資源描述:
《Oracle數(shù)據(jù)庫安全配置規(guī)范.pdf》由會員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、Oracle數(shù)據(jù)庫安全配置規(guī)范Oracle數(shù)據(jù)庫安全配置規(guī)范1.概述1.1.目的本規(guī)范明確了Oracle數(shù)據(jù)庫安全配置方面的基本要求�。為了提高Oracle數(shù)據(jù)庫的安全性而提出的。1.2.范圍本規(guī)范適用于XXXX使用的Oracle數(shù)據(jù)庫版本��。Page1of11Oracle數(shù)據(jù)庫安全配置規(guī)范2.配置標(biāo)準(zhǔn)2.1.帳號管理及認(rèn)證授權(quán)2.1.1.按照用戶分配帳號【目的】應(yīng)按照用戶分配賬號���,避免不同用戶間共享賬號����?�!揪唧w配置】createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;
2����、建立role,并給role授權(quán)���,把role賦給不同的用戶刪除無關(guān)帳號2.1.2.刪除無用帳號【目的】應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行��、維護(hù)等工作無關(guān)的賬號?���!揪唧w配置】alteruserusernamelock;dropuserusernamecascade;2.1.3.限制DBA遠(yuǎn)程登錄【目的】限制具備數(shù)據(jù)庫超級管理員(SYSDBA)權(quán)限的用戶遠(yuǎn)程登錄�����?����!揪唧w配置】1.在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠(yuǎn)程登陸���。2.在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SER
3、VICES=NONE來禁用SYSDBA角色的自動登錄�����?����!緳z測操作】1.以O(shè)racle用戶登陸到系統(tǒng)中�。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE�。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE。Page2of11O
4、racle數(shù)據(jù)庫安全配置規(guī)范2.1.4.最小權(quán)限【目的】在數(shù)據(jù)庫權(quán)限配置能力內(nèi)�����,根據(jù)用戶的業(yè)務(wù)需要����,配置其所需的最小權(quán)限?!揪唧w配置】!給用戶賦相應(yīng)的最小權(quán)限grant權(quán)限tousername;��!收回用戶多余的權(quán)限r(nóng)evoke權(quán)限fromusername;2.1.5.數(shù)據(jù)庫角色【目的】使用數(shù)據(jù)庫角色(ROLE)來管理對象的權(quán)限����。【具體配置】1.使用CreateRole命令創(chuàng)建角色��。2.使用用Grant命令將相應(yīng)的系統(tǒng)���、對象或Role的權(quán)限賦予應(yīng)用用戶�?��!緳z測操作】1.以DBA用戶登陸到sqlplus中�����。2.通過查詢dba_role_privs�、dba_sy
5�����、s_privs和dba_tab_privs等視圖來檢查是否使用ROLE來管理對象權(quán)限����。2.1.6.用戶屬性【目的】對用戶的屬性進(jìn)行控制,包括密碼策略��、資源限制等���?!揪唧w配置】可通過下面類似命令來創(chuàng)建profile�����,并把它賦予一個用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIM
6�����、E1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;!可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度��,口令生存周期和賬戶的鎖定方式等�����。���!可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶的CPU資源占用����。Page3of11Oracle數(shù)據(jù)庫安全配置規(guī)范2.1.7.數(shù)據(jù)字典保護(hù)【目的】啟用數(shù)據(jù)字典保護(hù)���,只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表����?���!揪唧w配置】通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)字典。O7_DICTIONARY_ACCESSIBILITY=FALSE【檢測操作
7��、】以普通dba用戶登陸到數(shù)據(jù)庫�,不能查看X$開頭的表��,比如:select*fromsys.x$ksppi;1.以O(shè)racle用戶登陸到系統(tǒng)中����。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中�。3.使用showparameter命令來檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY2.1.8.DBA組操作系統(tǒng)用戶數(shù)量【目的】限制在DBA組中的操作系統(tǒng)用戶數(shù)量��,通常DBA組中只有Oracle安裝用戶��?�!揪唧w配置】通過/etc/
8�����、passwd文件來檢查是否有其它用戶在DBA組中�����?��!緳z測操作】無其
