注意事项。
Oracle_11g_Benchmark 基线检查
12-26
oracle11最佳实践!方面进行基线检查
安全基线检查
11-16
包含:路由器、交换机、防火墙、ESXI、F5、IIS7、Linux、Oracle、solaris、sqlserver、windows基线检查
Oracle完整检查安全基线
08-22
Oracle完整检查安全基线
基线检查脚本Oracle配置规范_(Windows).zip
10-08
基线检查脚本Oracle配置规范_(Windows).zip
基线检查脚本Oracle配置规范_(Linux).zip
10-08
基线检查脚本Oracle配置规范_(Linux).zip
名人档案(辛弃疾、李清照)(1).docx
最新发布
04-23
名人档案(辛弃疾、李清照)(1).docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值