oracle數(shù)據(jù)庫(kù)系統(tǒng)加固規(guī)范

SHG-Oracle-03-01-01 25SHG-Oracle-03-01-02 264設(shè)備其他安全要 28SHG-Oracle-04-01-01 28SHG-Oracle-04-01-02 29SHG-Oracle-01-01-01號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟SHG-Oracle-01-01-01為不同的管理員分配不同的賬號(hào)應(yīng)按照用戶(hù)分配賬號(hào)，避免不同用戶(hù)間共享賬號(hào),提高安全select*fromall_users;select*fromdba_users;記錄用戶(hù)列表1、參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;立role，并給role授權(quán)，把role賦給不同的用戶(hù)2、補(bǔ)充操作說(shuō)明1、abc1和abc2是兩個(gè)不同的賬號(hào)名稱(chēng)，可根據(jù)不同用刪除用戶(hù)：例如創(chuàng)建了一個(gè)用戶(hù)A，要?jiǎng)h除它可以這樣做connectsys/密碼assysdba;dropuserAcascade;不能通過(guò)不能通過(guò)Sql*Net遠(yuǎn)程以SYSDBA用戶(hù)連接到數(shù)據(jù)庫(kù)。2.在數(shù)據(jù)庫(kù)主機(jī)上以sqlplus‘/assysdba’連接到據(jù)庫(kù)需要輸入口令。檢檢測(cè)操作2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境3.使用showparameter命令來(lái)檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/文件中參數(shù)是否被設(shè)置成NONE。實(shí)施風(fēng)險(xiǎn)重要等級(jí)高★★★SHG-Oracle-01-01-04SHGSHG-Oracle-01-01-04權(quán)限最小化在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所對(duì)系統(tǒng)的威脅性越高select*fromuser_sys_privs;select*fromuser_role_privs;select*fromuser_tab_privs;記錄用戶(hù)擁有權(quán)限號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)、參考配置操作grant權(quán)限tousername;revoke權(quán)限fromusername;2、補(bǔ)充操作說(shuō)明用第一條命令給用戶(hù)賦相應(yīng)的最小權(quán)限用第二條命令收回用戶(hù)多余的權(quán)限還原添加或刪除的權(quán)限業(yè)務(wù)測(cè)試正常實(shí)施步驟判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)高★SHG-Oracle-01-01-05號(hào)SHG-Oracle-01-01-05數(shù)據(jù)庫(kù)角色實(shí)施目的使用數(shù)據(jù)庫(kù)角色(ROLE)來(lái)管理對(duì)象的權(quán)限。賬號(hào)管理混亂select*fromdba_role_privs;系統(tǒng)當(dāng)前狀態(tài)select*fromuser_role_privs;記錄用戶(hù)擁有的role一．創(chuàng)建角色,修改角色1.創(chuàng)建角色，不指定密碼：createroletestrole；2．創(chuàng)建角色，指定密碼：createroletestroleidentifiedbypasswd;alterroletestroleidentifiedbypasswd;4.給角色授予權(quán)限。GrantselectonTable_nametotestrole;實(shí)施步驟實(shí)施步驟granttestroletoUser_Name;二、起用角色：給用戶(hù)賦予角色，角色并不會(huì)立即起作1．角色不能立即起作用。必須下次斷開(kāi)此次連接，下次連接才能起作用。testroleidentifiedbypasswd立即生效；3．無(wú)密碼的角色：setroletestrole；刪除相應(yīng)的Rolerevokerole_namefromuser_name高高★判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)對(duì)應(yīng)用用戶(hù)不要賦予DBARole或不必要的權(quán)限SHG-Oracle-01-01-06SHGSHG-Oracle-01-01-06用戶(hù)profile對(duì)用戶(hù)的屬性進(jìn)行控制，包括密碼策略、資源限制等。SELECTprofileFROMdba_usersWHEREusername=’user_name’;記錄用戶(hù)賦予的profile可通過(guò)下面類(lèi)似命令來(lái)創(chuàng)建profile，并把它賦予一個(gè)戶(hù)SQL>showparameterresource_limitSQL>altersystemsetresource_limit=true;CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟高高★PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERuser_namePROFILEprofile_name;判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)alteruserdinyaprofiledefault;恢復(fù)默認(rèn)1.可通過(guò)設(shè)置profile來(lái)限制數(shù)據(jù)庫(kù)賬戶(hù)口令的復(fù)雜程2.可通過(guò)設(shè)置profile來(lái)限制數(shù)據(jù)庫(kù)賬戶(hù)的CPU資源占4、檢測(cè)操作2.查詢(xún)視圖dba_profiles和dba_usres來(lái)檢查profile是否創(chuàng)建。SHG-Oracle-01-01-07編編號(hào)SHG-Oracle-01-01-07實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)實(shí)施風(fēng)險(xiǎn)數(shù)據(jù)字典保護(hù)啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶(hù)才能訪(fǎng)問(wèn)數(shù)據(jù)字ShowparameterO7_DICTIONARY_ACCESSIBILITY記錄當(dāng)前狀態(tài)通過(guò)設(shè)置下面初始化參數(shù)來(lái)限制只有SYSDBA權(quán)限的用戶(hù)才能訪(fǎng)問(wèn)數(shù)據(jù)字典。altersystemsetO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;修改O7_DICTIONARY_ACCESSIBILITY為原來(lái)屬性以普通用戶(hù)登陸到數(shù)據(jù)庫(kù)，不能查看X$開(kāi)頭的表，比select*fromsys.x$ksppi;檢測(cè)操作2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境3.使用showparameter命令來(lái)檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY高重重要等級(jí)★SHG-Oracle-01-01-08SHGSHG-Oracle-01-01-08限制在DBA組中的操作系統(tǒng)用戶(hù)數(shù)量，通常DBA組中Cat/etc/passwd參考配置操作通過(guò)/etc/passwd文件來(lái)檢查是否有其它用戶(hù)在DBA組e1)修改/etc/shadow文件，用戶(hù)名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd-lusername只有具備超級(jí)用戶(hù)權(quán)限的使用者方可使用，#passwd-lusername鎖定用戶(hù),用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。還原/etc/passwd文件判定條件屬于DBA組。檢測(cè)操作號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)影響組用戶(hù)管理通通過(guò)/etc/passwd文件來(lái)檢查是否有其它用戶(hù)在DBA組高★實(shí)施風(fēng)險(xiǎn)重要等級(jí)SHG-Oracle-01-02-01號(hào)SHG-Oracle號(hào)缺省密碼長(zhǎng)度復(fù)雜度限制對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫(kù)，口令長(zhǎng)度至少6實(shí)施目的位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4實(shí)施目的至少2系統(tǒng)當(dāng)前狀態(tài)SELECTprofileFROMdba_系統(tǒng)當(dāng)前狀態(tài)eusername用戶(hù)賦予的profile1、參考配置操作為用戶(hù)建profile，調(diào)整PASSWORD_VERIFY_FUNCTION，指定密碼復(fù)雜度實(shí)施步驟實(shí)施步驟SQL>CREATEORREPLACEFUNCTIONmy_password_verify(usernameVARCHAR2,password,old_,old_passwordVARCHAR2)RETURNBOOLEAN2BEGIN3IFLENGTH(password)<6THEN4raise_application_error(-20001,''Passwordmustbeatleast6characterslong'');5ENDIF;6RETURN(TRUE);7END;SQL>createprofileTEST_PROFILElimit2password_verify_functi判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)MY_PASSWORD_VERIFY;alteruseruser_nameMY_PASSWORD_VERIFY;1、判定條件修改密碼為不符合要求的密碼，將失敗alteruseruser_nameidentifiedbypasswd;將失敗低★★★SHG-Oracle-01-02-02編編號(hào)SHG-Oracle-01-02-02實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)缺省密碼生存周期限制對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶(hù)口令的生存期密碼被非法利用，并且難以管理密碼被非法利用，并且難以管理SELECTprofileFROMdba_usersWHEREusername’user_name’;記錄用戶(hù)賦予的profile、參考配置操作為用戶(hù)建相關(guān)profile，指定PASSWORD_GRACE_TIME為2、補(bǔ)充操作說(shuō)明alteruseruser_nameprofiledefault;3、判定條件到期不修改密碼，密碼將會(huì)失效。連接數(shù)據(jù)庫(kù)將不會(huì)成功測(cè)操作connectusername/password報(bào)錯(cuò)實(shí)施風(fēng)險(xiǎn)重要等級(jí)低★★★功功低★SHG-Oracle-01-02-03號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)SHG-Oracle-01-02-03密碼重復(fù)使用限制對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶(hù)不密碼破解的幾率增加能重復(fù)使用最近5次(含5密碼破解的幾率增加SELECTprofileFROMdba_usersWHEREusername’user_name’;記錄用戶(hù)賦予的profile、參考配置操作為用戶(hù)建profile,指定PASSWORD_REUSE_MAX為52、補(bǔ)充操作說(shuō)明當(dāng)前使用的密碼，必需在密碼修改5次后才能再次被使用alteruseruser_nameprofiledefault;3、判定條件重用修改5次內(nèi)的密碼，將不能成功測(cè)操作alteruserusernameidentifiedbypassword1;password1在5次修改密碼內(nèi)被使用，該操作將不能成中中★號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)SHG-Oracle-01-02-04密碼重試限制對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證允許暴力破解密碼失敗次數(shù)超過(guò)6次(不含6允許暴力破解密碼SELECTprofileFROMdba_usersWHEREusername’user_name’;記錄用戶(hù)賦予的profile、參考配置操作為用戶(hù)建profile，指定FAILED_LOGIN_ATTEMPTS為62、補(bǔ)充操作說(shuō)明如果連續(xù)6次連接該用戶(hù)不成功，用戶(hù)將被鎖定alteruseruser_nameprofiledefault;3、判定條件連續(xù)6次用錯(cuò)誤的密碼連接用戶(hù)，第7次時(shí)用戶(hù)將被鎖定測(cè)操作實(shí)施風(fēng)險(xiǎn)重要等級(jí)connectusername/password，連續(xù)6次失敗，用戶(hù)被鎖定號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟SHG-Oracle-01-02-05修改默認(rèn)密碼更改數(shù)據(jù)庫(kù)默認(rèn)帳號(hào)的密碼?？赡鼙黄平饷艽a詢(xún)問(wèn)管理員賬號(hào)密碼,并記錄參考配置操作1.可通過(guò)下面命令來(lái)更改默認(rèn)用戶(hù)的密碼：ALTERUSERuser_nameIDENTIFIEDBYpasswd;2.下面是默認(rèn)用戶(hù)密碼列表：CTXSYSCTXSYSDBSNMPDBSNMPLBACSYSLBACSYSMDDATAMDDATAMDSYSMDSYSDMSYSDMSYSOLAPSYSMANAGERORDPLUGINSORDPLUGINSORDSYSORDSYSOUTLNOUTLN中中★SI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASYSCHANGE_ON_INSTALLSYSMANCHANGE_ON_INSTALL判斷依據(jù)SYSTEMMANAGERALTERUSERuser_nameIDENTIFIEDBYpasswd;判定條件不能以用戶(hù)名作為密碼或使用默認(rèn)密碼的賬戶(hù)登陸到數(shù)據(jù)庫(kù)。檢測(cè)操作2.檢查數(shù)據(jù)庫(kù)默認(rèn)賬戶(hù)是否使用了用戶(hù)名作為密碼或默認(rèn)密碼。實(shí)施風(fēng)險(xiǎn)重要等級(jí)---------SHG-Oracle-02-01-01號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟SHG-Oracle-02-01-01啟用日志記錄功能數(shù)據(jù)庫(kù)應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶(hù)使用的IP地址。無(wú)法對(duì)用戶(hù)的登陸進(jìn)行日志記錄--createtablelogin_--登入登出信息表(--session_idintnotnull--sessionidlogin_on_time登入時(shí)間login_off_time登出時(shí)間user_in_db登入的dbuserdate,date,varchar2(30),機(jī)machinevarchar2(20),--機(jī)器名ip_addressvarchar2(20),--ip地址run_programvarchar2(20)--以何程序登入);createorreplacetriggerlogin_on_info--記錄登入信息的觸發(fā)器afterlogonondatabaseBegininsertintologin_log(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)selectAUDSID,sysdate,null,,machine,SYS_CONTEXT('USERENV','IP_ADDRESS'),programfromv$sessionwhereAUDSID=USERENV('SESSIONID');--當(dāng)前SESSIONEND;createorreplacetriggerlogin_off_info--記錄登出信息的觸發(fā)器beforelogoffondatabaseBeginupdatesysdatelogin_loglogin_off_time=wheresession_idUSERENV('SESSIONID');--當(dāng)前SESSIONexceptionwhenothersthennull;END;ALTERTRIGGER名稱(chēng)DISABLE;droptrigger名稱(chēng);=判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)判定條件登錄測(cè)試，檢查相關(guān)信息是否被記錄補(bǔ)充說(shuō)明觸發(fā)器與AUDIT會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是足。特別是RAC環(huán)境，資源消耗較大。低★★★SHG-Oracle-02-01-02號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟SHG-Oracle-02-01-02記錄用戶(hù)對(duì)設(shè)備的操作數(shù)據(jù)庫(kù)應(yīng)配置日志功能，記錄用戶(hù)對(duì)數(shù)據(jù)庫(kù)的操作無(wú)法對(duì)用戶(hù)的操作進(jìn)行日志記錄createtableemployees_log(whovarchar2(30),actionvarchar2(20));whendate);createorreplacetriggerbiud_employ_copybeforeinsertorupdateordeleteonemployees_copydeclarel_action%type;begininsertingthenl_action:='insert';elsifupdatingthen高高★判斷依據(jù)實(shí)施風(fēng)險(xiǎn)重要等級(jí)elsifdeletingthenl_action:='update';elseraise_application_error(-2001,'youshouleneverevergetthiserror.');endif;insertintoemployees_log(who,action,when)values(user,l_action,sysdate);endbiud_employ_copy;ALTERTRIGGER名稱(chēng)DISABLE;droptrigger名稱(chēng);SHG-Oracle-02-01-03號(hào)SHG-Oracle-02-01-03記錄系統(tǒng)安全事件實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)實(shí)施風(fēng)險(xiǎn)通過(guò)設(shè)置讓系統(tǒng)記錄安全事件，方便管理員分析無(wú)法記錄系統(tǒng)的各種安全事件參考配置操作createtablejax_event_table(eventnamevarchar2(30),timedate);createtriggertr_startupafterstartupondatabasebegininsertintojax_event_tablevalues(ora_sysevent,sysdate);end;createtriggertr_shutdownbeforeshutdownondatabasebegininsertintojax_event_tabledroptrigger名稱(chēng);記錄系統(tǒng)安全事件高重重要等級(jí)★SHG-Oracle-02-01-04SHGSHG-Oracle-02-01-04數(shù)據(jù)庫(kù)審計(jì)策略根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫(kù)審計(jì)策略日志被刪除后無(wú)法恢復(fù)。showparameteraudit_sys_operations;showparameteraudit_trail;查看返回SQL>altersystemsetaudit_sys_operations=TRUEscope=spfile;SQL>altersystemsetaudit_trail=dbscope=spfile;SQL>showparameteraudit;SQL>auditallontable_name;noauditallontable_name;恢復(fù)audit_sys_operations,audit_trail屬性判定條件對(duì)審計(jì)的對(duì)象進(jìn)行一次數(shù)據(jù)庫(kù)操作，檢查操作是否被記錄。檢測(cè)操作1.檢查初始化參數(shù)audit_trail是否設(shè)置。號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)2.2.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數(shù)AUDIT會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別實(shí)施風(fēng)險(xiǎn)重要等級(jí)低★3通信協(xié)議SHG-Oracle-03-01-01SHGSHG-Oracle-03-01-01設(shè)置只有信任的IP地址才能通過(guò)監(jiān)聽(tīng)器訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。P查看$ORACLE_HOME/network/admin/參考配置操作只需在服務(wù)器上的文件$ORACLE_HOME/network/admin/中設(shè)置以下行：=yes=(ip1,ip2?)號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟判斷依據(jù)還原$ORACLE_HOME/network/admin/文件判定條件在非信任的客戶(hù)端以數(shù)據(jù)庫(kù)賬戶(hù)登陸被提示拒絕。檢測(cè)操作檢查$ORACLE_HOME/network/admin/文件中是否設(shè)置參實(shí)施風(fēng)險(xiǎn)重要等級(jí)高SHG-Oracle-03-01-02SHGSHG-Oracle-03-01-02網(wǎng)絡(luò)數(shù)據(jù)傳輸安全使用Oracle提供的高級(jí)安全選件來(lái)加密客戶(hù)端與數(shù)據(jù)庫(kù)之間或中間件與數(shù)據(jù)庫(kù)之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)數(shù)據(jù)傳輸?shù)牟话踩栽黾佑涗洐z查$ORACLE_HOME/network/admin/文件號(hào)實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)高高★參考配置操作1.在OracleNetManager中選擇“OracleAdvanced實(shí)施步驟判斷依據(jù)2.然后選擇Encryption。4.選擇加密類(lèi)型。5.