Oracle漏洞掃描安全加固

關于操作系統(tǒng)和數(shù)據(jù)庫合規(guī)檢查漏洞的解決方案Oracle數(shù)據(jù)庫分冊適用軟件版本Oraclelog、11g適用硬件版本主題關于操作系統(tǒng)和數(shù)據(jù)庫合規(guī)檢查漏洞的解決方案Oracle數(shù)據(jù)庫分冊1、 問題描述與原因：Oracle數(shù)據(jù)庫在合規(guī)檢查時被掃描出漏洞，要求對這些漏洞進行解決。2、應對措施：對存在漏洞進行定制的安全加固操作。3、 執(zhí)行條件/注意事項：加固前確保服務器、數(shù)據(jù)庫、網(wǎng)管運行均正常。最好重啟下服務器、數(shù)據(jù)庫和網(wǎng)管查看重啟后網(wǎng)管是否能運行正常。如果加固前服務器本身有問題,加固后服務器運行異常會加大排查難度。本解決方案執(zhí)行完成后，需要重啟Oracle數(shù)據(jù)庫來生效某些操作。本解決方案不必完全執(zhí)行，請根據(jù)系統(tǒng)掃描出的漏洞選擇對應的漏洞條目進行操作。

如無特殊說明，本文中的執(zhí)行用戶均為oracle4、操作步驟：漏洞清單（單擊可跳轉(zhuǎn)）：（注：漏洞名稱與配置項信息中的配置項名稱對應。）漏洞1?檢查是否對用戶的屬性進行控制（5）漏洞2?檢查是否配置Oracle軟件賬戶的安全策略（2）漏洞3?檢查是否啟用數(shù)據(jù)字典保護漏洞4?檢查是否在數(shù)據(jù)庫對象上設置了VPD和OLS（6）漏洞5?檢查是否存在dvsys用戶dbmsmacadm對象（14）漏洞6?檢查是否數(shù)據(jù)庫應配置日志功能（11）漏洞7?檢查是否記錄操作日志（13）漏洞&檢查是否記錄安全事件日志（7）漏洞9?檢查是否根據(jù)業(yè)務要求制定數(shù)據(jù)庫審計策略漏洞10?檢查是否為監(jiān)聽設置密碼漏洞11?檢查是否限制可以訪問數(shù)據(jù)庫的地址（1）漏洞12.檢查是否使用加密傳輸（4）漏洞13.檢查是否設置超時時間（15）漏洞14.檢查是否設置DBA組用戶數(shù)量限制（3）漏洞15.檢查是否刪除或者鎖定無關帳號漏洞16.檢查是否限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權限的用戶遠程登錄（10）漏洞17.檢查口令強度設置（17）漏洞18.檢查帳戶口令生存周期（12）漏洞19.檢查是否設置記住歷史密碼次數(shù)（8）漏洞20.檢查是否配置最大認證失敗次數(shù)漏洞21?檢查是否在配置用戶所需的最小權限（9）漏洞22.檢查是否使用數(shù)據(jù)庫角色（ROLE）來管理對象的權限（16）漏洞23.檢查是否更改數(shù)據(jù)庫默認帳號的密碼執(zhí)行Oracle安全加固操作前備份文件：Ibash-gEWdpsoRACLEiHOME/network/admin/nsteneEorayoRACLEiHOME/neiwork]|/admin/|bash-3.2$cp$ORACLE_HOME/network/admin/sqlnet.ora$ORACLE_HOME/network/|ladmin/Oracle數(shù)據(jù)庫漏洞的解決方案全部執(zhí)行完成后，需要重啟Oracle實例來生效某些操作。漏洞1.檢查是否對用戶的屬性進行控制類型：Oracle數(shù)據(jù)庫類問題：$QL>seiectcount(t:username)iromdba_users「whereprofneno「in('DEFAULT；'MONi]|toring_profilf)；|COUNT(T.USERNAME)TOC\o"1-5"\h\z| |i i0I I解決方案：暫時不處理。漏洞2.檢查是否配置Oracle軟件賬戶的安全策略類型：Oracle數(shù)據(jù)庫類問題：略解決方案：暫時不處理漏洞3?檢查是否啟用數(shù)據(jù)字典保護類型：Oracle數(shù)據(jù)庫類問題：|SQL>seiec『vaiuefromv$parameterwherenameiike'%O7_DTcnoNARY_ACCESsiBiii|Ity%'；[selectvaluefromv$parameterwherenamelike'%O7_dictionary_accessibiuty%'|I*〔ERRORatline1：|ora-01034：oraclenotavailable〔ProcessID:0[SessionID:0Serialnumber:0解決方案：在數(shù)據(jù)庫啟動的情況下，通過下面的命令檢查o7_dictionary_accessibility的參數(shù)值：|bash-3.2$sqlplUssystem/oracle@<SlD>|SQL*Plus:Release.0-ProductiononThuJan911:33:562014〔Copyright(c)1982,2007,Oracle.AllRightsReserved. i[Connectedto:iOracleDatabaselogEnterpriseEditionRelease.0-Production[withthePartitioning,OLARDataMiningandRealApplicationTestingoptions|SQL>showparametero7_dictionary_accessibility；TOC\o"1-5"\h\zi ii iIname typevalue1 1I I|o7_dictionary_accessibiuty booleanfalseI I|檢查出默認的結(jié)果是FALSE后，使用下面的命令退出SQL*PLUS： ||SQL>exit〔DisconnectedfromOracleDatabase11gEnterpriseEditionRelease.0-64bit|production[WiththePartitioning,OLARDataMiningandRealApplicationTestingoptionsTOC\o"1-5"\h\z1 1I I漏洞4?檢查是否在數(shù)據(jù)庫對象上設置了VPD和OLS類型：Oracle數(shù)據(jù)庫類問題：fsQL>'serectcoUnt(*)ffomv$vpd_p6ricy； 〕|COUNT(*)0解決方案：暫時不處理。漏洞5.檢查是否存在dvsys用戶dbms_macadm對象類型：Oracle數(shù)據(jù)庫類問題：lSQL>seiec『麗uni(*)from0ba_userswhereusernamie='DVSYS'；|COUNT(*)I0TOC\o"1-5"\h\zI I1 1I I解決方案：暫時不處理。漏洞6? 檢查是否數(shù)據(jù)庫應配置日志功能類型：Oracle數(shù)據(jù)庫類問題：fSQL>'sereCiCoUni(*)froffiaba_iriggerS"iwherelriffi(i：triggefing_eveni)=irim('LOG|ON'); ||COUNT(*)0I1I 解決方案：暫時不處理。漏洞7? 檢查是否記錄操作日志類型：Oracle數(shù)據(jù)庫類問題：|SQL>seiec『vaiuefromrv$parameteFiWherei?name='audii_traii'；[selectvaluefromv$='audi,i_i:rail'i!*[errorailine1：|ora-01034：ORACLEnoiavailableProcessid：0I〔Sessionid：0Serialnumber：0解決方案：暫時不處理。漏洞8? 檢查是否記錄安全事件日志類型：Oracle數(shù)據(jù)庫類問題：$QL>seiec『couni(*jfrimdba_triggersfWhere而m(ifriggering_eveni)三trim('LOG|ON');ICOUNT(*)0I解決方案：暫時不處理。漏洞9?檢查是否根據(jù)業(yè)務要求制定數(shù)據(jù)庫審計策略類型：Oracle數(shù)據(jù)庫類問題：|SQL>seiecivaiue】romrv$parameieiTWherei:name='audit_iraii'；[selectvaluefromv$='audii_i:rail'ii*[erroratline1：|ora-01034：ORACLEnotavailableprocessid：0[Sessionid：0Serialnumber：0解決方案：暫時不處理。漏洞10?檢查是否為監(jiān)聽設置密碼類型：Oracle數(shù)據(jù)庫類問題：IFcaninffWACiooME-fiamesqifieLora'T酰P可"#"lgrep可唄$" find：0652-081cannotchangedirectoryto＜/oracle/app/oracle/dbhome_1/sysman^|/config/pref＞：|:Thefileaccesspermissionsdonotallowthespecifiedaction?|$cat'find$ORACLE_HOME-namelistener.ora'Igrep-v"#"|grep-v"人$"find：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman|l/config/pref＞：TOC\o"1-5"\h\z|:Thefileaccesspermissionsdonotallowthespecifiedaction?|SID_LIST_LISTENER二I(SID_LIST二|(SID_DESC= ||(SID_NAME=PLSEXtProc)(ORACLE_HOME=/oracle/app/oracle/dbhome_1)I(PROGRAM=extproc) Ii) I|(SID_DESC= ||(GLOBAL_DBNAME=minos)(ORACLE_HOME=/oracle/app/oracle/dbhome_l)I (SID_NAME=minos) Ii i1)I II ) I〔LISTENER= II(DESCRIPTION_LIST二I II(DESCRIPTION二|(ADDRESS=(PROTOCOL=TCPMHOST=100?92?255?141)(PORT=1521))I ) I1 1! ) !I " I|adr_base_listener=/oracie/app/oracieI I解決方案：^Bash-3.2$isnrctl ]i ii ii iIlsnrctlfor IBM/AIXRISCSystem/6000：Version.0-Productionon08-JAN-201Il415:11:21〔Copyright(c)1991,2011,Oracle.Allrightsreserved?TOC\o"1-5"\h\zI Ii ii ii iIWelcometolsnrctl,type"help"forinformation.11I I|lsnrctl>change_password?ldpassword：<如果之前沒有密碼則這里不填，直接按Enter鍵〉 ||Newpassword：[Reenternewpassword：[Connectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=10?92?243?82MPORT||=1521)))passwordchangedforLISTENER[Thecommandcompletedsuccessfully|lsnrctl>save_configI I〔Connectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=10?92?243?82MPORT||=1521)))〔SavedLISTENERconfigurationparameters?I IlistenerParameterFile/oracle/app/oracle/11?2?0?3/dbhome_1/network/admin/1[listener.ora|OldParameterFile/oracle/app/oracle/11?2?0?3/dbhome_1/network/admin/liste|iner?bak[Thecommandcompletedsuccessfully|lsnrctl＞exit|bash-3.2$|設置完成后通過下面的命令檢查： ||bash-3.2$cat$ORACLE_HOME/network/admin/listener?ora|grep"PASSWORDS"||有輸出則說明已經(jīng)設置成功了。 |漏洞11?檢查是否限制可以訪問數(shù)據(jù)庫的地址類型：Oracle數(shù)據(jù)庫類問題：l$canffiff$ORAcioOME：naffiesqlffle[?oran酰p可"#"igiw可嘆$" find：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_l/sysman||/config/pref＞：I:Thefileaccesspermissionsdonotallowthespecifiedaction?$cat'find$ORACLE_HOME-namelistener.ora'Igrep-v"#"|grep-v"人$"find：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman|l/config/pref＞：|:Thefileaccesspermissionsdonotallowthespecifiedaction?|SID_LIST_LISTENER二

|ADR_base_listener=/oracle/app/oracle解決方案：檢查$ORACiooME/neiw而admn/sqin麗ra文件■中是否有■以下■行；…|tcrvalidnode_checking=YES|t?UNVITED_NODES=(<host_1>,vhost_2>,…)TOC\o"1-5"\h\zI其中<host_x>是允許訪問本數(shù)據(jù)庫的IP地址。 II II如果沒有，則根據(jù)需要在文件中添加，隨后重啟數(shù)據(jù)庫。 I|重啟完成后，則數(shù)據(jù)庫只允許tcp.invited_nodes列出的IP來訪問。 |11I I|如果不存在sqlnet.ora文件，請使用以下命令創(chuàng)建此文件后再實施上面的操|(zhì)作： II Ijbash-3.2$touch$ORACLE_HOME/network/admin/sqlnet?ora漏洞12?檢查是否使用加密傳輸類型：Oracle數(shù)據(jù)庫類問題：$canind$ORACLE_HOME：namesqinei[?0ra'Tgfep可"#"Tgre0-v"/$" I Ifind：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_l/sysman||/config/pref>：i:Thefileaccesspermissionsdonotallowthespecifiedaction?i$cat'find$ORACLE_HOME-namelistener.ora'Igrep-v"#"|grep-v"人$"find：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman||/config/pref＞：I:Thefileaccesspermissionsdonotallowthespecifiedaction?|SID_LIST_LISTENER二TOC\o"1-5"\h\z|(SID_LIST二|(SID_DESC= |I(SID_NAME=PLSEXtProc)(ORACLE_HOME=/oracle/app/oracle/dbhome_l)|(PROGRAM=extproc)I) I| (SID_DESC= |I(GLOBAL_DBNAME=minos)(ORACLE_HOME=/oracle/app/oracle/dbhome_l)| (SID_NAME=minos) |!)I II ) I〔LISTENER= |i(DESCRIPTION_LIST二I(DESCRIPTION二|(ADDRESS=(PROTOCOL=TCPMHOST=100?92?255?141)(PORT=1521))TOC\o"1-5"\h\zI) Ii iI) IIadr_base_listener=/oracie/app/oracie解決方案：暫時不處理。漏洞13.檢查是否設置超時時間類型：Oracle數(shù)據(jù)庫類問題：l$canififf$ORSciOOME：fiamrsqifiei(?orangrep可"#"]grep；v斥$" find：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman|l/config/pref＞：I I|:Thefileaccesspermissionsdonotallowthespecifiedaction?|$cat'find$ORACLE_HOME-namelistener.ora'Igrep-v"#"|grep-v"人$"find：0652-081cannotchangedirectorytov/oracle/app/oracle/dbhome_1/sysman||/config/pref＞：|:Thefileaccesspermissionsdonotallowthespecifiedaction?

TOC\o"1-5"\h\zI) I|adr_base_listener=/oracie/app/oraciei ii i解決方案：通過下面的命令檢查是否設置了dQiNETIXPIREJIME的參數(shù)值為而: ||bash-3.2$grep-i"SQLNET?EXPIRE_TIME"$ORACLE_HOME/network/admin/sqlnet.or|i ii i如果沒有設置，在$ORACLE_HOME/network/admin/sqlnet?ora文件中添加一I行 II I〔SQLNET?EXPIRE_TIME=10隨后重新啟動監(jiān)聽和數(shù)據(jù)庫。|如果不存在sqlnet.ora文件，請使用以下命令創(chuàng)建此文件后再實施上面的操|(zhì)作： ||bash-3.2$touch$ORACLE_HOME/network/admin/sqlnet?oraI I漏洞14?檢查是否設置DBA組用戶數(shù)量限制類型：Oracle數(shù)據(jù)庫類問題：略解決方案：手動將其他非oracle的用戶從dba組中刪除，將oracle用戶從root或system組中刪除。查詢用戶所屬組的命令是groupsvusername〉。改變用戶所屬組的命令是usermod-G<groupnamel>,<groupname2><username>。漏洞15?檢查是否刪除或者鎖定無關帳號類型：Oracle數(shù)據(jù)庫類問題：FSQL>'serectt；usernamelromaba_user^twherei.aCCount_sta（us='OPENi；[selectt.usernamefromdba_userstwheret.account_status='OPEN'i*Terroratline1：Iora-01034：ORACLEnotavailableprocessid：0[Sessionid：0Serialnumber：0解決方案：暫時不處理。漏洞16?檢查是否限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權限的用戶遠程登錄類型：Oracle數(shù)據(jù)庫類問題：ISQL>seiec『t.VALUHrom-v$parameiferTWhereupper(匸NAME)Tike'%REMOTE_LOGiN口〔PASSWORDFILE%';〔VALUE〔EXCLUSIVE解決方案：在數(shù)據(jù)庫啟動時，通過下面的命令檢香remote_iOgin_passWordiiie……的參數(shù)〕TOC\o"1-5"\h\z值： I|bash-3.2$sqipiussys/oracie@<SlD>assysdba|SQL*Plus：Release.0-ProductiononThuJan911:33:562014〔Copyright(c)1982,2007,Oracle.AllRightsReserved.i ii ii i〔Connectedto：〔OracleDatabase10gEnterpriseEditionRelease.0-Production[WiththePartitioning,OLARDataMiningandRealApplicationTestingoptionsi ii ii i|SQL>showparametersremote_login_passwordfile；[name typevalueTOC\o"1-5"\h\zi ii i|remote_login_passwordfilestringEXCLUSIVEI如果參數(shù)值為NONE，則默認滿足安全要求。否則，通過下面的SQL語句修||改參數(shù)值為NONE： ||sql>altersystemsetremote_login_passwordfile二nonescope二spfile；〔Systemaltered.I II II修改后重啟數(shù)據(jù)庫： II I|sql>shutdownimmediate[Databaseclosed?〔Databasedismounted.|ORACLEinstanceshutdown?lbash-3.2$exportORACLE_SID=<SID>|bash-3.2$sqlplus/nolog|SQL*Plus：Release.0-ProductiononTueMay2011:01:552014〔Copyright(c)1982,2010,Oracle.AllRightsReserved.1Iii|SQL>conn/assysdba〔Connectedtoanidleinstance.|sql>startup[ORACLEinstancestarted.[TotalSystemGlobalArea8589934592bytes〔FixedSize 2065744bytes[variableSize3238009520bytes〔DatabaseBuffers 5301600256bytesI〔RedoBuffers 48259072bytes〔Databasemounted.[Databaseopened.|sql>|檢查參數(shù)值是否修改成功：|SQL>showparametersremote_login_passwordfile；I〔NAME TYPEVALUE|remote_login_passwordfilestringNONETOC\o"1-5"\h\zI修改成功后退出SQL*PLUS： I|SQL>exit〔Disconnectedfrom OracleDatabaselogEnterpriseEditionRelease.0-Produ||ction[WiththePartitioning,OLARDataMiningandRealApplicationTestingoptions漏洞17?檢查口令強度設置類型：Oracle數(shù)據(jù)庫類問題：|SQL>§elecicouni(*)fr6m0ba_0roiiles_wheFe〒esource]name='PASSWORD_VERiFY_FUNCTION'andlimit='NULL'；|COUNT(*)TOC\o"1-5"\h\zi iI ii iI1 I解決方案：暫時不處理。漏洞18?檢查帳戶口令生存周期類型：Oracle數(shù)據(jù)庫類問題：]sql>seieciiimitfromdba_proiiiesTWhereTesource_name三'password_life_time]TOC\o"1-5"\h\zi i!| 1'；:， :LIMITi iI Ii i〔UNLIMITED〔DEFAULT〔DEFAULTi i解決方案：暫時不處理。漏洞19?檢查是否設置記住歷史密碼次數(shù)類型：Oracle數(shù)據(jù)庫類問題：iSQL>seiectiimiifrom「dba_proiiiestwhereTesource_name='PASSWORD_]MUSE_MA咕? - - 一「|X；I I〔LIMIT[UNLIMITED〔DEFAULTI I〔DEFAULT解決方案：暫時不處理。漏洞20?檢查是否配置最大認證失敗次數(shù)類型：Oracle數(shù)據(jù)庫類問題：$QL>seiectiimiifrom「dba_proiiiestwhere”resource_name='FAiLED_LOGiN_ATTEM]|PTS';[selectlimitfromdba_profilestwhereresource_name='FAILED_LOGIN_ATTEMPTS'|i*〔ERRORatline1：I IIora-01034：oraclenotavailable[ProcessID:0〔SessionID:0Serialnumber:0I I解決方案：在數(shù)據(jù)庫啟動的情況下，，通過下面的命令檢查"FAiLED_LbGlN_ATTEMPfS的值訂ibash-3.2$sqlplussystem/oracle@<SlD>|SQL*Plus：Release.0-ProductiononThuJan911:33:562014〔Copyright(c)1982,2007,Oracle.AllRightsReserved.〔Connectedto:〔OracleDatabase10gEnterpriseEditionRelease.0-Production[withthePartitioning,OLARDataMiningandRealApplicationTestingoptions|SQL>SELECTRESOURCE_NAME,LIMITFROMDBA_PROFILESWHERERESOURCE_NAME='F||AILED_LOGIN_ATTEMPTS'ANDPROFILE二'DEFAULT';TOC\o"1-5"\h\zi ii i|resource_namelimiti ii ii————————————————————————————————————————————————————|failed_login_attemptsunlimitedi i|如果LIMIT的值為6,則符合安全要求。否則，通過下面的SQL語句修改參|數(shù)值： ||sql>alterprofiledefaultLIMITFAILED_LOGIN_ATTEMPTS6;1 1I II II Iprofilealtered.TOC\o"1-5"\h\zI檢查參數(shù)值是否修改成功： II I|SQL>SELECTRESOURCE_NAME,LIMITFROMDBA_PROFILESWHERERESOURCE_NAME='F||AILED_LOGIN_ATTEMPTS'ANDPROFILE二'DEFAULT';1 II IIresource_namelimiti !i ii————————————————————————————————————————————————————>AILED_LOGIN_ATTEMPTS6|修改成功后退出SQL*PLUS： ||sql>exit〔DisconnectedfromOracleDatabase10gEnterpriseEditionRelease.0-Produ1I IAction〔WiththePartitioning,OLARDataMiningandRealApplicationTestingoptions漏洞21?檢查是否在配置用戶所需的最小權限類型：Oracle數(shù)據(jù)庫類問題：fSQL>'serectcouni(a：username)fromdBa_usersa'lerfjoinaba_roie_privsbona.use|rname=b?granteewheregranted_role='DBA'anda.usernamenotin('SYS','SYSMA||N','SYSTEM','WKSYS','CTXSYS');|COUNT(A.USERNAME)I I19TOC\o"1-5"\h\zI Ii ii i解決方案：暫時不處理。漏洞22? 檢查是否使用數(shù)據(jù)庫角色(ROLE)來管理對象的權限類型：Oracle數(shù)據(jù)庫類問題：|SQL>seiec『couni(a?username)fromdba_usersaief『joindba_roie_privsbona?use]|rname=b?granteewheregranied_role='DBA'anda.usernamenotin('SYS','SYSMA||n','SYSTEM','WKSYS','CTXSYS');|COUNT(A.USERNAME)TOC\o"1-5"\h\zH; II II I解決方案：暫時不處理。漏洞23.檢查是否更改數(shù)據(jù)庫默認帳號的密碼類型：Oracle數(shù)據(jù)庫類問題：|SQL>seiectusername;passwordfomdba_userswherepasswordin('DF02A496267DE]|E66','2BE6F80744E08FEB','9793B3777CD3BD1A','CE4A36B8E06CA59C','9C30855E7E0i|CB02D','6399F3B38EDF3288');〔USERNAME PASSWORDTOC\o"1-5"\h\zi ii ii———————————————————————————————————————————————————————————— j〔DIP CE4A36B8E06CA59C[MDDATA DF02A496267DEE66|SQL>selectusername,passwordfromdba_userswherepasswordin('66F4EF5650C20i|355','BFBA5A553FD9E28A','7C9BA362F8314299','71E687F036AD56E5','anonymous','II I〔88D8364765FCE6AF');〔USERNAME PASSWORDI I|EXFSYS66F4EF5650C20355〔ANONYMOUSanonymousWMSYS7C9BA362F8314299CTXSYS71E687F036AD56E5DMSYSBFBA5A553FD9E28A|XDB88D8364765FCE6AFi6rowsselected?TOC\o"1-5"\h\zi iI Ii i|SQL>