服务器之家:专注于服务器技术及软件下载分享
分类导航

Mysql|Sql Server|Oracle|Redis|MongoDB|PostgreSQL|Sqlite|DB2|mariadb|Access|数据库技术|

服务器之家 - 数据库 - Oracle - Oracle 11g实现安全加固的完整步骤

Oracle 11g实现安全加固的完整步骤

2020-03-26 16:15AlfredZhao Oracle

这篇文章主要给大家介绍了关于Oracle 11g实现安全加固的完整步骤,文中通过示例代码将实现的步骤一步步介绍的非常详细,对大家学习或者使用Oracle 11g具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧

前言

数据库安全配置中,需要做相关的安全加固工作。以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话。就会对数据库的此业务账号造成严重的后果。

本文将详细介绍关于Oracle 11g安全加固的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧

1.安全加固的检查方向

1.1.sysdba用户远程登录限制(查看Oracle登录认证方式)

检查:

?
1
show parameter remote_login_passwordfile

整改:

?
1
alter system set remote_login_passwordfile = NONE scope=spfile;

注:需要重启库生效。

1.2.是否开启了资源限制

?
1
2
3
show parameter resource_limit
 
alter system set resource_limit = true;

1.3.登录失败的帐号锁定策略

?
1
select * from dba_profiles order by 1;

关注FAILED_LOGIN_ATTEMPTS的设定值

1.4.数据库用户帐号检查

检查:

?
1
select username,profile from dba_users where account_status='OPEN';

整改:

锁定用户:alter user <用户名> lock;

删除用户:drop user <用户名> cascade;

1.5.范例数据库帐号

是否存在默认的范例数据库账号scott等,可以考虑删除scott账号

1.6.dba权限账户检查

?
1
select * from dba_role_privs where granted_role='DBA';

1.7.数据库账户口令加密存储

11g数据里面的账户口令本来就是加密存储的。

1.8.数据库密码安全性校验函数

?
1
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

1.9.设定信任IP集

只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行:

?
1
2
tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)

1.10.超时的空闲远程连接是否自动断开

根据实际需要设置合适的数值。

在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数:

?
1
SQLNET.EXPIRE_TIME=10

2.安全加固检查safeCheck.sh

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
#!/bin/bash
#name:safeCheck.sh
#function:to create a safe check report.
#usage: oracle用户登录,执行 sh safeCheck.sh > /tmp/safeCheck.log
 
#logon database
sqlplus -S / as sysdba <<EOF
 
--format
prompt ============================
prompt ==  format  
prompt ============================
prompt
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30
 
--check
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
prompt
show parameter remote_login_passwordfile
prompt 结果应为none.
 
prompt ======================
prompt == 2.resource_limit
prompt ======================
prompt
show parameter resource_limit
prompt 结果应为true.
 
prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
prompt
select * from dba_profiles order by 1;
prompt 关注FAILED_LOGIN_ATTEMPTS参数
 
prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
prompt
select username,profile from dba_users where account_status='OPEN';
prompt 正常使用的用户列表
 
prompt ==========================
prompt == 5.范例数据库帐号 
prompt ==========================
prompt
select * from all_users order by created;
prompt 关注有无示例账户scott
 
prompt ===========================
prompt == 6.dba权限账户检查 
prompt ===========================
prompt
 
prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt
 
 
prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
prompt 结果应该不为null
 
--logoff database
EOF
 
# check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
echo
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)
 
echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
echo
#根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10

3.安全加固执行safeExec.sh

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
#!/bin/bash
#name:safeExec.sh
#function:to execute the script for safe.
#usage: oracle用户登录,执行 sh safeExec.sh > /tmp/safeExec.log
 
#logon database
sqlplus -S / as sysdba <<EOF
 
--format
prompt ============================
prompt ==  format  
prompt ============================
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30
 
--execute
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
alter system set remote_login_passwordfile=none scope=spfile;
 
prompt ======================
prompt == 2.resource_limit
prompt ======================
alter system set resource_limit=true;
 
prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
alter profile default limit FAILED_LOGIN_ATTEMPTS 10;
 
prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
--select username,profile from dba_users where account_status='OPEN';
prompt I think I have nothing to do in this step.
 
prompt ===========================
prompt == 5.范例数据库帐号 
prompt ===========================
prompt 是否删除范例scott用户?
--drop user scott cascade;
 
prompt ===========================
prompt == 6.dba权限账户检查 
prompt ===========================
prompt I think I have nothing to do in this step.
 
prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt 11g版本,数据库层面就是加密的嘛~
 
prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt 执行创建安全性校验函数的脚本
@?/rdbms/admin/utlpwdmg.sql
 
--logoff database
EOF
 
# check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)
 
echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
#根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10

针对第9和第10步骤中的sqlnet.ora配置文件示例:

注意:如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。

?
1
2
3
SQLNET.EXPIRE_TIME=10
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.99.*)

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对服务器之家的支持。

原文链接:http://www.cnblogs.com/jyzhao/p/4453651.html

  • Oracle 11g
  • 安全加固

    • 延伸 · 阅读

    精彩推荐
    最近更新
    编辑推荐
    阅读排行
    热门标签
    1033   1455   12154   10231   12514   54013   数据库系统   快照   分区策略   数据库集   异常关闭   Oracle9iPL   SQL编程   日期函数   SQL性能优化   并行查询   紧急故障   完全卸载   Win2k   IMP   分区管理   密码文件   AutoUpgrade   异地备份   交叉表   加载数据库错误   areasQueries   逻辑备份   SH文件   数据文件  
    © 2019-2023 服务器之家(www.zzvips.com) 版权所有关于我们联系我们版权申明网站地图