文档介绍：Oracle数据库安全配置规范
概述
目的
本规范明确了oracle数据库安全配置方面的基本要求。为了提高oracle数据库的安全性而提出的。
范围
本规范适用于XXXXX适用的oracle数据库版本。
配置标准
账号管理及认证授权
按照用户分配账号
[目的]应按照用户分配账号,避免不同用户共享账号。
[具体配置]
create user abc1 identified by password1;
create user abc2 identified by password2;
建立role,并给role授权,把role赋给不同的用户删除无关账号。
[检测操作]
删除无用账号
[目的]应删除或锁定与数据库运行、维护等工作无关的账号。
[具体配置]
alter user username lock;
drop user username cascade;
[检测操作]
限制DBA远程登入
[目的]限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
[具体配置]
在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。
..AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登入。
[检测操作]
以Oracle用户登入到系统中。
以sqlplus ‘/as sysdba’登入到sqlplus环境中。
使用show parameter 命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE
检查在$work/admin/..AUTHENTICATION_SERVICES
是否被设置成NONE.
最小权限
[目的]在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
[具体配置]
!给用户赋相应的最小权限
grant 权限 to username;
!收回用户多余的权限
revoke权限from username;
[检测操作]
数据库角色
[目的]使用数据库角色(ROLE)来管理对象的权限。
[具体配置]
使用Create Role命令创建角色。
使用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
[检测操作]
以DBA用户登入到sqlplus中。
通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。
用户属性
[目的]对用户的属性进行控制,包括密码策略、资源限制等。
[具体配置]
可通过下面类似命令来创建profile,并把它赋予一个用户
CREATE PROFILE app_user2 LIMIT
FAILED_LOGIN_ATTEMPTS 6
PASSWORD_LIFE_TIME 60
PASSWORD_REUSE_TIME 60
PASSWORD_REUSE_MAX 5
PASSWORD_VERIFY_FUNCTION verity_function
PASSWORD_LOCK_TIME 1/24
PASSWORD_GRACE_TIME 90;
ALTER USER jd PROFILE app_user2;
!可通过设置profile来限制数据库账户口令的复杂程度,口令生产周期和账户的锁定方式等。
!可通过设置profile来限制数据库账户的CPU资源占用。
[检测操作]
数据字典保护
[目的]启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
[具体配置]
通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。
ESSIBILITY=FALSE
[检测操作]
以普通dba用户登入到数据库,不能查看X$开头的表,比如:
select * from sys,x$ksppi;
1:以Oracle用户登入到系统中。
2:以sqlplus ‘/as sysdba’登入到sqlplus环境中。
3:使用show parameter ESSIBILITY是否设置为FALSE。
Show parameter ESSIBILITY
DBA组操作系统用户数量
[目的]限制在DBA组中的操作系统用户数量,通常DBA组中只有Oracle安装用户。
[具体配置]
通过/etc/passwd 文件来检查是否有其它用户在DBA组中。
[检测操作]
无其它用户属于DBA组。或者通过/etc/passwd文件来检查是否有其它用户在DBA组中。