Oracle 11g 安全加固
2015-04-24 20:48 AlfredZhao 阅读(5567) 评论(1) 编辑 收藏 举报1.安全加固的检查方向
2.安全加固检查safeCheck.sh
3.安全加固执行safeExec.sh
1.安全加固的检查方向
## 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式) ## 检查: `show parameter remote_login_passwordfile`整改:
alter system set remote_login_passwordfile = NONE scope=spfile;
注:需要重启库生效。
1.2.是否开启了资源限制
show parameter resource_limit
alter system set resource_limit = true;
1.3.登录失败的帐号锁定策略
select * from dba_profiles order by 1;
关注FAILED_LOGIN_ATTEMPTS的设定值
1.4.数据库用户帐号检查
检查:
select username,profile from dba_users where account_status='OPEN';
整改:
锁定用户:alter user <用户名> lock;
删除用户:drop user <用户名> cascade;
1.5.范例数据库帐号
是否存在默认的范例数据库账号scott等,可以考虑删除scott账号
1.6.dba权限账户检查
select * from dba_role_privs where granted_role='DBA';
1.7.数据库账户口令加密存储
11g数据里面的账户口令本来就是加密存储的。
1.8.数据库密码安全性校验函数
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
1.9.设定信任IP集
只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行:
tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)
1.10.超时的空闲远程连接是否自动断开
根据实际需要设置合适的数值。
在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数:
SQLNET.EXPIRE_TIME=10
2.安全加固检查safeCheck.sh
``` #!/bin/bash #name:safeCheck.sh #function:to create a safe check report. #usage: oracle用户登录,执行 sh safeCheck.sh > /tmp/safeCheck.loglogon database
sqlplus -S / as sysdba <<EOF
--format
prompt ============================
prompt == format
prompt ============================
prompt
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30
--check
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
prompt
show parameter remote_login_passwordfile
prompt 结果应为none.
prompt ======================
prompt == 2.resource_limit
prompt ======================
prompt
show parameter resource_limit
prompt 结果应为true.
prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
prompt
select * from dba_profiles order by 1;
prompt 关注FAILED_LOGIN_ATTEMPTS参数
prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
prompt
select username,profile from dba_users where account_status='OPEN';
prompt 正常使用的用户列表
prompt ==========================
prompt == 5.范例数据库帐号
prompt ==========================
prompt
select * from all_users order by created;
prompt 关注有无示例账户scott
prompt ===========================
prompt == 6.dba权限账户检查
prompt ===========================
prompt
prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt
prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
prompt 结果应该不为null
--logoff database
EOF
check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
echo
more $ORACLE_HOME/network/admin/sqlnet.ora
添加如下
tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)
echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
echo
根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
添加如下一行
SQLNET.EXPIRE_TIME=10
<h1 id="3"> 3.安全加固执行safeExec.sh </h1>
!/bin/bash
name:safeExec.sh
function:to execute the script for safe.
usage: oracle用户登录,执行 sh safeExec.sh > /tmp/safeExec.log
logon database
sqlplus -S / as sysdba <<EOF
--format
prompt ============================
prompt == format
prompt ============================
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30
--execute
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
alter system set remote_login_passwordfile=none scope=spfile;
prompt ======================
prompt == 2.resource_limit
prompt ======================
alter system set resource_limit=true;
prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
alter profile default limit FAILED_LOGIN_ATTEMPTS 10;
prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
--select username,profile from dba_users where account_status='OPEN';
prompt I think I have nothing to do in this step.
prompt ===========================
prompt == 5.范例数据库帐号
prompt ===========================
prompt 是否删除范例scott用户?
--drop user scott cascade;
prompt ===========================
prompt == 6.dba权限账户检查
prompt ===========================
prompt I think I have nothing to do in this step.
prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt 11g版本,数据库层面就是加密的嘛~
prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt 执行创建安全性校验函数的脚本
@?/rdbms/admin/utlpwdmg.sql
--logoff database
EOF
check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
more $ORACLE_HOME/network/admin/sqlnet.ora
添加如下
tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)
echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
添加如下一行
SQLNET.EXPIRE_TIME=10
## 针对第9和第10步骤中的sqlnet.ora配置文件示例: ##
注意如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。
SQLNET.EXPIRE_TIME=10
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.99.*)