(完整版)Oracle漏洞掃描安全加固

1、關(guān)于操作系統(tǒng)和數(shù)據(jù)庫合規(guī)檢查漏洞的解決方案Oracle數(shù)據(jù)庫分冊(cè)適用軟件版本Oracle10g、11g適用硬件版本主題關(guān)于操作系統(tǒng)和數(shù)據(jù)庫合規(guī)檢查漏洞的解決方案Oracle數(shù)據(jù)庫分冊(cè)1、問題描述與原因：。數(shù)據(jù)庫在合規(guī)檢查時(shí)被掃描出漏洞，要求對(duì)這些漏洞進(jìn)行解決。2、應(yīng)對(duì)措施：對(duì)存在漏洞進(jìn)行定制的安全加固操作。3、執(zhí)行條件/注意事項(xiàng)：加固前確保服務(wù)器、數(shù)據(jù)庫、網(wǎng)管運(yùn)行均正常。最好重啟下服務(wù)器、數(shù)據(jù)庫和網(wǎng)管查看重啟后網(wǎng)管是否能運(yùn)行正常。如果加固前服務(wù)器本身有問題，加固后服務(wù)器運(yùn)行異常會(huì)加大排查難度。本解決方案執(zhí)行完成后，需要重啟Oracle數(shù)據(jù)庫來生效某些操作。本解決方案不必完全執(zhí)行，請(qǐng)根據(jù)系統(tǒng)掃描

2、出的漏洞選擇對(duì)應(yīng)的漏洞條目進(jìn)行操作。如無特殊說明，本文中的執(zhí)行用戶均為oracle4、操作步驟：漏洞清單（單擊可跳轉(zhuǎn)）：（注：漏洞名稱與配置項(xiàng)信息中的配置項(xiàng)名稱對(duì)應(yīng)。）漏洞1.檢查是否對(duì)用戶的屬性進(jìn)行控制（5）漏洞2.檢查是否配置Oracle軟件賬戶的安全策略（2）漏洞3.檢查是否啟用數(shù)據(jù)字典保護(hù)漏洞4.檢查是否在數(shù)據(jù)庫對(duì)象上設(shè)置了VPD和OLS（6）漏洞5.檢查是否存在dvsys用戶dbmsmacadm對(duì)象（14）漏洞6.檢查是否數(shù)據(jù)庫應(yīng)配置日志功能（11）漏洞7.檢查是否記錄操作日志（13）漏洞8.檢查是否記錄安全事件日志（7）漏洞9.檢查是否根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計(jì)策略漏洞10.檢查是

3、否為監(jiān)聽設(shè)置密碼漏洞11.檢杳是否限制可以訪問數(shù)據(jù)庫的地址（1）漏洞12.檢查是否使用加密傳輸（4）漏洞13.檢查是否設(shè)置超時(shí)時(shí)間（15）00暫時(shí)不處理暫時(shí)不處理漏洞14.檢查是否設(shè)置DBA組用戶數(shù)量限制（3）漏洞15.檢查是否刪除或者鎖定無關(guān)帳號(hào)漏洞16.檢查是否限制具備數(shù)據(jù)庫超級(jí)管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄（10）漏洞17.檢查口令強(qiáng)度設(shè)置（17）漏洞18.檢查帳戶口令生存周期（12）漏洞19.檢查是否設(shè)置記住歷史密碼次數(shù)（8）漏洞20.檢查是否配置最大認(rèn)證失敗次數(shù)漏洞21.檢查是否在配置用戶所需的最小權(quán)限（9）漏洞22.檢查是否使用數(shù)據(jù)庫角色（ROLE）來管理對(duì)象的權(quán)限（16

4、）漏洞23.檢查是否更改數(shù)據(jù)庫默認(rèn)帳號(hào)的密碼執(zhí)行Oracle安全加固操作前備份文件：ibash-3.2$cp$ORACLE_HOME/network/admin/listener.ora$ORACLE_HOME/network/admin/listenej忙.：jbash-3.2$cp$ORACLE_HOME/network/admin/sqlnet.ora$ORACLE_HOME/network/admin/：Oracle數(shù)據(jù)庫漏洞的解決方案全部執(zhí)行完成后，需要重啟Oracle實(shí)例來生效某些操作。漏洞1.檢查是否對(duì)用戶的屬性進(jìn)行控制類型：Orac

5、le數(shù)據(jù)庫類問題：iSQLselectcount（t.username）fromdba_userstwhereprofilenotin（DEFAULT,MONITORi“NG_PROFILE）;IIcount（t.username）01解決方案：暫時(shí)不處理。漏洞2.檢查是否配置Oracle軟件賬戶的安全策略類型：Oracle數(shù)據(jù)庫類問題：略解決方案：漏洞3.檢查是否啟用數(shù)據(jù)字典保護(hù)類型：Oracle數(shù)據(jù)庫類問題：TOC o 1-5 h z|SQLselectvaluefromv$parameterwherenamelike%O7_DICTIONARY_ACCESSIBILITY%;selei；

6、ctvaluefromv$parameterwherenamelike%O7_DICTIONARY_ACCESSIBILITY%；i*iERRORatline1:1ORA-01034:ORACLEnotavailable1iProcessID:0jiSessionID:0Serialnumber:0i解決方案：在數(shù)據(jù)庫啟動(dòng)的情況下，通過下面的命令檢查o7_dictionary_accessibility的參數(shù)值：jbash-3.2$sqlplussystem/oracle；|SQL*Plus:Release.0-ProductiononThuJan911:33:562014|i

7、Copyright(c)1982,2007,Oracle.AllRightsReserved.j：Connectedto:：iOracleDatabase10gEnterpriseEditionRelease.0-Productioni：WiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions：IIII：SQLshowparametero7_dictionary_accessibility;：NametypevalueiIIIIiiII|O7_DICTIONARY_ACCESSIBILITYboole

8、anFALSE|檢查出默認(rèn)的結(jié)果是FALSE后，使用下面的命令退出SQL*PLUS：|卜QLexit|iDisconnectedfromOracleDatabase11gEnterpriseEditionRelease.0-64bitProiIIiduction：WiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptionsi漏洞4.檢查是否在數(shù)據(jù)庫對(duì)象上設(shè)置了VPD和OLS類型：Oracle數(shù)據(jù)庫類問題：!SQLselectcount(*)fromv$vpd_policy;ijCOUNT(*)j解決方案：

9、暫時(shí)不處理。漏洞5.檢查是否存在dvsys用戶dbms_macadm對(duì)象類型：Oracle數(shù)據(jù)庫類問題：忖QLselectcount(*)fromdba_userswhereusername=DVSYS;|COUNT(*)iI0解決方案：暫時(shí)不處理。漏洞6.檢查是否數(shù)據(jù)庫應(yīng)配置日志功能類型：Oracle數(shù)據(jù)庫類問題：!SQLselectcount(*)fromdba_triggerstwheretrim(t.triggering_event)=trim(LOGONI、|COUNT(*)II0解決方案：暫時(shí)不處理。漏洞7.檢查是否記錄操作日志類型：Oracle數(shù)據(jù)庫類問題：!SQLselectv

10、aluefromv$=audit_trail;：selectvaluefromv$=audit_traili*jERRORatline1:|ORA-01034:ORACLEnotavailable：ProcessID:0Session一D:.0.一Serial.,number:_0解決方案：暫時(shí)不處理。漏洞8.檢查是否記錄安全事件日志類型：Oracle數(shù)據(jù)庫類問題：iSQLselectcount(*)fromdba_triggerstwheretrim(t.triggering_event)=trim(LOGO

11、NiTOC o 1-5 h ziiI);COUNT(*)|11!IIIIi0i解決方案：暫時(shí)不處理。漏洞9.檢查是否根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計(jì)策略類型：Oracle數(shù)據(jù)庫類問題：TOC o 1-5 h z；SQLselectvaluefromv$=audit_trail;；iselectvaluefromv$=audit_trailii*iERRORatline1:1ORA-01034:ORACLEnotavailableiProcessID:0iiSessionID:0Serialnumber:0i解決方案：

12、暫時(shí)不處理。漏洞10.檢查是否為監(jiān)聽設(shè)置密碼類型：Oracle數(shù)據(jù)庫類問題：TOC o 1-5 h z惜catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v$find:0652-081caninotchangedirectoryto:ThefileaIIiccesspermissionsdonotallowthespecifiedaction.ii$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v飛find:0652-081cIIiannotchangedirectoryto:Thefileii

13、accesspermissionsdonotallowthespecifiedaction.SID_LIST_LISTENER=(SID_LIST=iIIi(SID_DESC=(SID_NAME=PLSExtProc)(ORACLE_HOME=/oracle/app/oracle/dbhoime_1)(PROGRAM=extproc)(SID_DESC=(GLOBAL_DBNAME=minos)(O：IIiRACLE_HOME=/oracle/app/oracle/dbhome_1)(SID_NAME=minos)LISTENER=(Di愴SCRIPTION_LIST=(DESCRIPTION

14、=(ADDRESS=(PROTOCOL=TCP)(HOST=100.92.255.i141)(PORT=1521)ADRBASELISTENER=/oracle/app/oraclei解決方案：lbash-3.2$lsnrctlITOC o 1-5 h zLSNRCTLforIBM/AIXRISCSystem/6000:Version.0-Productionon08-JAN-20141I15:11:2111IIiCopyright(c)1991,2011,Oracle.Allrightsreserved.iiiiiiWelcometoLSNRCTL,typehelpforin

15、formation.i11IIjLSNRCTLchange_passwordiiOldpassword:如果之前沒有密碼則這里不填，直接按Enter鍵ijNewpassword:iiReenternewpassword:iConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=2)(PORT=1521)|iPasswordchangedforLISTENERijThecommandcompletedsuccessfullyj|LSNRCTLsave_configiConnectingto(DESCRIPTION=(ADD

16、RESS=(PROTOCOL=TCP)(HOST=2)(PORT=1521)|iSavedLISTENERconfigurationparameters.iListenerParameterFile/oracle/app/oracle//dbhome_1/network/admin/listener.oj|ra|OldParameterFile/oracle/app/oracle//dbhome_1/network/admin/listener.bakiiThecommandcompletedsuccessfullyiLSNRCTLexit

17、|bash-3.2$|設(shè)置完成后通過下面的命令檢查：|ibash-3.2$cat$ORACLE_HOME/network/admin/listener.ora|grepPASSWORDSi1有輸出則說明已經(jīng)設(shè)置成功了。一.一漏洞11.檢查是否限制可以訪問數(shù)據(jù)庫的地址類型：Oracle數(shù)據(jù)庫類問題：除catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-vWfind:0652-081can：notchangedirectoryto:Thefilea：匕cesspermissionsdonotallowthespecifiedaction.iIIi$cat

18、find$ORACLE_HOME-namelistener.ora|grep-v#|grep-vWfind:0652-081ciannotchangedirectoryto:Thefile：iaccesspermissionsdonotallowthespecifiedaction.SID_LIST_LISTENER=(SID_LIST=ij(SID_DESC=(SID_NAME=PLSExtProc)(ORACLE_HOME=/oracle/app/oracle/dbhoj|me_1)(PROGRAM=extproc)(SID_DESC=(GLOBAL_DBNAME=minos)(Oi：RA

19、CLE_HOME=/oracle/app/oracle/dbhome_1)(SID_NAME=minos)LISTENER=(D：II|ESCRIPTION_LIST=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=100.92.2551141)(PORT=1521)ADRBASELISTENER=/oracle/app/oracle1暫時(shí)不處理。暫時(shí)不處理。解決方案：TOC o 1-5 h zj檢查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否有以下行：|TCP.VALIDNODE_CHECKING=YES|CP.IN

20、VITED_NODES=(,-)!其中是允許訪問本數(shù)據(jù)庫的IP地址。iIII如果沒有，則根據(jù)需要在文件中添加，隨后重啟數(shù)據(jù)庫。i|重啟完成后，則數(shù)據(jù)庫只允許TCP.INVITED_NODES列出的IP來訪問。|：如果不存在sqlnet.ora文件，請(qǐng)使用以下命令創(chuàng)建此文件后再實(shí)施上面的操作：IIibash-3.2$touch$ORACLEHOME/network/admin/sqlnet.orai漏洞12.檢查是否使用加密傳輸類型：Oracle數(shù)據(jù)庫類問題：i$catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v$find:0652-081can：

21、jnotchangedirectoryto:Thefilea：iccesspermissionsdonotallowthespecifiedaction.i!$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v$find:0652-081ciannotchangedirectoryto:Thefile!：accesspermissionsdonotallowthespecifiedaction.SID_LIST_LISTENER=：TOC o 1-5 h z1(SID_LIST=1|(SID_DESC=|(SID_NAME=PLSExtPro

22、c)|(ORACLE_HOME=/oracle/app/oracle/dbhome_1)|i(PROGRAM=extproc)iI)I|(SID_DESC=|(GLOBAL_DBNAME=minos)!i(ORACLE_HOME=/oracle/app/oracle/dbhome_1)i1(SID_NAME=minos)jI)II)Ilistener=I|(DESCRIPTION_LIST=|(DESCRIPTION=|(ADDRESS=(PROTOCOL=TCP)(HOST=41)(PORT=1521)|!)I)IiADR_BASE_LISTENE_R_=_./ora

23、cle/app/.oracle!解決方案：漏洞13.檢查是否設(shè)置超時(shí)時(shí)間類型：Oracle數(shù)據(jù)庫類問題：TOC o 1-5 h z!$catfind$ORACLE_HOME-namesqlnet.ora|grep-v#|grep-v飛!find:0652-081cannotchangedirectoryto:i:Thefileaccesspermissionsdonotallowthespecifiedaction.ii$catfind$ORACLE_HOME-namelistener.ora|grep-v#|grep-v飛ifind:0652-081cannotchangedirectory

24、to:i:Thefileaccesspermissionsdonotallowthespecifiedaction.i|SID_LIST_LISTENER=|(SID_LIST=1(SID_DESC=1|(SID_NAME=PLSExtProc)|i(ORACLE_HOME=/oracle/app/oracle/dbhome_1)ii(PROGRAM=extproc)i1)1I/I|(SID_DESC=|(GLOBAL_DBNAME=minos)i(ORACLE_HOME=/oracle/app/oracle/dbhome_1)ji(SID_NAME=minos)iI)IIII)Ilisten

25、er=I1(DESCRIPTION_LIST=1|(DESCRIPTION=|(ADDRESS=(PROTOCOL=TCP)(HOST=41)(PORT=1521)|I)II)iADR_BASE_LISTENE_R_=_/oracle/app/oraclei解決方案：|通過下面的命令檢查是否設(shè)置了SQLNET.EXPIRE_TIME的參數(shù)值為10:1|bash-3.2$grep-iSQLNET.EXPIRE_TIME$ORACLE_HOME/network/admin/sqlnet.ora|他口果沒有設(shè)置，在$ORACLE_HOME/network/admin/sqln

26、et.ora文件中添加一行：j|SQLNET.EXPIRE_TIME=101|隨后重新啟動(dòng)監(jiān)聽和數(shù)據(jù)庫。i|如果不存在sqlnet.ora文件，請(qǐng)使用以下命令創(chuàng)建此文件后再實(shí)施上面的操作：|：bash-3.2$一touch_$ORACLE_HOMEZnetworkZadm.inZsqLnet.ora：漏洞14.檢查是否設(shè)置DBA組用戶數(shù)量限制類型：Oracle數(shù)據(jù)庫類問題：略解決方案：手動(dòng)將其他非oracle的用戶從dba組中刪除，將oracle用戶從root或system組中刪除。查詢用戶所屬組的命令是groups。改變用戶所屬組的命令是usermod-G,。漏洞15.檢查是否刪除或者鎖定無

27、關(guān)帳號(hào)類型：Oracle數(shù)據(jù)庫類問題：jSQLselectt.usernamefromdba_userstwheret.account_status=OPEN;selectt.usernajmefromdba_userstwheret.account_status=OPEN*ERRORatline1:ORA-01034:ORACLEn：otavailableProcessID:0SessionID:0Serialnumber:0解決方案：暫時(shí)不處理。漏洞16.檢查是否限制具備數(shù)據(jù)庫超級(jí)管理員(SYSDBA)權(quán)限的用戶遠(yuǎn)程登錄類型：Oracle數(shù)據(jù)庫類問題：iSQLselectt.VALUEfr

28、omv$parametertwhereupper(t.NAME)like%REMOTE_LOGIN_PASSWOR|dfile%；valueiEXCLUSIVE解決方案：j在數(shù)據(jù)庫啟動(dòng)時(shí)，通過下面的命令檢查remote_login_passwordfile的參數(shù)值：i：bash-3.2$sqlplussys/oracleassysdba|SQL*Plus:Release.0-ProductiononThuJan911:33:562014iCopyright(c)1982,2007,Oracle.AllRightsReserved.!Connectedto:iOracleData

29、base10gEnterpriseEditionRelease.0-ProductionIiWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions1SQLshowparametersremoteloginpasswordfile;NAMETYPEVALUEjremote_login_passwordfilestringEXCLUSIVE如果參數(shù)值為NONE，則默認(rèn)滿足安全要求。否則，通過下面的SQL語句修改參數(shù)值為NONE：，SQLaltersystemsetremote_login_passwor

30、dfile=NONEscope=spfile;IISystemaltered.|修改后重啟數(shù)據(jù)庫：|SQLshutdownimmediateiDatabaseclosed.iDatabasedismounted.iORACLEinstanceshutdown.|bash-3.2$exportORACLE_SID=jbash-3.2$sqlplus/nologQL*Plus:Release.0-ProductiononTueMay2011:01:552014iCopyright(c)1982,2010,Oracle.AllRightsReserved.jSQLconn/assys

31、dbaiConnectedtoanidleinstance.iSQLstartupiORACLEinstancestarted.jTotalSystemGlobalArea8589934592bytesFixedSize2065744bytesVariableSize3238009520bytes1iDatabaseBuffers5301600256bytesjRedoBuffers48259072bytesiDatabasemounted.iDatabaseopened.|SQL|檢查參數(shù)值是否修改成功：SQLshowparametersremote_login_passwordfile;A

32、METYPEVALUE：remote_login_passwordfilestringNONE|修改成功后退出SQL*PLUS：,QLexitDisconnectedfromOracleDatabase10gEnterpriseEditionRelease.0-Productio:niWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions漏洞17.檢查口令強(qiáng)度設(shè)置類型：Oracle數(shù)據(jù)庫類問題：iSQLselectcount(*)fromdba_profileswhereresource_name=

33、PASSWORD_VERIFY_FUNCTION|andlimit=NULL;|COUNT(*)ii1解決方案：暫時(shí)不處理。漏洞18.檢查帳戶口令生存周期類型：Oracle數(shù)據(jù)庫類問題：!SQLselectlimitfromdba_profilestwhereresource_name=PASSWORD_LIFE_TIME;ILIMITUNLIMITEDDEFAULTDEFAULT解決方案：暫時(shí)不處理。漏洞19.檢查是否設(shè)置記住歷史密碼次數(shù)類型：Oracle數(shù)據(jù)庫類問題：iSQLselectlimitfromdba_profilestwhereresource_name=PASSWORD_RE

34、USE_MAX;LimitIiUNLIMITEDdefaultdefault解決方案：暫時(shí)不處理。漏洞20.檢查是否配置最大認(rèn)證失敗次數(shù)類型：Oracle數(shù)據(jù)庫類問題：iSQLselectlimitfromdba_profilestwhereresource_name=FAILED_LOGIN_ATTEMPTS;iiselectlimitfromdba_profilestwhereresource_name=FAILED_LOGIN_ATTEMPTSi沃iERRORatline1:1|ORA-01034:ORACLEnotavailable|iProcessID:0iSessionID:0Se

35、rialnumber:0：解決方案：在數(shù)據(jù)庫啟動(dòng)的情況下，通過下面的命令檢查FAILED_LOGIN_ATTEMPTS的值：bash-3.2$sqlplussystem/oracleTII|SQL*Plus:Release.0-ProductiononThuJan911:33:562014|Copyright(c)1982,2007,Oracle.AllRightsReserved.iConnectedto:T!OracleDatabase10gEnterpriseEditionRelease.0-ProductioniWiththePartitioning,O

36、LAP,DataMiningandRealApplicationTestingoptions：QLSELECTRESOURCE_NAME,LIMITFROMDBA_PROFILESWHERERESOURCE_NAME=FAILED_LOGIN_AT|TEMPTSANDPROFILE=DEFAULT;|resource_nameLIMITITOC o 1-5 h ziFAILED_LOGIN_ATTEMPTSUNLIMITEDi|如果LIMIT的值為6，則符合安全要求。否則，通過下面的SQL語句修改參數(shù)值：1、QLALTERPROFILEDEFAULTLIMITFAILED_LOGIN_ATTE

37、MPTS6;iIIiProfilealtered.i檢查參數(shù)值是否修改成功：iiSQLSELECTRESOURCE_NAME,LIMITFROMDBA_PROFILESWHERERESOURCE_NAME=FAILED_LOGIN_AT|TEMPTSANDPROFILE=DEFAULT;|iRESOURCE_NAMELIMITiiFAILED_LOGIN_ATTEMPTS6j|修改成功后退出SQL*PLUS:|jSQLexitiDisconnectedfromOracleDatabase10gEnterpriseEditionRelease.0-ProductioiiniWit

38、hthePartitioning,OLAP,DataMiningandRealApplicationTestingoptionsi漏洞21.檢查是否在配置用戶所需的最小權(quán)限類型：Oracle數(shù)據(jù)庫類問題：iSQLselectcount(a.username)fromdba_usersaleftjoindba_role_privsbona.usernamjTOC o 1-5 h ziiie=b.granteewheregranted_role=DBAanda.usernamenotin(SYS,SYSMAN,SYSTEMi|,WKSYS,CTXSYS);IIICOUNT(A.USERNAME)I

39、iiii HYPERLINK l bookmark2 I19I解決方案：暫時(shí)不處理。漏洞22.檢查是否使用數(shù)據(jù)庫角色(ROLE)來管理對(duì)象的權(quán)限類型：Oracle數(shù)據(jù)庫類問題：iSQLselectcount(a.username)fromdba_usersaleftjoindba_role_privsbona.usernamiie=b.granteewheregranted_role=DBAanda.usernamenotin(SYS,SYSMAN,SYSTEMjTOC o 1-5 h z1,WKSYS,CTXSYS);jCOUNT(A.USERNAME)ji19i解決方案：暫時(shí)不處理。漏洞2

40、3.檢查是否更改數(shù)據(jù)庫默認(rèn)帳號(hào)的密碼類型：Oracle數(shù)據(jù)庫類問題：SQLselectusername,passwordfromdba_userswherepasswordin(DF02A496267DEE66,2BE61TOC o 1-5 h zII|f80744E08FEB,9793B3777CD3BD1A,CE4A36B8E06CA59C,9c30855E7E0CB02D,6399F3B38EDF328;iIIIIIIiUSERNAMEPASSWORDi!IIIIiDIPCE4A36B8E06CA59Ci加DDATADF02A496267DEE661IIII；SQLselectusername,passwordfromdba_userswherepasswordin(66F4EF5650c20355,BFBAiII15A553FD9E28A,7c9BA362F8314299,71E687F036AD56E5,anonymous,88D8364765FCE6AF);iiUSERNAMEPASSWORDi!:iEXFSYS66F4EF5650c20355j1ANONYMOUSanonymousiiWMSYS7c9BA362F8314299ICTXSYS71E687F036AD56E5|dMSYSB