前言
數據庫安全配置中,需要做相關的安全加固工作。以確認數據庫的安全,但是,有些時候,操作不當或者數據庫業務賬號修改密碼后,而程序的連接數據庫的配置封裝在jar里,如果jar內的連接數據庫的配置信息沒有做相應的修改的話。就會對數據庫的此業務賬號造成嚴重的后果。
本文將詳細介紹關于Oracle 11g安全加固的相關內容,分享出來供大家參考學習,下面話不多說了,來一起看看詳細的介紹吧
1.安全加固的檢查方向
1.1.sysdba用戶遠程登錄限制(查看Oracle登錄認證方式)
檢查:
show parameter remote_login_passwordfile
整改:
alter system set remote_login_passwordfile = NONE scope=spfile;
注:需要重啟庫生效。
1.2.是否開啟了資源限制
show parameter resource_limitalter system set resource_limit = true;
1.3.登錄失敗的帳號鎖定策略
select * from dba_profiles order by 1;
關注FAILED_LOGIN_ATTEMPTS的設定值
1.4.數據庫用戶帳號檢查
檢查:
select username,profile from dba_users where account_status='OPEN';
整改:
鎖定用戶:alter user <用戶名> lock;
刪除用戶:drop user <用戶名> cascade;
1.5.范例數據庫帳號
是否存在默認的范例數據庫賬號scott等,可以考慮刪除scott賬號
1.6.dba權限賬戶檢查
select * from dba_role_privs where granted_role='DBA';
1.7.數據庫賬戶口令加密存儲
11g數據里面的賬戶口令本來就是加密存儲的。
1.8.數據庫密碼安全性校驗函數
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
1.9.設定信任IP集
只需在服務器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設置以下行:
tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2…)
1.10.超時的空閑遠程連接是否自動斷開
根據實際需要設置合適的數值。
在$ORACLE_HOME/network/admin/sqlnet.ora中設置下面參數:
SQLNET.EXPIRE_TIME=10
2.安全加固檢查safeCheck.sh
#!/bin/bash#name:safeCheck.sh#function:to create a safe check report.#usage: oracle用戶登錄,執行 sh safeCheck.sh > /tmp/safeCheck.log#logon databasesqlplus -S / as sysdba <<EOF--formatprompt ============================prompt == format prompt ============================promptset linesize 140 pagesize 50col username for a30col profile for a30col resource_name for a30col limit for a30--checkprompt ============================prompt == 1.sysdba用戶遠程登錄限制 prompt ============================promptshow parameter remote_login_passwordfileprompt 結果應為none.prompt ======================prompt == 2.resource_limit prompt ======================promptshow parameter resource_limitprompt 結果應為true.prompt ===========================prompt == 3.登錄失敗的帳號鎖定策略 prompt ===========================promptselect * from dba_profiles order by 1;prompt 關注FAILED_LOGIN_ATTEMPTS參數prompt ===========================prompt == 4.數據庫用戶帳號檢查 prompt ===========================promptselect username,profile from dba_users where account_status='OPEN';prompt 正常使用的用戶列表prompt ==========================prompt == 5.范例數據庫帳號 prompt ==========================promptselect * from all_users order by created;prompt 關注有無示例賬戶scottprompt ===========================prompt == 6.dba權限賬戶檢查 prompt ===========================promptprompt ===========================prompt == 7.數據庫賬戶口令加密存儲 prompt ===========================promptprompt =============================prompt == 8.數據庫密碼安全性校驗函數 prompt =============================promptselect limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';prompt 結果應該不為null--logoff databaseEOF# check the filesecho ===================echo == 9.設定信任IP集 echo ===================echomore $ORACLE_HOME/network/admin/sqlnet.ora#添加如下#tcp.validnode_checking = yes #tcp.invited_nodes = (ip1,ip2…)echo ===================================echo == 10.超時的空閑遠程連接是否自動斷開 echo ===================================echo#根據實際需要設置合適的數值。more $ORACLE_HOME/network/admin/sqlnet.ora#添加如下一行#SQLNET.EXPIRE_TIME=10
3.安全加固執行safeExec.sh
#!/bin/bash#name:safeExec.sh#function:to execute the script for safe.#usage: oracle用戶登錄,執行 sh safeExec.sh > /tmp/safeExec.log#logon databasesqlplus -S / as sysdba <<EOF--formatprompt ============================prompt == format prompt ============================set linesize 140 pagesize 50col username for a30col profile for a30col resource_name for a30col limit for a30--executeprompt ============================prompt == 1.sysdba用戶遠程登錄限制 prompt ============================alter system set remote_login_passwordfile=none scope=spfile;prompt ======================prompt == 2.resource_limit prompt ======================alter system set resource_limit=true;prompt ===========================prompt == 3.登錄失敗的帳號鎖定策略 prompt ===========================alter profile default limit FAILED_LOGIN_ATTEMPTS 10; prompt ===========================prompt == 4.數據庫用戶帳號檢查 prompt ===========================--select username,profile from dba_users where account_status='OPEN';prompt I think I have nothing to do in this step.prompt ===========================prompt == 5.范例數據庫帳號 prompt ===========================prompt 是否刪除范例scott用戶?--drop user scott cascade;prompt ===========================prompt == 6.dba權限賬戶檢查 prompt ===========================prompt I think I have nothing to do in this step.prompt ===========================prompt == 7.數據庫賬戶口令加密存儲 prompt ===========================prompt 11g版本,數據庫層面就是加密的嘛~prompt =============================prompt == 8.數據庫密碼安全性校驗函數 prompt =============================prompt 執行創建安全性校驗函數的腳本@?/rdbms/admin/utlpwdmg.sql--logoff databaseEOF# check the filesecho ===================echo == 9.設定信任IP集 echo ===================more $ORACLE_HOME/network/admin/sqlnet.ora#添加如下#tcp.validnode_checking = yes #tcp.invited_nodes = (ip1,ip2…)echo ===================================echo == 10.超時的空閑遠程連接是否自動斷開 echo ===================================#根據實際需要設置合適的數值。more $ORACLE_HOME/network/admin/sqlnet.ora#添加如下一行#SQLNET.EXPIRE_TIME=10
針對第9和第10步驟中的sqlnet.ora配置文件示例:
注意:如果是ASM實例,sqlnet.ora配置文件是grid用戶下$ORACLE_HOME/network/admin/sqlnet.ora的。
SQLNET.EXPIRE_TIME=10tcp.validnode_checking = yestcp.invited_nodes = (192.168.99.*)
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對VeVb武林網的支持。
新聞熱點
疑難解答
