客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
前言 数据库安全配置中,需要做相关的安全加固工作。以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话。就会对数据库的此业务账号造成严重的后果。 本文将详细介绍关于Oracle 11g安全加固的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 1.安全加固的检查方向 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式) 检查: show parameter remote_login_passwordfile 整改: alter system set remote_login_passwordfile = NONE scope=spfile; 注:需要重启库生效。 1.2.是否开启了资源限制 show parameter resource_limit alter system set resource_limit = true; 1.3.登录失败的帐号锁定策略 select * from dba_profiles order by 1; 关注FAILED_LOGIN_ATTEMPTS的设定值 1.4.数据库用户帐号检查 检查: select username,profile from dba_users where account_status='OPEN'; 整改: 锁定用户:alter user <用户名> lock; 删除用户:drop user <用户名> cascade; 1.5.范例数据库帐号 是否存在默认的范例数据库账号scott等,可以考虑删除scott账号 1.6.dba权限账户检查 select * from dba_role_privs where granted_role='DBA'; 1.7.数据库账户口令加密存储 11g数据里面的账户口令本来就是加密存储的。 1.8.数据库密码安全性校验函数 select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION'; 1.9.设定信任IP集 只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行: tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2…) 1.10.超时的空闲远程连接是否自动断开 根据实际需要设置合适的数值。 在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数: SQLNET.EXPIRE_TIME=10 2.安全加固检查safeCheck.sh #!/bin/bash #name:safeCheck.sh #function:to create a safe check report. #usage: oracle用户登录,执行 sh safeCheck.sh > /tmp/safeCheck.log #logon database sqlplus -S / as sysdba <<EOF --format prompt ============================ prompt == format prompt ============================ prompt set linesize 140 pagesize 50 col username for a30 col profile for a30 col resource_name for a30 col limit for a30 --check prompt ============================ prompt == 1.sysdba用户远程登录限制 prompt ============================ prompt show parameter remote_login_passwordfile prompt 结果应为none. prompt ====================== prompt == 2.resource_limit prompt ====================== prompt show parameter resource_limit prompt 结果应为true. prompt =========================== prompt == 3.登录失败的帐号锁定策略 prompt =========================== prompt select * from dba_profiles order by 1; prompt 关注FAILED_LOGIN_ATTEMPTS参数 prompt =========================== prompt == 4.数据库用户帐号检查 prompt =========================== prompt select username,profile from dba_users where account_status='OPEN'; prompt 正常使用的用户列表 prompt ========================== prompt == 5.范例数据库帐号 prompt ========================== prompt select * from all_users order by created; prompt 关注有无示例账户scott prompt =========================== prompt == 6.dba权限账户检查 prompt =========================== prompt prompt =========================== prompt == 7.数据库账户口令加密存储 prompt =========================== prompt prompt ============================= prompt == 8.数据库密码安全性校验函数 prompt ============================= prompt select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION'; prompt 结果应该不为null --logoff database EOF # check the files echo =================== echo == 9.设定信任IP集 echo =================== echo more $ORACLE_HOME/network/admin/sqlnet.ora #添加如下 #tcp.validnode_checking = yes #tcp.invited_nodes = (ip1,ip2…) echo =================================== echo == 10.超时的空闲远程连接是否自动断开 echo =================================== echo #根据实际需要设置合适的数值。 more $ORACLE_HOME/network/admin/sqlnet.ora #添加如下一行 #SQLNET.EXPIRE_TIME=10 3.安全加固执行safeExec.sh #!/bin/bash #name:safeExec.sh #function:to execute the script for safe. #usage: oracle用户登录,执行 sh safeExec.sh > /tmp/safeExec.log #logon database sqlplus -S / as sysdba <<EOF --format prompt ============================ prompt == format prompt ============================ set linesize 140 pagesize 50 col username for a30 col profile for a30 col resource_name for a30 col limit for a30 --execute prompt ============================ prompt == 1.sysdba用户远程登录限制 prompt ============================ alter system set remote_login_passwordfile=none scope=spfile; prompt ====================== prompt == 2.resource_limit prompt ====================== alter system set resource_limit=true; prompt =========================== prompt == 3.登录失败的帐号锁定策略 prompt =========================== alter profile default limit FAILED_LOGIN_ATTEMPTS 10; prompt =========================== prompt == 4.数据库用户帐号检查 prompt =========================== --select username,profile from dba_users where account_status='OPEN'; prompt I think I have nothing to do in this step. prompt =========================== prompt == 5.范例数据库帐号 prompt =========================== prompt 是否删除范例scott用户? --drop user scott cascade; prompt =========================== prompt == 6.dba权限账户检查 prompt =========================== prompt I think I have nothing to do in this step. prompt =========================== prompt == 7.数据库账户口令加密存储 prompt =========================== prompt 11g版本,数据库层面就是加密的嘛~ prompt ============================= prompt == 8.数据库密码安全性校验函数 prompt ============================= prompt 执行创建安全性校验函数的脚本 @?/rdbms/admin/utlpwdmg.sql --logoff database EOF # check the files echo =================== echo == 9.设定信任IP集 echo =================== more $ORACLE_HOME/network/admin/sqlnet.ora #添加如下 #tcp.validnode_checking = yes #tcp.invited_nodes = (ip1,ip2…) echo =================================== echo == 10.超时的空闲远程连接是否自动断开 echo =================================== #根据实际需要设置合适的数值。 more $ORACLE_HOME/network/admin/sqlnet.ora #添加如下一行 #SQLNET.EXPIRE_TIME=10 针对第9和第10步骤中的sqlnet.ora配置文件示例: 注意:如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。 SQLNET.EXPIRE_TIME=10 tcp.validnode_checking = yes tcp.invited_nodes = (192.168.99.*) 总结 以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对极客世界的支持。 |
请发表评论