資源描述:
《Oracle數(shù)據(jù)庫配置》由會員上傳分享����,免費在線閱讀��,更多相關內(nèi)容在教育資源-天天文庫�����。
1��、目錄1概述21.1適用范圍22ORACLE安全配置要求22.1賬號22.1.1按用戶分配帳號22.1.2刪除或鎖定無關帳號32.1.3限制SYSDBA用戶的遠程登錄32.1.4用戶權限最小化42.1.5使用ROLE管理對象的權限52.1.6控制用戶屬性52.1.7啟用數(shù)據(jù)庫字典保護62.2口令72.2.1靜態(tài)口令認證的密碼復雜度控制72.2.2靜態(tài)口令認證的密碼生命周期72.2.3靜態(tài)口令認證的密碼重復使用限制82.2.4景泰口令認證的連續(xù)登錄失敗的帳號鎖定策略82.2.5更改數(shù)據(jù)庫默認帳號的密碼92.2.6操作系統(tǒng)級的帳戶安全策略102.3日志112.3.1登錄日志功能112.3.2
2����、DDL日志122.3.3數(shù)據(jù)庫審記122.4其他132.4.1VPD與OLS132.4.2DataVault132.4.3Listener設定密碼保護142.4.4設定信任IP集152.4.5加密網(wǎng)絡傳輸152.4.6斷開超時的空閑遠程連接162.4.7限制DBA組中的操作系統(tǒng)用戶數(shù)量171概述1.1適用范圍本規(guī)范明確了Oracle數(shù)據(jù)庫安全配置方面的基本要求。2ORACLE安全配置要求本規(guī)范所指的設備為ORACLE數(shù)據(jù)庫���。本規(guī)范提出的安全配置要求���,在未特別說明的情況下,均適用于ORACLE數(shù)據(jù)庫����。本規(guī)范從ORACLE數(shù)據(jù)庫的認證授權功能、安全日志功能,和其他自身安全配置功能提出安全要
3�、求。2.1賬號ORACLE應提供賬號管理及認證授權功能��,并應滿足以下各項要求��。2.1.1按用戶分配帳號要求內(nèi)容應按照用戶分配賬號��,避免不同用戶間共享賬號����。操作指南1、參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role����,并給role授權,把role賦給不同的用戶1���、補充操作說明1����、abc1和abc2是兩個不同的賬號名稱��,可根據(jù)不同用戶���,取不同的名稱�����;檢測方法2����、判定條件不同名稱的用戶可以連接數(shù)據(jù)庫3��、檢測操作connectabc1/password1連接數(shù)據(jù)庫成功5�、補充
4、說明1.1.1刪除或鎖定無關帳號要求內(nèi)容應刪除或鎖定與數(shù)據(jù)庫運行���、維護等工作無關的賬號�。操作指南1��、參考配置操作alteruserusernamelock;dropuserusernamecascade;2�����、補充操作說明檢測方法3��、判定條件首先鎖定不需要的用戶在經(jīng)過一段時間后�,確認該用戶對業(yè)務確無影響的情況下�,可以刪除4���、檢測操作5����、補充說明1.1.1限制SYSDBA用戶的遠程登錄要求內(nèi)容限制具備數(shù)據(jù)庫超級管理員(SYSDBA)權限的用戶遠程登錄�。操作指南1、參考配置操作1.在spfile中設置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠程登陸
5��、����。2.在sqlnet.ora中設置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用SYSDBA角色的自動登錄。2����、補充操作說明檢測方法3、判定條件1.不能通過Sql*Net遠程以SYSDBA用戶連接到數(shù)據(jù)庫�����。2.在數(shù)據(jù)庫主機上以sqlplus‘/assysdba’連接到數(shù)據(jù)庫需要輸入口令�。4、檢測操作1.以Oracle用戶登陸到系統(tǒng)中�。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中����。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設置為NONE����。ShowparameterREMOTE
6、_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設置成NONE����。5、補充說明1.1.1用戶權限最小化要求內(nèi)容在數(shù)據(jù)庫權限配置能力內(nèi)��,根據(jù)用戶的業(yè)務需要����,配置其所需的最小權限�����。操作指南1��、參考配置操作grant 權限 tousername;revoke權限 fromusername;2���、補充操作說明用第一條命令給用戶賦相應的最小權限用第二條命令收回用戶多余的權限檢測方法3�����、判定條件業(yè)務測試正常4�、檢測操作業(yè)務測試正常5、補充說明1.1.2使
7���、用ROLE管理對象的權限要求內(nèi)容使用數(shù)據(jù)庫角色(ROLE)來管理對象的權限�����。操作指南1�����、參考配置操作1.使用CreateRole命令創(chuàng)建角色�。2.使用用Grant命令將相應的系統(tǒng)���、對象或Role的權限賦予應用用戶�����。2�����、補充操作說明檢測方法3����、判定條件對應用用戶不要賦予DBARole或不必要的權限。4�、檢測操作1.以DBA用戶登陸到sqlplus中。2.通過查詢dba_role_privs��、dba_sys_privs和dba_tab_privs等
