一、數(shù)據(jù)字典保護(hù)

成都創(chuàng)新互聯(lián)公司主要從事網(wǎng)站制作、做網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)漳縣,十多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問(wèn)數(shù)據(jù)字典基礎(chǔ)表

使用show parameters命令來(lái)檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否為FALSE。

 

二、賬號(hào)安全管理

1、根據(jù)用戶的業(yè)務(wù)需要，配置最小權(quán)限

使用以下SQL查詢具有DBA權(quán)限的用戶

select grantee as usern from dba_role_privswhere granted_role ='DBA' intersect select username from dba_users;

使用以下SQL查詢具有DBA權(quán)限的角色

select grantee as usern from dba_role_privswhere granted_role ='DBA' minus (select grantee as usern from dba_role_privswhere granted_role ='DBA' intersect select username from dba_users);

2、使用數(shù)據(jù)庫(kù)角色（ROLE）來(lái)管理對(duì)象的權(quán)限

使用select * from dba_role_privs或dba_tab_privs; select* from user_role_privs;查看帳號(hào)角色；確定帳號(hào)權(quán)限劃分是否明確。

 

3、對(duì)用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。

為不同的業(yè)務(wù)用戶建立不同的profile，設(shè)置數(shù)據(jù)庫(kù)口令復(fù)雜度，有效期及鎖定配置等，Profile參數(shù)解釋如下：

A．對(duì)數(shù)據(jù)庫(kù)資源做限制

SESSIONS_PER_USER  每個(gè)用戶名所允許的并行會(huì)話數(shù)

CPU_PER_SESSION    一個(gè)會(huì)話一共可以使用的CPU時(shí)間，單位是百分之一秒

CPU_PER_CALL     一次SQL調(diào)用(解析、執(zhí)行和獲取)允許使用的CPU時(shí)間

CONNECT_TIME     限制會(huì)話連接時(shí)間，單位是分鐘

IDLE_TIME        允許空閑會(huì)話的時(shí)間，單位是分鐘

LOGICAL_READS_PER_SESSION 限制會(huì)話對(duì)數(shù)據(jù)塊的讀取，單位是塊

LOGICAL_READS_PER_CALL   限制SQL調(diào)用對(duì)數(shù)據(jù)塊的讀取，單位是塊

COMPOSITE_LIMIT         指定一個(gè)會(huì)話的總的資源消耗，以serviceunits單位表示

PRIVATE_SGA   限制會(huì)話在SGA中Shared Pool中私有空間的分配

 

B．對(duì)密碼做限制

FAILED_LOGIN_ATTEMPTS帳戶被鎖定之前可以錯(cuò)誤嘗試的次數(shù)

PASSWORD_LIFE_TIME   密碼可以被使用的天數(shù)，單位是天，默認(rèn)值180天

PASSWORD_REUSE_TIME 密碼可重用的間隔時(shí)間(結(jié)合PASSWORD_REUSE_MAX)

PASSWORD_REUSE_MAX  密碼的最大改變次數(shù)(結(jié)合PASSWORD_REUSE_TIME)

PASSWORD_LOCK_TIME   超過(guò)錯(cuò)誤嘗試次數(shù)后，用戶被鎖定的天數(shù)，默認(rèn)1天

PASSWORD_GRACE_TIME  當(dāng)密碼過(guò)期之后還有多少天可以使用原密碼

PASSWORD_VERIFY_FUNCTION 密碼復(fù)雜度設(shè)置，至少8個(gè)字符大寫(xiě)字母+小寫(xiě)字母+數(shù)字+特殊符號(hào)

 

具體用法舉例：

alter profile profile_name limitPASSWORD_VERIFY_FUNCTION verify_function_11g; --設(shè)置數(shù)據(jù)庫(kù)口令復(fù)雜度
alter profile profile_name limit FAILED_LOGIN_ATTEMPTS5 --設(shè)置數(shù)據(jù)庫(kù)口令輸錯(cuò)5次被鎖

4、根據(jù)業(yè)務(wù)限制具備數(shù)據(jù)庫(kù)超級(jí)管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄

使用show parameters命令來(lái)檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否為NONE。（搭建DG,RMAN備份等都需要管理員權(quán)限，根據(jù)業(yè)務(wù)設(shè)置）

 

5、限制在DBA組中的操作系統(tǒng)用戶數(shù)量

限制除oracle,grid之外的其它操作系統(tǒng)用戶在dba組中，以防止其用戶串改或刪除oracle軟件文件內(nèi)容。

 

三、可信IP地址訪問(wèn)控制

通過(guò)數(shù)據(jù)庫(kù)所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過(guò)監(jiān)聽(tīng)器訪問(wèn)數(shù)據(jù)庫(kù)，可通過(guò)設(shè)置$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)tcp.validnode_checking和tcp.invited_nodes實(shí)現(xiàn)限制，需重啟監(jiān)聽(tīng)。

 

四、默認(rèn)端口及實(shí)例名修改
對(duì)于默認(rèn)的1521端口，應(yīng)該修改掉默認(rèn)的監(jiān)聽(tīng)端口；對(duì)于 Oracle TNS Listener SID 可以被猜測(cè)，不應(yīng)該使用安裝Oracle時(shí)默認(rèn)的SID(ORCL)，應(yīng)該設(shè)置復(fù)雜度較高的SID。

五、記錄操作事件

1、創(chuàng)建觸發(fā)器對(duì)用戶登錄進(jìn)行日志記錄

建表LOGIN_CHECK_LOG

create table login_check_log(session_idnumber(8,0) not null,login_on_time date,user_in_db varchar(50), ip_addressvarchar(20));

建觸發(fā)器LOGIN_CHECK

create trigger login_check
after logon on database
begin  
 insert into login_check_log(session_id,login_on_time,user_in_db,ip_address)select audsid,sysdate,sys.login_user,sys_context('userenv','ip_address') from v$session where audsid=userenv('sessionid'); 
 end;
/

還可以通過(guò)創(chuàng)建數(shù)據(jù)庫(kù)連接使用相關(guān)的觸發(fā)器，比如：限制只能IP為xxx的客戶端使用PL/SQL連接數(shù)據(jù)庫(kù)

 

2、數(shù)據(jù)庫(kù)應(yīng)配置日志功能，記錄用戶對(duì)數(shù)據(jù)庫(kù)的操作

通過(guò)記錄操作日志，記錄需要包含用戶帳號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果等。比如開(kāi)啟監(jiān)聽(tīng)器日志。

LSNRCTL>set log_directory  $ORACLE_HOME/diag/tnslsnr/<hostname>/listener/alert/
LSNRCTL>set log_file log.xml
LSNRCTL>set log_status on
LSNRCTL>save_config

3、根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫(kù)審計(jì)策略

使用show parameter命令來(lái)檢查參數(shù)audit_trail是否設(shè)置，具有參數(shù)如下：

none：是默認(rèn)值，禁用數(shù)據(jù)庫(kù)審計(jì)。  

os：?jiǎn)⒂脤徲?jì)，并將數(shù)據(jù)庫(kù)審計(jì)記錄定向到 OS審計(jì)記錄。  

db：?jiǎn)⒂脤徲?jì)，并將數(shù)據(jù)庫(kù)審計(jì)記錄定向到數(shù)據(jù)庫(kù)的 SYS.AUD$表 11g此參數(shù)默認(rèn)為 db。  

db_extended：?jiǎn)⒂脤徲?jì)，并將數(shù)據(jù)庫(kù)所有審計(jì)記錄定向的到數(shù)據(jù)庫(kù)的 SYS.AUD$表中，包含 SYS.AUD$表的 SQLBIND列和 SQLTEXTCLOB列。這樣審計(jì)的結(jié)果里面除了連接信息還包含了當(dāng)時(shí)執(zhí)行的具體語(yǔ)句。  

xml：?jiǎn)⒂脭?shù)據(jù)庫(kù)審計(jì)，并將所有的記錄寫(xiě)到XML格式的 OS系統(tǒng)文件中。

xml_extended：?jiǎn)⒂脭?shù)據(jù)庫(kù)審計(jì)，輸出審計(jì)記錄的所有列，包括 sqltext和 sqlbind。

 

有興趣的童鞋還可以了解一下ORACLE的安全審計(jì)產(chǎn)品：Oracle Audit Vault and Database Firewall（AVDF）

 

六、數(shù)據(jù)庫(kù)漏洞管理

使用主流漏洞掃描工具進(jìn)行掃描，對(duì)于中高危漏洞，應(yīng)及時(shí)修復(fù)，檢查系統(tǒng)的詳細(xì)版本號(hào),及時(shí)更新ORACLE發(fā)布的中高危補(bǔ)丁；對(duì)于暫無(wú)修復(fù)手段的漏洞，應(yīng)通過(guò)其他技術(shù)手段進(jìn)行風(fēng)險(xiǎn)規(guī)避。具體請(qǐng)參考：國(guó)內(nèi)外權(quán)威的CVE漏洞庫(kù)。

CVE中文漏洞信息庫(kù)-SCAP中文社區(qū)：http://cve.scap.org.cn/

CVE - Common Vulnerabilities and Exposures(CVE)：http://cve.mitre.org/

 

分享文章：ORACLE數(shù)據(jù)庫(kù)安全基礎(chǔ)知識(shí)
文章鏈接：http://www.chinadenli.net/article2/gspdic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、服務(wù)器托管、網(wǎng)站設(shè)計(jì)、關(guān)鍵詞優(yōu)化、定制開(kāi)發(fā)、小程序開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)