前言
数据库安全配置中,需要做相关的安全加固工作。以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话。就会对数据库的此业务账号造成严重的后果。
本文将详细介绍关于Oracle 11g安全加固的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧
1.安全加固的检查方向
1.1.sysdba用户远程登录限制(查看Oracle登录认证方式)
检查:
|
1
|
show parameter remote_login_passwordfile |
整改:
|
1
|
alter system set remote_login_passwordfile = NONE scope=spfile; |
注:需要重启库生效。
1.2.是否开启了资源限制
|
1
2
3
|
show parameter resource_limitalter system set resource_limit = true; |
1.3.登录失败的帐号锁定策略
|
1
|
select * from dba_profiles order by 1; |
关注FAILED_LOGIN_ATTEMPTS的设定值
1.4.数据库用户帐号检查
检查:
|
1
|
select username,profile from dba_users where account_status='OPEN'; |
整改:
锁定用户:alter user <用户名> lock;
删除用户:drop user <用户名> cascade;
1.5.范例数据库帐号
是否存在默认的范例数据库账号scott等,可以考虑删除scott账号
1.6.dba权限账户检查
|
1
|
select * from dba_role_privs where granted_role='DBA'; |
1.7.数据库账户口令加密存储
11g数据里面的账户口令本来就是加密存储的。
1.8.数据库密码安全性校验函数
|
1
|
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION'; |
1.9.设定信任IP集
只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行:
|
1
2
|
tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2…) |
1.10.超时的空闲远程连接是否自动断开
根据实际需要设置合适的数值。
在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数:
|
1
|
SQLNET.EXPIRE_TIME=10 |
2.安全加固检查safeCheck.sh
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
|
#!/bin/bash#name:safeCheck.sh#function:to create a safe check report.#usage: oracle用户登录,执行 sh safeCheck.sh > /tmp/safeCheck.log#logon databasesqlplus -S / as sysdba <<EOF--formatprompt ============================prompt == format prompt ============================promptset linesize 140 pagesize 50col username for a30col profile for a30col resource_name for a30col limit for a30--checkprompt ============================prompt == 1.sysdba用户远程登录限制 prompt ============================promptshow parameter remote_login_passwordfileprompt 结果应为none.prompt ======================prompt == 2.resource_limit prompt ======================promptshow parameter resource_limitprompt 结果应为true.prompt ===========================prompt == 3.登录失败的帐号锁定策略 prompt ===========================promptselect * from dba_profiles order by 1;prompt 关注FAILED_LOGIN_ATTEMPTS参数prompt ===========================prompt == 4.数据库用户帐号检查 prompt ===========================promptselect username,profile from dba_users where account_status='OPEN';prompt 正常使用的用户列表prompt ==========================prompt == 5.范例数据库帐号 prompt ==========================promptselect * from all_users order by created;prompt 关注有无示例账户scottprompt ===========================prompt == 6.dba权限账户检查 prompt ===========================promptprompt ===========================prompt == 7.数据库账户口令加密存储 prompt ===========================promptprompt =============================prompt == 8.数据库密码安全性校验函数 prompt =============================promptselect limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';prompt 结果应该不为null--logoff databaseEOF# check the filesecho ===================echo == 9.设定信任IP集 echo ===================echomore $ORACLE_HOME/network/admin/sqlnet.ora#添加如下#tcp.validnode_checking = yes #tcp.invited_nodes = (ip1,ip2…)echo ===================================echo == 10.超时的空闲远程连接是否自动断开 echo ===================================echo#根据实际需要设置合适的数值。more $ORACLE_HOME/network/admin/sqlnet.ora#添加如下一行#SQLNET.EXPIRE_TIME=10 |
3.安全加固执行safeExec.sh
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
#!/bin/bash#name:safeExec.sh#function:to execute the script for safe.#usage: oracle用户登录,执行 sh safeExec.sh > /tmp/safeExec.log#logon databasesqlplus -S / as sysdba <<EOF--formatprompt ============================prompt == format prompt ============================set linesize 140 pagesize 50col username for a30col profile for a30col resource_name for a30col limit for a30--executeprompt ============================prompt == 1.sysdba用户远程登录限制 prompt ============================alter system set remote_login_passwordfile=none scope=spfile;prompt ======================prompt == 2.resource_limit prompt ======================alter system set resource_limit=true;prompt ===========================prompt == 3.登录失败的帐号锁定策略 prompt ===========================alter profile default limit FAILED_LOGIN_ATTEMPTS 10; prompt ===========================prompt == 4.数据库用户帐号检查 prompt ===========================--select username,profile from dba_users where account_status='OPEN';prompt I think I have nothing to do in this step.prompt ===========================prompt == 5.范例数据库帐号 prompt ===========================prompt 是否删除范例scott用户?--drop user scott cascade;prompt ===========================prompt == 6.dba权限账户检查 prompt ===========================prompt I think I have nothing to do in this step.prompt ===========================prompt == 7.数据库账户口令加密存储 prompt ===========================prompt 11g版本,数据库层面就是加密的嘛~prompt =============================prompt == 8.数据库密码安全性校验函数 prompt =============================prompt 执行创建安全性校验函数的脚本@?/rdbms/admin/utlpwdmg.sql--logoff databaseEOF# check the filesecho ===================echo == 9.设定信任IP集 echo ===================more $ORACLE_HOME/network/admin/sqlnet.ora#添加如下#tcp.validnode_checking = yes #tcp.invited_nodes = (ip1,ip2…)echo ===================================echo == 10.超时的空闲远程连接是否自动断开 echo ===================================#根据实际需要设置合适的数值。more $ORACLE_HOME/network/admin/sqlnet.ora#添加如下一行#SQLNET.EXPIRE_TIME=10 |
针对第9和第10步骤中的sqlnet.ora配置文件示例:
注意:如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。
|
1
2
3
|
SQLNET.EXPIRE_TIME=10tcp.validnode_checking = yestcp.invited_nodes = (192.168.99.*) |
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对服务器之家的支持。
原文链接:http://www.cnblogs.com/jyzhao/p/4453651.html
