Oracle数据库安全配置手册

Oracle数据库安全配置手册Version1.0版本掌握版本号版本号1.0日期20131217参与人员王峰更说明目 录\l“_TOC_250017“第一章目的与范围 1\l“_TOC_250016“目的 1\l“_TOC_250015“适用范围 1\l“_TOC_250014“数据库类型 1\l“_TOC_250013“其次章数据库安全标准 1\l“_TOC_250012“操作系统安全 1\l“_TOC_250011“帐户安全 2\l“_TOC_250010“密码安全 2\l“_TOC_250009“访问权限安全 2\l“_TOC_250008“日志记录 3\l“_TOC_250007“加密 3\l“_TOC_250006“治理员客户端安全 3\l“_TOC_250005“安全补丁 3\l“_TOC_250004“审计 3\l“_TOC_250003“第三章数据库安全配置手册 4\l“_TOC_250002“ORACLE数据库安全配置方法 4\l“_TOC_250001“根本漏洞加固方4\l“_TOC_250000“特定漏洞加固方12第第132页目的保证业务系统的正常运营，提高业务效劳质量，特制定本方法。本文档旨在于标准宝付对各业务系统的Oracle数据库进展安全加固处理。适用范围本手册适用于对宝付公司的各业务系统的数据库系统加固进展指导。数据库类型其次章数据库安全标准操作系统安全要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系Oracle的后台进程进展读写。因此，只有要创立和删第第232页去意义。必需防止对全部数据备份的非法访问。帐户安全应用的实际需要，对数据库帐户所使用的资源〔如CPU等〕进展限制。这样profile实施。的初始密码登录数据库。另外，对不使用的帐户应锁定，消退帐户安全隐患。密码安全Oracle7.1开头，client远程连接数据库，OracleNet会自动对通Oracle7.1sqlnet.oraora_encrypt_login=true。此外，对密码进展严格的治理。可以使用profile来治理口令的终止、重使以有效地防止黒客猜测帐户口令，削减口令安全隐患。访问权限安全和对象权限。对象权限可以实施到数据库对象的字段级别。第第832日志记录Oracle的警告日志alertsid.log出于安全的考虑，需有规律地检查警告日志。加密在传输过程中不被窃听，可以对数据进展加密，以密文进展传输。治理员客户端安全更加安全。安全补丁Oracle虽然具有很高的安全性，但是不行避开还是有安全漏洞，一个比较安Oracle的安全公告，并准时安装安全补丁。安全公告和补丁位置如下：“://otn.oracle/deploy/security/alerts.htm“://otn.oracle/deploy/security/alerts.htm审计出于数据库的安全，需要实施审计以跟踪重要的或可疑的数据库活动。审计那么就可能降低他们滥用职权的可能性。由于传统型的审计产生数量极大的数据，所以这就很难从中觉察有用的信息，因此，Oracle9i引进了准确细化的审治理员就能实行终止非法数据库会晤的措施。由效劳器强制进展的审计捕获用户的活动、系统权限、语句或者对象触发器能够记录未被自动包含在审计追踪中的定制信息精细粒度的、可扩展的审计功能使机构能够定义具体的审计政策，以便还是机构内部大事处理器供给了确定如何处理由触发器启动的某一审计大事的敏捷性审计多层系统中的活动第三章数据库安全配置手册Oracle数据库安全配置方法根本漏洞加固方法1、 操作系统安全性编号： 编号： 001名称：操作系统安全性重要等级：高根本信息：假设要访问一个数据库，必需首先能够以直接或非直接方式访问正在运行该数据库的服务器。要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进展读写。因此，只有要创立和删除这些文件的数据库治理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必需受到保护。可以假设要保护数据的安全，就要对数据所驻留的每一个数据库及这些数据库的备份进展保护。假设某人能从含有你的数据备份的数据库中带走备份磁带，那么你在数据库中所做的全部保密工作就失去意义。必需防止对全部数据备份的非法访问。检测内容：检查承载平台的安全检查网络的安全建议操作：参见主机和网络安全方案操作结果：无操作结果：确保权限最小化2、 用户环境文件编号： 编号： 002名称：用户环境文件重要等级：高根本信息：可以使用用户环境文件profile来限制可由用户使用的系统和数据库资源并治理口令限制。假设数据库中没有创立环境文件，将使用缺省环境文件；缺省环境文件指定对于全部用户资源没有限制。检测内容：检查系统环境文件建议操作：明确环境文件创立是否合理：明确环境文件创立是否合理：操作结果：确保资源调用最小化3、 内建帐户编号：

003 名称：

内建帐户连接 重要等级： 中根本信息：数据库有一些内建帐户，使用这些内建帐户的默认密码，就可以访问该数据库。对不需要使用的内建帐户进展锁定。检测内容：检查内建帐户的默认密码是否转变，不需要使用的内建帐户是否已锁定。建议操作：修改OUTLN密码ALTERUSERoutlnIDENTIFIEDBY <new_password>;修改DBSNMP密码ALTERUSERdbsnmpIDENTIFIEDBY <new_password>;编辑$ORACLE_HOME/network/admin/snmp_rw.ora，更改如下行：SNMP.CONNECT.<service_name>.PASSWORD=<new_password>其中，<service_name>是数据库效劳名，<new_password>是密码SCOTT密码ALTERUSERscottIDENTIFIEDBY <new_password>;锁定没有使用的内建帐户ALTERUSERxxxACCOUNTLOCK;操作结果：无编号： 004名称：编号： 004名称：口令治理重要等级：高根本信息：在Oracle中，可以使用profile来治理口令的终止、重使用和简单性。例如，可以限制一个口令的寿命、锁定口令过旧的帐户。也可以强制一个口令至少有肯定程度的简单性并锁定一个屡次注册失败的帐户。检测内容：检查系统口令设置状况建议操作：假设设置用户环境文件的FAILED_LOGIN_ATTEMPTS资源为5，该帐户允许连续注册失56次就会引起帐户被锁定。PASSWORD_REUSE_MAX或PASSWORD_REUSE_TIME。这两个参数互不相容：假设给其中的一个设了值，另一个就必需设为UNLIMITED。PASSWORD_REUSE_TIME参数规定一个口令可以重使用前必需经过的天数。例如，假设设置PASSWORD_REUSE_TIME6060PASSWORD_REUSE_MAX参数指定一个口令可以重使用前必需对其转变的次数。假设试图在这个限制到达前重使用该口令，Oracle会拒绝口令的修改。可以强制用户的口令符合简单度标准。例如，可以要求口令的最小长度、不是一些简洁的createprofile和alterprofilePASSWORD_VERIFY_FUNCTION参数指定用于评估口令的函数名。假设用户提出的口令不符合要求，就不会被承受。操作结果：确保口令安全编号： 005名称：编号： 005名称：登陆口令重要等级：高根本信息：对于Oracle7.1以前，当从一个客户机连接到数据库效劳器，或者通过数据库链接从一个数据库连接到另一个数据库时，除非指定其他形式，否则Oracle将以非加密的形式传输输入的口令。对于的口令。对于Oracle7.1以前，可以设置参数来强制Oracle在传输前将口令值加密。对于Oracle71以后，Oracle默认将以加密的形式传输输入的口令，不需另外手工配置。检测内容：检查是否设置了口令加密建议操作：对于Oracle7.1以前，假设要启用口令加密，需设置以下参数：对于客户机，把sqlnet.ora件中的ORA_ENCRYPT_LOGIN 参数设为TRUE。对于效劳器，把init.oa件中的DBLINK_ENCRYPT_LOGIN参数设为TRUE。和效劳器到效劳器之间传送。操作结果：确保登陆安全编号： 006名称：口令文件验证编号： 006名称：口令文件验证重要等级：高根本信息：DBAUNIX/etc/grop件中DBA以内部连接。假设从远程DBA用户连接数据库，建议使用口令文件验证。检测内容：检查口令文件状况建议操作：1)ORAPWD有用程序创立口令文件。ORAPWDFILE=filenamePASSWORD=passwordENTRIES=max_usersORAPWD是一个生成口令文件的Oracle有用程序。执行ORAPWDSYS访问的口令外，还规定要创立的口令文件的名称。ENTRIES参数通知Oracle，要在口令文件中创ENTRIES值设得高一些。假设超出口令文件条目数的范围限额，就收到一个ORA-1996错误。重建该口令文件时，需要重授SYSDBASYSOPER权限。将init.oraREMOTE_LOGIN_PASSWORDFILEEXCLUSIVE，关闭并重启动数据库，以便变更的参数起作用。SYSOPERSYSDBA权限授予需要进展数据库治理的每一个用户。SYSDBA授予用户数据库治理员的权限；SYSOPER使用户能执行数据库操作支持活动。为了授予用户SYSOPER或SYSDBA权限，必需在内部连接。被受权用户现在应能通过使用一个与下述命令类似的命令与数据库连接：connectgeorge/如下面例子所示，可以用revoke命令撤消一个用户的SYSDBASYSOPER权限：revokeSYSDBAfromGeorge;SYSDBASYSOPER系统权限的用户，可以查询V$PWFILE_USERS。假设用户拥有SYSDBA权限，V$PWFILE_USERS在其SYSDBA列中将有一个TRUE拥有SYSOPER权限，将在其SYSOPER列中有一个TRUE值。操作结果：无7、系统权限编号：编号：007名称：系统权限重要等级：高根本信息：可以使用系统级角色分派以治理数据库的系统级命令。下表列出了Oracle11个系统级角色。使用这些角色就能对授予数据库治理角色的系统级权限进展限制。检测内容：检查全部用户的权限检查网络的安全建议操作：明确每个用户的权限级别归属：是否有必要8、 对象权限编号：根本信息：

008 名称：

对象权限 重要等级： 高对象级权限(object-levelprivilege)使用户可以访问不属于自己的数据。可以使用角色来削减权限grant命令创立，存于数据字典中。对表、视图、序列(以及它们的同义词)的访问，加上执行过程、函数、软件包及类型的力量都可以授权给用户。检测内容：检查对象权限建议操作：下 表 列 出 了 可 以 授 予 对 象 的 权 限 。第1032页第第1132页可以使用可以使用子句向授与用户传递授权力量，以便在基对象上进一步授权。随着角色的消灭，这些权限的治理就简洁了。角色是成组的权限，角色可授给用户，这样就大大简化了权限治理进程。操作结果：确保权限最小化9、 日志记录编号： 编号： 509名称：警告日志文件重要等级：高根本信息：Oraclealertsid.log里记录有数据库的关键活动，如删除表空间等，出于安全的考虑，需有规律地检查警告日志。检测内容：检查警告日志文件建议操作：明确关键的数据库活动是否合理：操作结果：无特定漏洞加固方法sqlnet.ora文件，对传输的数据进展加密，以避开明文在网络上的传输。Administrator’sGuide——ConfiguringDataEncryptionandIntegrity二、对于访问数据库的客户端IP地址进展配置。数据库监听客户端IP/$oracle/log/listener.log文件里，请治理员定期查看和分析该日志文件。在/$oracle/network/adminSQLNET.ORA文件，增加如下内容：tcp.validnode_checking=YEStcp.excluded_nodes=(192.168.0.1)IP的限制，借助操作系统或者防火墙等设备实现也是可行的。三、安装最补丁程序Oracle虽然具有很高的安全性，但是不行避开还有安全漏洞，一个比较安全Oracle的安全公告，并准时安装安全补丁。安全公告和补丁位置如下：“://otn.oracle/deploy/security/alerts.htm“://otn.oracle/deploy/security/alerts.htmOracle好备份工作，联系Oracle公司或者你的开发商，定时做补丁升级是格外必要的。四、对敏感的数据库活动实施审计对敏感的数据库活动，如删除表等进展审计。Oracle供给的数据库审计类型有：SQL语句。这种类型的审计范围格外广。特权审计：监视数据库里一个或者多个特定用户或者全部用户使用的系统权限，比方auditcreatetable。这种类型的审计范围是中等的。比方：auditinsertintoEMPLOYEES。这种类型的审计是格外有重点的，范围狭窄。audit_trailDBOS。表里；OS表示将审计记录写到操作系统文件中，默认生成在$ORACLE_HOME/rdbms/audit名目，审计文件也可AUDIT_FILE_DEST另外指定。启用审计144个可以审计的审计命令，如：createtable,insert,select等。数据库，可通过以下命令启用审计：auditcreatetableby<username>;查询审计select*fromdba_audit_trail;五、用户治理过多的用户被授予DBA的权限SELECT的”DBA”DBA角色的用户，依据需WHEREGRANTED=’DBA’。PUBLIC的状况户可以临时锁定该用户，或赐予格外简单的口令。删除用户及其全部的数据对象命令：dropuserdbusercascade;取消用户角色权限：revokeconnectfromdbuser;应检查的用户名包括：SCOTT,DBSNMP,TRACESVR,CTXSYS,MDSYS,DEMO,CTXDEMO,APPLSYS,PO8,NAMES,SYSADM,ORDPLUGIN,OUTLN,ADAMS,BLAKE,JONES,CLARK,AURORA$ORB$UNAUTHENTICATED,APPS。连接时使用空口令。PROFILE，防止利用空口令或默认口令进展连接。UTL_FILE的使用用户需要使用UTL_FILE程序包假设没有用户使用，应收回一般用户对该包的执行权限。假设确实有用户需要使用。与应用系统开发商协商，是否可以转变 DB_LINK的创立方式，在创立DB_LINK时不指定用户名和口令。七、数据库配置：数据库配置未承受数据字典保护。。该参据字典。.Default:Oracle8i:TUREOracle9i:FALSEServerEM和动态效劳。假设无必要，server:$>cd $ORACLE_HOME/Apache/Apache/bin$>apachectl stop九、关闭远程数据库验证为远程数据库验证。为加强安全起见，关闭远程数据库验证。设定初始化参数REMOTE_OS_AUTHENT=FALSEVPD和OracleLabelSecurity如有必要，在一般的数据库安全机制外，还可实施另一种的安全机制，称VP〔虚拟专用数据库，帮助从数据库内部供给有效的安全。这种安全机制生作用，使得当用户提交一个查询〔或insert,update,delete〕时，自动地加上相应whereOracleselect*fromcustomers;表里有一个相关的安全策略来限制销售代表只能查看自己顾客的信息，这个查询将被自动地重写为：select*fromcustomerswheresales_rep_id=sys_context(‘hr_context’,‘sales_id’);A,B两位销售代表键入的是同一条SQL语句，select*fromcustomers,但返回的结果不同：A返回的是select*fromorderswhereBselect*fromorderswheresales_rep_id=152，也就where子句确保该销售代表只能查ID从用户定义的应用h