数据库加固方案

最新推荐文章于 2024-08-04 21:41:19 发布
最新推荐文章于 2024-08-04 21:41:19 发布
阅读量1.7k 收藏
点赞数
文章标签: 安全

一、检查项名称:检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登录
判断条件:1. 以SYSDBA用户不能远程连接到数据库。
操作:
SQL> show parameter REMOTE

NAME                                             TYPE            VALUE
------------------------------------ ----------- ------------------------------
remote_archive_enable                    string             true
remote_dependencies_mode           string        TIMESTAMP
remote_listener                                string            ESSLN
remote_login_passwordfile               string        EXCLUSIVE
remote_os_authent                          boolean        FALSE
remote_os_roles                               boolean        FALSE

SQL> alter sysdba set REMOTE_LOGIN_PASSWORDFILE=NONE SCOPE=SPFILE;
shutdown immediate.
startup.
在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。

select t.VALUE from v$parameter t where upper(t.NAME) like '%REMOTE_LOGIN_PASSWORDFILE%'

(1)REMOTE_LOGIN_PASSWORDFILE=none且SQLNET.AUTHENTICATION_SERVICES= none:
oracle安装用户本地sqlplus “/ as sysdba”无法登录
非oracle安装用户本机sqlplus “sys/change_on_install as sysdba”无法登录
非oracle安装用户远程sqlplus “/ as sysdba_on_install@sid as sysdba”无法登录

(2)REMOTE_LOGIN_PASSWORDFILE=exclusive且SQLNET.AUTHENTICATION_SERVICES= none:
oracle安装用户本地sqlplus “/ as sysdba”无法登录
非oracle安装用户本机sqlplus “sys/change_on_install as sysdba”能登录
非oracle安装用户远程sqlplus “/ as sysdba_on_install@sid as sysdba”能登录

(3)REMOTE_LOGIN_PASSWORDFILE=none且SQLNET.AUTHENTICATION_SERVICES= (NTS):
oracle安装用户本地sqlplus “/ as sysdba”能登录
非oracle安装用户本机sqlplus “sys/change_on_install as sysdba”无法登录
非oracle安装用户远程sqlplus “/ as sysdba_on_install@sid as sysdba”无法登录

(4)REMOTE_LOGIN_PASSWORDFILE=exclusive且SQLNET.AUTHENTICATION_SERVICES= (NTS):
oracle安装用户本地sqlplus “/ as sysdba”能登录
非oracle安装用户本机sqlplus “sys/change_on_install as sysdba”能登录
非oracle安装用户远程sqlplus “/ as sysdba_on_install@sid as sysdba”能登录

文章来自于:http://blog.163.com/ansel_zlh/blog/static/1037271720094535654606/

二、检查是否限制可以访问数据库的地址
判断条件:在非信任的客户端以数据库账户登陆被提示拒绝
vi $ORACLE_HOME/network/admin/sqlnet.ora
tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)    -----允许
重启监听测试...

tcp.validnode_checking的值为yes

三、监听设置密码
[oracle@test ~]$ lsnrctl                         
                                                                                                                           
LSNRCTL for Linux: Version 9.2.0.8.0 - Production on 26-JUN-2011 08:24:09                                                  
Copyright (c) 1991, 2006, Oracle Corporation.  All rights reserved.                                                        

Welcome to LSNRCTL, type "help" for information. 

LSNRCTL> set current_listener listener_name         ----设置当前监听器                                                            
Current Listener is listener_name   
LSNRCTL> start             --启动过程也不需要任何密码,启动的详细信息省略                                                   
LSNRCTL> change_password   --使用change_password来设置密码                                                                 
Old password:        旧密码                                                                                                      
New password:       新密码                                                                                                       
Reenter new password:      新密码                                                                                                
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=test)(PORT=1521)))                                                 
Password changed for listener_name                                                                                      
The command completed successfully   
                                                                                     
LSNRCTL> save_config        --save_config失败                                                                    
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=test)(PORT=1521)))                                                 
TNS-01169: The listener has not recognized the password
                                                                 
LSNRCTL> set password       --输入新设定的密码验证                                                                         
Password:                                                                                                                  
The command completed successfully   
                                                                                     
LSNRCTL> save_config       -->再次save_config成功
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=test)(PORT=1521)))                                                 
Saved listener_demo92 configuration parameters.                                                                            
Listener Parameter File   /oracle/92/network/admin/listener.ora                                                            
Old Parameter File   /oracle/92/network/admin/listener.bak                                                                 
The command completed successfully                                                                                         
                                                                                                                           
增加密码之后在listener.ora文件中新增密码选项(注:尽管使用了密码管理方式,仍然可以无需密码启动监听)  
[oracle@test admin]$ more listener.ora                                                                                     
    #----ADDED BY TNSLSNR 26-JUN-2018 15:12:48---                                                                             
    PASSWORDS_listener_name =                                                                                              
    #--------------------------------------------                                                                            
   
四、设置数据库将自动断开超过10分钟的空闲远程连接
cd $ORACLE_HOME/nework/admin
vi sqlnet.ora
在文件中新增一选项:

SQLNET.EXPIRE_TIME=10(分钟)

五、设置客户端和服务器是否使用加密,可选值
cd $ORACLE_HOME/nework/admin
vi sqlnet.ora
在文件中新增一选项:
sqlnet.encryption=requested

选项:

accepted(如果对方设置为requested或required,则使用加密服务)
rejected(不使用加密服务,即使对方设置为requested也不使用)
requested(如果对方使用加密服务,则使用加密服务)
required(使用加密服务,如果对方没有使用则无法连接)
SQLNET.ENCRYPTION_CLIENT
SQLNET.ENCRYPTION_SERVER
#设置使用的加密算法
SQLNET.ENCRYPTION_TYPES_CLIENT
SQLNET.ENCRYPTION_TYPES_SERVER
六、判断条件:连续6次用错误的密码连接用户,第7次时用户将被锁定
操作:为用户创建profile
CREATE PROFILE password_profile LIMIT 
FAILED_LOGIN_ATTEMPTS 6 
PASSWORD_LOCK_TIME 1/96

命令:select limit from dba_profiles t where resource_name = 'FAILED_LOGIN_ATTEMPTS',回显中default值变成6
七、修改密码有效时间为90天
SQL>alter profile default limit password_life_time 90;
验证:
select limit from dba_profiles t where resource_name = 'PASSWORD_LIFE_TIME';
c.a.p
关注
mysql数据库安全加固
11-25 403
建议对保存的日志定期备份,并保留6个月以上。operator(操作员)和auditor。//达到失败上限后等待30秒再次尝试登录。系统日志、审计日志已配置定时任务定时备份。#将插件解压安装到mysql插件目录。#开启 general_log 日志。//单个用户密码登录失败的上限次数。系统日志已配置保留26周。#编辑my.conf。#查询audit版本。
怎样加固MySQL
uimoosdop的专栏
01-13 319
怎样加固MySQL 前言 特别是 Web 应用上, MySQL 已经成为当前网络中使用最多的数据库之一。占据了中小型应用的绝对优势。这一切都源于它小巧易用、平安有效、开放式许可、多平台,更主要的与三大 Web 语言之 — PHP 完美结合。 使得装置 MySQL 服务器成为被经常攻击的对象。更严重的被攻击之后数据库往往遭破坏,但不幸的一个缺省安全的 MySQL 会因为 root 密码为空及顺序漏洞导致被溢出。造成灾难性的后果。下面将进入为了维护数据而进行的捍卫战中。 环
数据安全加固:SQL Server中实现自定义数据加密功能
最新发布
2401_85842555的博客
08-04 748
首先,我们需要在SQL Server中创建一个对称密钥或证书,用于加密和解密数据。-- 创建主密钥-- 创建数据库加密密钥-- 创建对称密钥。
MYSQL数据库加固
不言尘世
06-07 679
收集整理比较全面的MYSQL数据库加固 MYSQL数据库加固指导手册 1. 数据库存放位置检查 windows系统: 数据库不可以放在C盘 linux系统:数据库文件不可以存放在 /,/var,/usr目录内 #连上mysql数据,mysql -uroot -p --回车输入密码 select @@datadir; #或 show variables where variable_name=‘datadir’; 加固方法 #设置指定安全的路径 set global datadir='路径...
MYSQL数据库攻防与加固
mcmuyanga的博客
09-15 1444
任务二:MYSQL数据库攻防与加固 练习环境:DCST-6000-N10mysql加固 任务内容: 配置lnux-mysql防火墙,允许mysql服务能够被访问 执行命令 iptables –l RH –Firewall-1-INPUT 11 –p tcp –dport 3306 –j ACCEPT 执行命令 iptables -L 访问DCST中的MysqlServer,在/var/log目录下创建access.log文件,并修改mysql的配置文件,使其能够记录所有的访问记录 首先创建记录日志的
MYSQL数据库安全加固
Stars的博客
08-19 1759
MYSQL数据库加固 数据库存放位置检查 ​ > 数据库文件不可以存放在 /,/var,/usr目录内 ​ > 连上mysql数据,mysql -uroot -p --回车输入密码 ​ > select @@datadir; ​ 或 ​ > show variables where variable_name=‘datadir’; 加固方法 ​ > 设置指定安全的路径 ​ > set global datadir=‘路径’ ; ​ > 或者修改配
某Oracle数据库安全加固方案总结.docx
12-13
Oracle数据库安全加固方案总结 Oracle数据库安全加固方案是为了降低Oracle数据库面临的风险,及时堵塞漏洞,提高平安防护能力的操作指南。本方案涵盖了多个方面的安全加固措施,包括审计操作、日志策略、归档模式、...
数据库加固建议和方案.docx
12-18
数据库加固建议和方案.docx
【史上最全】MySQL数据库安全加固方案
sophiasofia的博客
02-02 2760
按照本安全加固方案进行的数据库加固,一般安全扫描工具扫描出来几乎无漏洞。
XXX-Oracle数据库安全加固方案.doc
05-15
### XXX-Oracle数据库安全加固方案 #### 一、适用范围 本方案主要针对Oracle数据库安全加固操作进行规范,旨在全面提升数据库系统的安全性,有效降低潜在风险,确保数据的完整性和可用性。适用于所有采用Oracle...
数据库加固规范
05-22
Oracle数据库系统加固规范 真不错的。拿来给大家分享一下
数据库安全加固
10-25
让大家详细了解数据库加固系统的好处,和数据库安全加固的应用
MySQL数据库安全加固
wbxshi的博客
06-30 760
该语句将会列出所有密码为空的账户和对应的主机地址。该语句将列出那些密码时间超过180天并且账户没有被锁定的账户以及对应的主机地址。可以根据实际情况修改时间间隔。如果account_locked的值为Y,则说明该账户已经被锁定。
加固MySQL
GO ON...
04-25 1239
加固你的MySQL 本文转自中文PHP摘要本文章从几个方面介绍如何加强MySQL服务器的安全性。(2004-03-04 20:29:37)By 光辉前言  MySQL已经成为当前网络中使用最多的数据库之一,特别是在Web应用上,它占据了中小型应用的绝对优势。这一切都源于它的小巧易用、它的安全有效、它的开放式许可、它的多平台,更主要的是它与三大Web语言之——PHP的完美结合。  但不幸的是,一个缺
mysql数据库安全加固_数据库安全加固系统
weixin_42297591的博客
01-28 214
安全是多个环节层层防护、共同配合的结果。也就是说在安全领域不能仅仅依靠某一个环节完成所有的安全防护措施,对于数据库安全领域也是一样。数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保高度安全的系统。中安威士数据库安全加固系统,简称VS-X,是在进行数据库审计的同时兼有防火墙实时阻断和数据库透明...
mysql数据库加固
weixin_33893473的博客
03-08 722
收集整理比较全面的MYSQL数据库加固 MYSQL数据库加固指导手册 1. 数据库存放位置检查 windows系统: 数据库不可以放在C盘 linux系统:数据库文件不可以存放在 /,/var,/usr目录内 #连上mysql数据,mysql -uroot -p --回车输入密码 select @@datadir; #或 show variables where variable_na...
MySQL数据库安全基线(加固方法)
Lee_Natuo的博客
12-06 7021
MySQL数据库安全加固方法 基本安全原则 选择稳定版本并及时更新、打补丁 严禁使用弱口令,定期更新口令 严格的权限分配和访问控制 具体安全配置 系统层面配置 系统安装时,需要确认没有其他⽤户登录在服务器上。 选择稳定的版本,并及时更新到最新版本、打补丁 查看系统防火墙或网络安全设备,是否限制对MySQL数据库的访问 不设置环境变量或确保MYSQL_PWD环境变量未设置敏感信...
DB2数据库系统加固规范:账号管理与日志配置
"db2数据库系统加固规范,包括账号管理、认证授权,日志配置以及设备其他安全要求,旨在提供系统加固指南和漏洞检查指导。" DB2数据库系统加固规范是一份重要的指南,用于确保数据库安全性和稳定性。这份规范详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值