Oracle數(shù)據庫安全配置手冊

Oracle數(shù)據庫安全配置手冊Version1.0目錄操作系統(tǒng)安全訪問權限安全管理員客戶端安全基本漏洞加固方法特定漏洞加固方法為了加強寶付的數(shù)據安全管理，全面提高寶付各業(yè)務系統(tǒng)的數(shù)據安全水平，保證業(yè)務系統(tǒng)的正常運營，提高業(yè)務服務質量，特制定本方法。本文檔旨在于規(guī)范寶付對各業(yè)務系統(tǒng)的Oracle數(shù)據庫進行安全加固處理。本手冊適用于對寶付公司的各業(yè)務系統(tǒng)的數(shù)據庫系統(tǒng)加固進行指導。數(shù)據庫類型為Oracle。要使數(shù)據庫安全，首先要使其所在的平臺和網絡安全。然后就要考慮操作系統(tǒng)的安全性。Oracle使用大量用戶不需要直接訪問的文件。例如，數(shù)據文件和聯(lián)機重做日志文件只能通過Oracle的后臺進程進行讀寫。因此，只有要創(chuàng)建和刪第1頁共32頁去意義。必須防止對全部數(shù)據備份的非法訪問。為了避免數(shù)據庫帳戶大量耗費系統(tǒng)資源，影響其它用戶的正常訪問，可以根據應用的實際需要，對數(shù)據庫帳戶所使用的資源（如CPU等）進行限制。這樣據庫帳戶的系統(tǒng)資源可以用profile實施。此外，數(shù)據庫創(chuàng)建后，會存在一些內建的帳戶，這些帳戶都有初始密碼。出的初始密碼登錄數(shù)據庫。另外，對不使用的帳戶應鎖定，消除帳戶安全隱患。用戶登錄數(shù)據庫的密碼非常重要，一旦密碼被竊聽，數(shù)據庫的安全就面臨嚴重的威脅。從Oracle7.1開始，client遠程連接數(shù)據庫，OracleNet會自動對通Oracle7.1之前，可在sqlnet.ora中設置ora_encrypt_login=true。此外，對密碼進行嚴格的管理?？梢允褂胮rofile來管理口令的終止、重新使用和復雜性。例如，可以限制一個口令的壽命、鎖定口令過舊的帳戶等。也可以以有效地防止黒客猜測帳戶口令，減少口令安全隱患。對帳戶的訪問權限進行嚴格控制，給予帳戶需要的最少權限，包括系統(tǒng)權限和對象權限。對象權限可以實施到數(shù)據庫對象的字段級別。第2頁共32頁Oracle的警告日志alertsid.log出于安全的考慮，需有規(guī)律地檢查警告日志。為了保證敏感數(shù)據從client到server在傳輸過程中不被竊聽，可以對數(shù)據進行加密，以密文進行傳輸。對遠端數(shù)據庫的IP地址進行限定。當然這種方法如果和網絡安全一起實施，會更加安全。Oracle雖然具有很高的安全性，但是不可避免還是有安全漏洞，一個比較安全的辦法是時刻關注Oracle的安全公告，并及時安裝安全補丁。安全公告和補丁位置如下：/deploy/security/alerts.htm出于數(shù)據庫的安全，需要實施審計以跟蹤重要的或可疑的數(shù)據庫活動。審計通常被認為是最有效的安全機制，它確保系統(tǒng)的合法用戶做他們應該做的事情，戶的活動，從而發(fā)現(xiàn)安全上的缺陷。另外，如果用戶知道他們正在被跟蹤審計，那么就可能降低他們?yōu)E用職權的可能性。因為傳統(tǒng)型的審計產生數(shù)量極大的數(shù)據，所以這就很難從中發(fā)現(xiàn)有用的信息，因此，Oracle9i引進了精確細化的審第3頁共32頁計。使用這種廣泛精確細化的審計，可以更容易地發(fā)現(xiàn)安全缺陷。例如，如果為管理員就能采取終止非法數(shù)據庫會晤的措施。?由服務器強制進行的審計捕獲用戶的活動、系統(tǒng)權限、語句或者對象?觸發(fā)器能夠記錄未被自動包含在審計追蹤中的定制信息?精細粒度的、可擴展的審計功能使機構能夠定義具體的審計政策，以便還是機構內部?事件處理器提供了確定如何處理由觸發(fā)器啟動的某一審計事件的靈活性通過保存初始連接的登錄用戶及以該用戶名義進行操作的用戶的身份來?審計多層系統(tǒng)中的活動3.1.1基本漏洞加固方法操作系統(tǒng)安全性、高第4頁共32頁?用戶環(huán)境文件、用戶環(huán)境文件高?第5頁共32頁、內建帳戶連接中無、口令管理高第6頁共32頁在FAILED_LOGIN_ATTEMPTS敗56若要防止一個口令重新使用，可以使用兩個環(huán)境文件參數(shù)的其中一個：或為6060PASSWORD_REUSE_MAX詞、至少包括一個數(shù)字或標點符號。和命令的、高第7頁共32頁?。?把DBLINK_ENCRYPT_LOGIN。、高?第8頁共32頁予和將文件中的初始參數(shù)設置成將和或或或無系統(tǒng)權限、系統(tǒng)權限高??第9頁共32頁高下表列出了可以授予對象的權限。日志記錄、警告日志文件高無第頁共32頁3.1.2特定漏洞加固方法一、對傳輸數(shù)據進行加密如果需要對客戶端和服務器端傳輸?shù)臄?shù)據進行加密，以防數(shù)據竊聽，可以修改客戶端和服務器端的sqlnet.ora文件，對傳輸?shù)臄?shù)據進行加密，以避免明文在網絡上的傳輸。具體請參閱OracleAdvancedSecurityAdministrator’sGuide——ConfiguringDataEncryptionandIntegrity二、對于訪問數(shù)據庫的客戶端IP地址進行配置。數(shù)據庫監(jiān)聽客戶端IP/$oracle/log/listener.log文件里，請管理員定期查看和分析該日志文件。在/$oracle/network/admin目錄下修改SQLNET.ORA文件，增加如下內容：tcp.validnode_checking=YEStcp.excluded_nodes=()對于訪問數(shù)據庫客戶端IP的限制，借助操作系統(tǒng)或者防火墻等設備實現(xiàn)也是可行的。三、安裝最新補丁程序Oracle雖然具有很高的安全性，但是不可避免還有安全漏洞，一個比較安全的辦法是時刻關注Oracle的安全公告，并及時安裝安全補丁。安全公告和補丁位置如下：/deploy/security/alerts.htm由于涉及Oracle好備份工作，聯(lián)系Oracle公司或者你的開發(fā)商，定時做補丁升級是非常必要的。四、對敏感的數(shù)據庫活動實施審計對敏感的數(shù)據庫活動，如刪除表等進行審計。Oracle提供的數(shù)據庫審計類型有：語句審計：監(jiān)視由一個或者多個特定用戶或者所有用戶提交的SQL第12頁共32頁語句。這種類型的審計范圍非常廣。特權審計：監(jiān)視數(shù)據庫里一個或者多個特定用戶或者所有用戶使用的系統(tǒng)權限，比如auditcreate。這種類型的審計范圍是中等的。auditinsertintoEMPLOYEES。這種類型的審計是非常有重點的，范圍狹窄。設定初始化參數(shù)audit_trail為DB或OS。DB表示將審計記錄寫到數(shù)據庫的AUD$表里；OS表示將審計記錄寫到操作系統(tǒng)文件中，默認生成在$ORACLE_HOME/rdbms/audit目錄，審計文件也可以用初始化參數(shù)AUDIT_FILE_DEST另外指定。啟用審計在AUDIT_OPTIONS表里有144個可以審計的審計命令，如：createtable,insert,select等。根據實際需要確定要審計的類型，比如，若需知道什么時候一個新表被加到數(shù)據庫，可通過下列命令啟用審計：auditcreatetableby<username>;查詢審計select*fromdba_audit_trail;五、用戶管理5-1過多的用戶被授予DBA的權限用命令SELECT的選項列出所有被授予了DBA角色的用戶，根據需SELECTGRANTEEFROMDBA_ROLE_PRIVSWHEREGRANTED=’DBA’。5-2存在把權限授給PUBLIC的情況刪除不需要的帳號，比如SCOTT等示例用戶；對于不明確是否能刪除的用戶可以暫時鎖定該用戶，或賦予非常復雜的口令。第13頁共32頁刪除用戶及其所有的數(shù)據對象命令：dropuserdbusercascade;取消用戶角色權限：revokeconnectfromdbuser;應檢查的用戶名包括：SCOTT,DBSNMP,TRACESVR,CTXSYS,MDSYS,DEMO,CTXDEMO,APPLSYS,PO8,NAMES,SYSADM,ORDPLUGIN,OUTLN,ADAMS,BLAKE,JONES,CLARK,AURORA$ORB$UNAUTHENTICATED,APPS。5-3連接時使用空口令。修改口令文件PROFILE，防止利用空口令或默認口令進行連接。六、限制UTL_FILE的使用與應用系統(tǒng)開發(fā)商確認是否有用戶需要使用UTL_FILE戶使用，應收回普通用戶對該包的執(zhí)行權限。如果確實有用戶需要使用UTL_FILEUTL_FILEinit.ora中設定參數(shù)“UTL_FILE_DIR”使用UTL_FILE包的程序確實需要訪問的目錄。與應用系統(tǒng)開發(fā)商商議，是否可以改變DB_LINK的創(chuàng)建方式，在創(chuàng)建DB_LINK時不指定用戶名和口令。七、數(shù)據庫配置：數(shù)據庫配置未采用數(shù)據字典保護。檢查初始化參數(shù)O7_DICTIONARY_ACCESSIBILITY是否為。該參數(shù)為FALSE,將阻止具有ANY據字典。此參數(shù)的修改需要重啟數(shù)據庫才能生效.Default:Oracle8i:TUREOracle9i:FALSE八、關閉HTTPServer第14頁共32頁HTTPServer用于通過HTTP訪問數(shù)據庫，如EM和動態(tài)服務。若無必要，關閉該server:$>cd$ORACLE_HOME/Apache/Apache/bin$>apachectlstop九、關閉遠程數(shù)據庫驗證遠程數(shù)據庫驗證只用于當你信任客戶端用戶時采用。這種驗證機制是：用戶為遠程數(shù)據庫驗證。為加強安全起見，關閉遠程數(shù)據庫驗證。設定初始化參數(shù)REMOTE_OS_AUTHENT=FALSE十、實施VPD和OracleLabelSecurity如有必要，在普通的數(shù)據庫安全機制外，還可實施另一種新的安全機制，稱為生作用，使得當用戶提交一個查詢（或insert,update,delete）時，自動地加上相應的whereOracle透明。例如，使用以下查詢從數(shù)據庫里查詢數(shù)據：select*fromcustomers;如果customers表里有一個相關的安全策略來限制銷售代表只能查看自己顧客的信息，這個查詢將被自動地重寫為：select*fromcustomerswheresales_rep_id=sys_context(‘hr_context’,‘sales_id’);比如說，A,B兩位銷售代表鍵入的是同一條SQL語句，select*fromcustomers,但返回的結果不同：A返回的是select*fromorderswheresales_rep_id=406,B返回的是select*fromorderswheresales_rep_id=152，也就where子句確保該銷售代表只能查看到他自己的客戶數(shù)據，別人的數(shù)據看不到。銷售代表的ID從用戶定義的應用第15頁共32頁程序上下文hr_context里得到。在VPD里，仍然需要授予用戶對每個表的適當?shù)臋嘞?，但是你不需要?chuàng)建視圖和過程來防止用戶訪問其他客戶的數(shù)據。因此，不必擔心用戶通過SQL*PLUS等訪問到他們不該訪問的數(shù)據。創(chuàng)建和配置VPD的步驟如下：確定數(shù)據庫對象和它們的關系定義安全策略目標創(chuàng)建應用程序上下文創(chuàng)建設置上下文的包創(chuàng)建策略函數(shù)將策略函數(shù)與表或者視圖相關聯(lián)VPD的詳細信息請參閱/technology/products/reports/htdocs/getstart/whitepapers/leveraging9idatabase/VPD.pdfOracleLabelSecurity為精細化(fine-grained)訪問控制提供了基于行標簽(rowlabels)的復雜而靈活的