Oracle漏洞扫描安全系统加固

1、关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册适用软件版本Oracle10g、11g适加件版本主题关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册1、问题描述与原因：Oracle数据库在合规检查时被扫描出漏洞，要求对这些漏洞进行解决。2、应对措施:对存在漏洞进行定制的安全加固操作。3、执行条件/注意事项:加固前确保服务器、数据库、网管运行均正常。最好重启下服务器、数据库和网管查看重启后网管是否能运行正常。如果加固前服务器本身有问题，加固后服务器运行异常会加大排查难度。本解决方案执行完成后，需要重启Oracle数据库来生效某些操作。本解决方案不必完全执行，请根据

2、系统扫描出的漏洞选择对应的漏洞条目进行操作。如无特殊说明，本文中的执行用户均为oracle4、操作步骤：漏洞清单（单击可跳转）：（注：漏洞名称与配置项信息中的配置项名称对应。）漏洞1.检查是否对用户的属性进行控制（5）漏洞2.检查是否配置Oracle软件账户的安全策略（2）漏洞3.检查是否启用数据字典保护漏洞4.检查是否在数据库对象上设置了VPD和OLS（6）漏洞5.检查是否存在dvsys用户dbmsmacadm对象（14）漏洞6.检查是否数据库应配置日志功能（11）漏洞7.检查是否记录操作日志（13）漏洞8.检查是否记录安全事件日志（7）漏洞9.检查是否根据业务要求制定数据库审计策略漏洞10

3、.检查是否为监听设置密码漏洞11.检查是否限制可以访问数据库的地址（1）漏洞12.检查是否使用加密传输（4）漏洞13.检查是否设置超时时间（15）漏洞14.检查是否设置DBA组用户数量限制（3）漏洞15.检查是否删除或者锁定无关帐号漏洞16.检查是否限制具备数据库超级管理员（SYSDBA）权限的用户远程登录（10）漏洞17.检查口令强度设置（17）漏洞18.检查帐户口令生存周期（12）漏洞19.检查是否设置记住历史密码次数（8）漏洞20.检查是否配置最大认证失败次数漏洞21.检查是否在配置用户所需的最小权限（9）漏洞22.检查是否使用数据库角色（ROLE）来管理对象的权限（16）漏洞23.检查

4、是否更改数据库默认帐号的密码执行Oracle安全加固操作前备份文件：|bash-3.2$cp$ORACLE_HOME/network/admin/listener.ora$ORACLE_HOME/network/admin/listene||jbash-3.2$cp$ORACLE_HOME/network/admin/sqlnet.ora$ORACLE_HOME/network/admin/sqlnet.orj!1Oracle数据库漏洞的解决方案全部执行完成后，需要重启Oracle实例来生效某些操作。漏洞1.检查是否对用户的属性进行控制类型：Oracle数据库类问

5、题：SQLselectcount（t.username）fromdba_userstwhereprofilenotin（DEFAULT,MONITOR：TOC o 1-5 h z|ING_PROFILE）;|COUNT（T.USERNAME）I.I0I解决方案：暂时不处理。漏洞2.检查是否配置Oracle软件账户的安全策略类型：Oracle数据库类问题：略解决方案：暂时不处理漏洞3.检查是否启用数据字典保护类型:Oracle数据库类问题：TOC o 1-5 h z；SQLselectvaluefromv$parameterwherenamelike%O7_DICTIONARY_ACCESSIB

6、ILITY%；iselectvaluefromv$parameterwherenamelike%O7_DICTIONARY_ACCESSIBILITY%i|*|ERRORatline1:1IIjORA-01034:ORACLEnotavailablejProcessID:0iSessionID:0Serialnumber:0;解决方案：在数据库启动的情况下，通过下面的命令检查o7_dictionary_accessibility的参数值：ibash-3.2$sqlplussystem/oracleiii|SQL*Plus:Release.0-ProductiononThuJan

7、911:33:5620141Copyright(c)1982,2007,Oracle.AllRightsReserved.iIIIIiConnectedto:iiOracleDatabase10gEnterpriseEditionRelease.0-ProductioniWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions；IIIIjSQLshowparametero7_dictionary_accessibility;iIIII HYPERLINK l bookmark27 nameTYPEVA

8、LUEI!|O7_DICTIONARY_ACCESSIBILITYbooleanFALSE|检查出默认的结果是FALSE后，使用下面的命令退出SQL*PLUS：咨QLexitDisconnectedfromOracleDatabase11gEnterpriseEditionRelease.0-64bitProiiductioniiWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptionsi漏洞4.检查是否在数据库对象上设置了VPD和OLS类型：Oracle数据库类问题：；SQLselectcount(*

9、)fromv$vpdpolicy;；iCOUNT(*)ii0解决方案：暂时不处理。漏洞5.检查是否存在dvsys用户dbms_macadm对象类型:Oracle数据库类问题：jSQLselectcount(*)fromdba_userswhereusername=DVSYS；iCOUNT(*)ii0解决方案：暂时不处理。漏洞6.检查是否数据库应配置日志功能类型：Oracle数据库类问题：jSQLselectcount(*)fromdba_triggerstwheretrim(t.triggering_event)=trim(LOGONb；iCOUNT(*)ii0解决方案：暂时不处理。漏洞7.检

10、查是否记录操作日志类型：Oracle数据库类问题：iSQLselectvaluefromv$=audit_trail；iselectvaluefromv$=audit_trail!*ERRORatline1:iORA-01034:ORACLEnotavailableIProcessID:0SessionID:0Serialnumber:0解决方案：暂时不处理。漏洞8.检查是否记录安全事件日志类型:Oracle数据库类问题：iSQLselectcount(*)fromdba_triggerstwheretrim(

11、t.triggering_event)=trim(LOGONiTOC o 1-5 h zb；iiCOUNT(*)i:II101解决方案：暂时不处理。漏洞9.检查是否根据业务要求制定数据库审计策略类型：Oracle数据库类问题：TOC o 1-5 h ziSQLselectvaluefromv$=audit_trail；iiselectvaluefromv$=audit_trail:!:!*!ERRORatline1:iiORA-01034:ORACLEnotavailableiIIIIProcessID:0iS

12、essionID:0Serialnumber:0i解决方案：暂时不处理。漏洞10.检查是否为监听设置密码类型：Oracle数据库类问题：TOC o 1-5 h z；$catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v八$；find:0652-081cannotchangedirectoryto:i:Thefileaccesspermissionsdonotallowthespecifiedaction.i；$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v八$；find:0652-081can

13、notchangedirectoryto:i；:Thefileaccesspermissionsdonotallowthespecifiedaction.；|SID_LISTJ_ISTENER=I(SIDLIST=Ii(SID_DESC=：I(SID_NAME=PLSExtProc)Ii(ORACLE_HOME=/oracle/app/oracle/dbhome_1)ii(PROGRAM=extproc)i11I)II(SID_DESC=I|(GLOBAL_DBNAME=minos)|i(ORACLE_HOME=/oracle/app/oracle/dbhome_1)i；(SID_NAME=m

14、inos)；IIi)iIIIIi) HYPERLINK l bookmark19 Listener=1II|(DESCRIPTION_LIST=I(DESCRIPTION=I|(ADDRESS=(PROTOCOL=TCP)(HOST=41)(PORT=1521)IIi)iI/IIII)IiADR_BASE_LISTENER=/oracle/app/oraclei解决方案：ibash-3.2$lsnrctliKSNRCTLforIBM/AIXRISCSystem/6000:Version.0-Productionon08-JAN-20141115:11:2

15、1ICopyright(c)1991,2011,Oracle.Allrightsreserved.：涉elcometoLSNRCTL,typehelpforinformation.1：LSNRCTLchange_password：bldpassword:如果之前没有密码则这里不填，直接按Enter键：Newpassword:：iReenternewpassword:iConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=2)(PORT=1521)PasswordchangedforLISTENERi：Thecomman

16、dcompletedsuccessfully：|LSNRCTLsave_configiConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=2)(PORT=1521)SavedLISTENERconfigurationparameters.；ListenerParameterFile/oracle/app/oracle//dbhome_1/network/admin/listener.o：irai：OldParameterFile/oracle/app/oracle//dbhome_1/

17、network/admin/listener.bak：!Thecommandcompletedsuccessfully!I|LSNRCTLexit|bash-3.2$|设置完成后通过下面的命令检查：|bash-3.2$cat$ORACLE_HOME/network/admin/listener.ora|grep/PASSWORDS有输出则说明已经设置成功了2漏洞11.检查是否限制可以访问数据库的地址类型:Oracle数据库类问题：$catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v八$find：0652-081cannotchangedirect

18、oryto：Ii：Thefileaccesspermissionsdonotallowthespecifiedaction.i$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v八$find：0652-081cannotchangedirectoryto：i：Thefileaccesspermissionsdonotallowthespecifiedaction.|SID_LIST_LISTENER=1(SID_LIST=TOC o 1-5 h zi(SID_DESC=|(SID_NAME=PLSExtProc)i(ORACLE_HOME=/

19、oracle/app/oracle/dbhome_1)i(PROGRAM=extproc)|)|(SID_DESC=|(GLOBAL_DBNAME=minos)|(ORACLE_HOME=/oracle/app/oracle/dbhome_1)1(SID_NAME=minos)I)|)listener=i(DESCRIPTION_LIST=|(DESCRIPTION=|(ADDRESS=(PROTOCOL=TCP)(HOST=41)(PORT=1521)I)|)iADR_BASE_LISTENER=/oracle/app/oracle解决方案：检查$ORACLE_HOM

20、E/network/admin/sqlnet.ora文件中是否有以下行：|tcp.validnode_checking=YES,CP.INVITED_NODES=(,)|其中是允许访问本数据库的IP地址。I如果没有，则根据需要在文件中添加，随后重启数据库。|重启完成后，则数据库只允许TCP.INVITED_NODES列出的IP来访问。i|如果不存在sqlnet.ora文件，请使用以下命令创建此文件后再实施上面的操作：jbash-3.2$touch$ORACLE_HOME/network/admin/sqlnet.ora漏洞12.检查是否使用加密传输类型：Oracle数据库类问题：j$catfi

21、nd$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v八$find：0652-081cannotchangedirectoryto:i:Thefileaccesspermissionsdonotallowthespecifiedaction.|$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v八$find：0652-081cannotchangedirectoryto：i：Thefileaccesspermissionsdonotallowthespecifiedaction.|SID_LIST_LISTE

22、NER=|(SID_LIST=TOC o 1-5 h zi(SID_DESC=(SID_NAME=PLSExtProc)(ORACLE_HOME=/oracle/app/oracle/dbhome_1)i(PROGRAM=extproc)|)i(SID_DESC=|(GLOBAL_DBNAME=minos)i(ORACLE_HOME=/oracle/app/oracle/dbhome_1)1(SID_NAME=minos)I)|)listener=i(DESCRIPTION_LIST=i(DESCRIPTION=|(ADDRESS=(PROTOCOL=TCP)(HOST=100.92.255.

23、141)(PORT=1521)|)|)iADR_BASE_LISTENER=/oracle/app/oracle解决方案：暂时不处理。漏洞13.检查是否设置超时时间类型：Oracle数据库类问题：陆catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v八$find：0652-081cannotchangedirectoryto:i:Thefileaccesspermissionsdonotallowthespecifiedaction.i$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v八$fin

24、d：0652-081cannotchangedirectoryto：i：Thefileaccesspermissionsdonotallowthespecifiedaction.iSID_LIST_LISTENER=(SID_LIST=TOC o 1-5 h z|(SID_DESC=(SID_NAME=PLSExtProc)i(ORACLE_HOME=/oracle/app/oracle/dbhome_1)I(PROGRAM=extproc)【)(SID_DESC=(GLOBAL_DBNAME=minos)I(ORACLE_HOME=/oracle/app/oracle/dbhome_1)i(

25、SID_NAME=minos)I)|)Listener=I(DESCRIPTION_LIST=i(DESCRIPTION=i(ADDRESS=(PROTOCOL=TCP)(HOST=41)(PORT=1521)|)j)iADR_BASE_LISTENER=/oracle/app/oracle解决方案：浊过下面的命令检查是否设置了SQLNET.EXPIRE_TIME的参数值为10：ibash-3.2$grep-iSQLNET.EXPIRE_TIME$ORACLE_HOME/network/admin/sqlnet.ora;如果没有设置，在$ORACLE_HOME/netw

26、ork/admin/sqlnet.ora文件中添加一行：|SQLNET.EXPIRE_TIME=10I随后重新启动监听和数据库。|如果不存在sqlnet.ora文件，请使用以下命令创建此文件后再实施上面的操作：jbash-3.2$touch$ORACLE_HOME/network/admin/sqlnet.ora漏洞14.检查是否设置DBA组用户数量限制类型：Oracle数据库类问题：略解决方案：手动将其他非oracle的用户从dba组中删除，将oracle用户从root或system组中删除。查询用户所属组的命令是groups。改变用户所属组的命令是usermod-G,。漏洞15.检查是否删

27、除或者锁定无关帐号类型：Oracle数据库类问题：iSQLselectt.usernamefromdba_userstwheret.account_status=OPEN；iiselectt.usernamefromdba_userstwheret.account_status=OPENi*ERRORatline1:IiORA-01034:ORACLEnotavailableProcessID:0SessionID:0Serialnumber:0解决方案：暂时不处理。漏洞16.检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登录类型：Oracle数据库类问题：SQLselectt

28、.VALUEfromv$parametertwhereupper(t.NAME)like%REMOTE_LOGIN_PASSWORiDFILE%;Ivalue|EXCLUSIVE解决方案：在数据库启动时，通过下面的命令检查remote_login_passwordfile的参数值：bash-3.2$sqlplussys/oracleassysdba|SQL*Plus:Release.0-ProductiononThuJan911:33:562014Copyright(c)1982,2007,Oracle.AllRightsReserved.Connectedto:,Oracle

29、Database10gEnterpriseEditionRelease.0-ProductionjWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions1IjSQLshowparametersremote_login_passwordfile;iinametypevalueiiremote_login_passwordfilestringEXCLUSIVE|如果参数值为NONE,则默认满足安全要求。否则，通过下面的SQL语句修改参数值为NONE：；SQLaltersystemsetremote_lo

30、gin_passwordfile=NONEscope=spfile;1IjSystemaltered.iiI修改后重启数据库：iSQLshutdownimmediateIDatabaseclosed.Databasedismounted.IORACLEinstanceshutdown.|bash-3.2$exportORACLE_SID=jbash-3.2$sqlplus/nologiiSQL*Plus:Release.0-ProductiononTueMay2011:01:5520141ICopyright(c)1982,2010,Oracle.AllRightsReserv

31、ed.iijSQLconn/assysdbaConnectedtoanidleinstance.jSQLstartupORACLEinstancestarted.TotalSystemGlobalArea8589934592bytesiFixedSize2065744bytesVariableSize3238009520bytesDatabaseBuffers5301600256bytesRedoBuffers48259072bytesDatabasemounted.Databaseopened.|sql|检查参数值是否修改成功：jSQLshowparametersremote_login_p

32、asswordfile;NAMETYPEVALUE|remoteloginpasswordfilestringNONETOC o 1-5 h z|修改成功后退出SQL*PLUS:!：SQLexitIIIDisconnectedfromOracleDatabase10gEnterpriseEditionRelease.0-ProductioniniIIjWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions；漏洞17.检查口令强度设置类型:Oracle数据库类问题：jSQLselectcount(*)

33、fromdba_profileswhereresource_name=PASSWORD_VERIFY_FUNCTIONjTOC o 1-5 h ziandlimit=NULL;j|COUNT(*)iiIIi1i解决方案：暂时不处理。漏洞18.检查帐户口令生存周期类型：Oracle数据库类问题：iSQLselectlimitfromdba_profilestwhereresource_name=PASSWORD_LIFE_TIME;ilimitiUNLIMITED仙EFAULTDEFAULT解决方案：暂时不处理。漏洞19.检查是否设置记住历史密码次数类型：Oracle数据库类问题：SQLsele

34、ctlimitfromdba_profilestwhereresource_name=PASSWORD_REUSE_MAX;LIMITUNLIMITEDdefaultDefault解决方案:暂时不处理。漏洞20.检查是否配置最大认证失败次数类型:Oracle数据库类问题：TOC o 1-5 h ziSQLselectlimitfromdba_profilestwhereresource_name=FAILED_LOGIN_ATTEMPTS；i!selectlimitfromdba_profilestwhereresource_name=FAILED_LOGIN_ATTEMPTSii*iERRO

35、Ratline1：!IIjORA-01034:ORACLEnotavailablejProcessID:0!SessionID:0Serialnumber:0i解决方案：|在数据库启动的情况下，通过下面的命令检查FAILED_LOGIN_ATTEMPTS的值：|jbash-3.2$sqlplussystem/oraclei、QL*Plus:Release.0-ProductiononThuJan911:33:5620141；Copyright(c)1982,2007,Oracle.AllRightsReserved.；IIIIiConnectedto:iiOracleDatab

36、ase10gEnterpriseEditionRelease.0-ProductioniWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions；|SQLSELECTRESOURCE_NAME,LIMITFROMDBA_PROFILESWHERERESOURCE_NAME=FAILED_LOGIN_AT卜EMPTSANDPROFILE=DEFAULT;1Iresource_nameLIMITI;|FAILED_LOGIN_ATTEMPTSUNLIMITED1|如果LIMIT的值为6,则符合安全要求。否

37、则，通过下面的SQL语句修改参数值：|sqlalterprofiledefaultLIMITFAILED_LOGIN_ATTEMPTS6;IProfilealtered.；|检查参数值是否修改成功：|sQLSELECTRESOURCE_NAME,LIMITFROMDBA_PROFILESWHERERESOURCE_NAME=FAILED_LOGIN_AT卜EMPTSANDPROFILE=DEFAULT;|：RESOURCE_NAMELIMIT：FAILEDLOGINATTEMPTS6|修改成功后退出SQL*PLUS:!：SQLexitIIIDisconnectedfromOracleDatab

38、ase10gEnterpriseEditionRelease.0-ProductioiiniIIjWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions；漏洞21.检查是否在配置用户所需的最小权限类型:Oracle数据库类问题：SQLselectcount(a.username)fromdba_usersaleftjoindba_role_privsbona.usernam：je=b.granteewheregranted_role=DBAanda.usernamenotin(SYS,SYSMAN,

39、SYSTEMjTOC o 1-5 h z1,WKSYS,CTXSYS);1匕OUNT(A.USERNAME)：i19解决方案：暂时不处理。漏洞22.检查是否使用数据库角色(ROLE)来管理对象的权限类型：Oracle数据库类问题：iSQLselectcount(a.username)fromdba_usersaleftjoindba_role_privsbona.usernamie=b.granteewheregranted_role=DBAanda.usernamenotin(SYS,SYSMAN,SYSTEMp,WKSYS,CTXSYS);如UNT(A.USERNAME)19解决方案：暂时不处理。漏洞23.检查是否更改数据库默认帐号的密码类型：Oracle数据库类问题：!SQLselectusername,pa