文档介绍:Oracle 数据库安全配置规范
1 概述
目的
本规范明确了 oracle 数据库安全配置方面的基本要求。 为了提高 oracle 数据库 的安全性而提出的。
范围
本规范适用于XXXXX5用的oracle数据库版本。
2 配。
Show parameter O7_DICTIONARY_ACCESSIBILITY
DBA组操作系统用户数量
[目的]限制在DBA组中的操作系统用户数量,通常 DBA组中只有Oracle安装用 户。
[ 具体配置 ]
通过/ etc / passwd文件来检查是否有其它用户在 DBA组中。
[ 检测操作 ]
无其它用户属于DBA®。或者通过/ etc/passwd文件来检查是否有其它用户在 DB创中。
口令
口令复杂度
[ 目的 ] 对于采用静态口令进行认证的数据库,口令长度至少6 位,并包括数字、
小写字母、大写字母和特殊符号4 类中至少 2 类。
[ 具体配置]
为用户建profile ,调整PASSOWRD_VERIFY_FUNCTO蹄码复杂度
[ 检测操作]
修改密码为不符合要求的密码,将失败。
Alter user abcd1 identified by abcd1; 将失败
口令期限
90 天。
[ 目的 ] 对于采用静态口令认证技术的数据库,账户口令的生存期不长于
[ 具体配置 ]
为用户建相关 profile
[ 检测操作 ]
指定 PASSWORD_GRACE_TM
9E0
天。
connect
到期不修改密码,密码将会失败。连接数据库将不会成功 username/password 报错
口令历史
[ 目的 ] 对于采用静态口令认证技术的数据库, 应配置数据库, 使用户不能重复使
用最近 5 次(含 5 次)内使用的口令。
[ 具体配置]
为用户建 profile ,指定 PASSWORD_REUSE_MAX
[ 检测操作]
alter user username identified by password; 如果 password1 在 5 次修改密 码内被使用,改操作将不成功。
失败登录次数
[ 目的 ] 对于采用静态口令认证技术的数据库, 应配置当用户连续认证失败次数超
过 6 次(不含 6 次) ,锁定该用户使用的账号。
[ 具体配置]
为用户建 profile ,指定 FAILED_LOGIN_ATTEMPTS6
[ 检测操作]
connect username/password, 连续 6 次失败,用户被锁定。
连续 6 次用错误的密码连接用户,第 7 次时用户将被锁定。
默认账号的密码
[ 目的 ] 更改数据库默认账号的密码。
[ 具体配置 ]
ALTER USER XXX IDENTIFIED BY XXX;
下面是默认用户列表:
ANONYMOUS
CTXSYS
DBSNMP
DIP
DMSYS
EXFSYS
HR
LBACSYS
MDDATA
MDSYS
MGMT_VIEW
ODM
ODM_MTR
OE
OLAPSYS
ORDPLUGINS
ORDSYS
OUTLN
PM
QS
QS_ADM
QS_CB
QS_CBADM
QS_CS
QS_ES
QS_OS
QS_WS
RMAN
SCOTT
SH
SI_INFORMTN_SCHEMA
SYS
SYSMAN
SYSTEM
TSMSYS
WK_TEST
WKPROXY
WKSYS
WMSYS
XDB
[ 检测操作 ]
不能以用户名作为密码或使用默认密码的账户登入到数据库。或者
.以DBAffl户登入到sqlplus 中。
. 检查数据库默认账户是否使用了用户名作为密码或默认密码。
遵循操作系统账号策略
[ 目的 ]Oracle 软件账户的访问控制可遵循操作系统账户的安全策略,比如不要
共享账户、强制定期修改密码、密码需要有一定的复杂度等。
[ 具体配置]
使用操作系统以及的账户安全管理来保护 Oracle 软件账户。
[ 检测操作]
每 3 个月自动提示更改密码,过期后不能登入。
每 3 个月强制修改Oracle 软件账户密码,并且密码需要满足一定的复杂程度,
符合操作系统的密码需要。
日志
登录日志
[ 目的 ] 数据库应配置日志功能, 对用户登入进行记录, 记录内容包括用户登入使
用的账号、登入是否成功、登入时间以及远程登入时使用的 IP 地址。
[ 具体配置 ]
创建ORACL登入触发器,记录相关信息,但对IP地址的记录会有困难