文档介绍：关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册适用软件版本Oracle10g、11g适用硬件版本主题关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册问题描述与原因:Oracle数据库在合规检查时被扫描出漏洞,要求对这些漏洞进行解决。应对措施:对存在漏洞进行定制的安全加固操作。执行条件/注意事项:加固前确保服务器、数据库、网管运行均正常。最好重启下服务器、数据库和网管查看重启后网管是否能运行正常。如果加固前服务器本身有问题,加固后服务器运行异常会加大排查难度。本解决方案执行完成后,需要重启Oracle数据库来生效某些操作。本解决方案不必完全执行,请根据系统扫描出的漏洞选择对应的漏洞条目进行操作。如无特殊说明,本文中的执行用户均为oracle操作步骤:漏洞清单(单击可跳转):(注:漏洞名称与配置项信息中的配置项名称对应。)检查是否对用户的属性进行控制(5)检查是否配置Oracle软件账户的安全策略(2)检查是否启用数据字典保护检查是否在数据库对象上设置了VPD和OLS(6)检查是否存在dvsys用户dbms_macadm对象(14)检查是否数据库应配置日志功能(11)检查是否记录操作日志(13)检查是否记录安全事件日志(7)检查是否根据业务要求制定数据库审计策略检查是否为监听设置密码检查是否限制可以访问数据库的地址(1)检查是否使用加密传输(4)检查是否设置超时时间(15)检查是否设置DBA组用户数量限制(3)检查是否删除或者锁定无关检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登录(10)检查口令强度设置(17)检查口令生存周期(12)检查是否设置记住历史密码次数(8)检查是否配置最大认证失败次数检查是否在配置用户所需的最小权限(9)检查是否使用数据库角色(ROLE)来管理对象的权限(16)检查是否更改数据库默认的密码执行Oracle安全加固操作前备份文件:bash-$cp$work/admin/$work/admin/-$cp$work/admin/.ora$work/admin/.Oracle数据库漏洞的解决方案全部执行完成后,需要重启Oracle实例来生效某些操作。检查是否对用户的属性进行控制类型:Oracle数据库类问题:SQL>selectcount()fromdba_userstwhereprofilenotin('DEFAULT','MONITORING_PROFILE');COUNT()-----------------0解决方案:暂时不处理。检查是否配置Oracle软件账户的安全策略类型:Oracle数据库类问题:略解决方案:暂时不处理检查是否启用数据字典保护类型:Oracle数据库类问题:SQL>selectvaluefromv$parameterwherenamelike'%ESSIBILITY%';selectvaluefromv$parameterwherenamelike'%ESSIBILITY%'*ERRORatline1:ORA-01034:ORACLEnotavailableProcessID:0SessionID:0Serialnumber:0解决方案:在数据库启动的情况下,essibility的参数值:bash-$sqlplussystem/oracle<SID>SQL*Plus:-ProductiononThuJan911:33:562014Copyright(c)1982,2007,:-ProductionWiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptionsSQL>essibility;NAMETYPEVALUE-----------------------------------------------------------------------------ESSIBILITYbooleanFALSE检查出默认的结果是FALSE后,使用下面的命令退出SQL*PLUS:SQL>-64bitProductionWiththePartitioning,OLAP,DataMiningandRealApplica