資源描述:
《Oracle數(shù)據(jù)庫配置》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1��、目錄1概述21.1適用范圍22ORACLE安全配置要求22.1賬號(hào)22.1.1按用戶分配帳號(hào)22.1.2刪除或鎖定無關(guān)帳號(hào)32.1.3限制SYSDBA用戶的遠(yuǎn)程登錄32.1.4用戶權(quán)限最小化42.1.5使用ROLE管理對(duì)象的權(quán)限52.1.6控制用戶屬性52.1.7啟用數(shù)據(jù)庫字典保護(hù)62.2口令72.2.1靜態(tài)口令認(rèn)證的密碼復(fù)雜度控制72.2.2靜態(tài)口令認(rèn)證的密碼生命周期72.2.3靜態(tài)口令認(rèn)證的密碼重復(fù)使用限制82.2.4景泰口令認(rèn)證的連續(xù)登錄失敗的帳號(hào)鎖定策略82.2.5更改數(shù)據(jù)庫默認(rèn)帳號(hào)的密碼92.2.6操作系統(tǒng)級(jí)的帳戶安全策略102.3日志112.3.1登錄日志功能112.3.2
2���、DDL日志122.3.3數(shù)據(jù)庫審記122.4其他132.4.1VPD與OLS132.4.2DataVault132.4.3Listener設(shè)定密碼保護(hù)142.4.4設(shè)定信任IP集152.4.5加密網(wǎng)絡(luò)傳輸152.4.6斷開超時(shí)的空閑遠(yuǎn)程連接162.4.7限制DBA組中的操作系統(tǒng)用戶數(shù)量171概述1.1適用范圍本規(guī)范明確了Oracle數(shù)據(jù)庫安全配置方面的基本要求�。2ORACLE安全配置要求本規(guī)范所指的設(shè)備為ORACLE數(shù)據(jù)庫。本規(guī)范提出的安全配置要求���,在未特別說明的情況下��,均適用于ORACLE數(shù)據(jù)庫����。本規(guī)范從ORACLE數(shù)據(jù)庫的認(rèn)證授權(quán)功能�、安全日志功能,和其他自身安全配置功能提出安全要
3����、求。2.1賬號(hào)ORACLE應(yīng)提供賬號(hào)管理及認(rèn)證授權(quán)功能����,并應(yīng)滿足以下各項(xiàng)要求。2.1.1按用戶分配帳號(hào)要求內(nèi)容應(yīng)按照用戶分配賬號(hào)�����,避免不同用戶間共享賬號(hào)�����。操作指南1、參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role��,并給role授權(quán)�����,把role賦給不同的用戶1�、補(bǔ)充操作說明1、abc1和abc2是兩個(gè)不同的賬號(hào)名稱�,可根據(jù)不同用戶�����,取不同的名稱���;檢測(cè)方法2���、判定條件不同名稱的用戶可以連接數(shù)據(jù)庫3、檢測(cè)操作connectabc1/password1連接數(shù)據(jù)庫成功5�����、補(bǔ)充
4、說明1.1.1刪除或鎖定無關(guān)帳號(hào)要求內(nèi)容應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行��、維護(hù)等工作無關(guān)的賬號(hào)�。操作指南1、參考配置操作alteruserusernamelock;dropuserusernamecascade;2�、補(bǔ)充操作說明檢測(cè)方法3、判定條件首先鎖定不需要的用戶在經(jīng)過一段時(shí)間后��,確認(rèn)該用戶對(duì)業(yè)務(wù)確無影響的情況下����,可以刪除4、檢測(cè)操作5����、補(bǔ)充說明1.1.1限制SYSDBA用戶的遠(yuǎn)程登錄要求內(nèi)容限制具備數(shù)據(jù)庫超級(jí)管理員(SYSDBA)權(quán)限的用戶遠(yuǎn)程登錄。操作指南1���、參考配置操作1.在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠(yuǎn)程登陸
5�����、����。2.在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用SYSDBA角色的自動(dòng)登錄。2��、補(bǔ)充操作說明檢測(cè)方法3���、判定條件1.不能通過Sql*Net遠(yuǎn)程以SYSDBA用戶連接到數(shù)據(jù)庫��。2.在數(shù)據(jù)庫主機(jī)上以sqlplus‘/assysdba’連接到數(shù)據(jù)庫需要輸入口令����。4���、檢測(cè)操作1.以O(shè)racle用戶登陸到系統(tǒng)中��。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中�����。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE。ShowparameterREMOTE
6���、_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE�����。5����、補(bǔ)充說明1.1.1用戶權(quán)限最小化要求內(nèi)容在數(shù)據(jù)庫權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要���,配置其所需的最小權(quán)限����。操作指南1���、參考配置操作grant 權(quán)限 tousername;revoke權(quán)限 fromusername;2�����、補(bǔ)充操作說明用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限檢測(cè)方法3����、判定條件業(yè)務(wù)測(cè)試正常4�、檢測(cè)操作業(yè)務(wù)測(cè)試正常5、補(bǔ)充說明1.1.2使
7�����、用ROLE管理對(duì)象的權(quán)限要求內(nèi)容使用數(shù)據(jù)庫角色(ROLE)來管理對(duì)象的權(quán)限。操作指南1�����、參考配置操作1.使用CreateRole命令創(chuàng)建角色����。2.使用用Grant命令將相應(yīng)的系統(tǒng)、對(duì)象或Role的權(quán)限賦予應(yīng)用用戶���。2�、補(bǔ)充操作說明檢測(cè)方法3����、判定條件對(duì)應(yīng)用用戶不要賦予DBARole或不必要的權(quán)限。4���、檢測(cè)操作1.以DBA用戶登陸到sqlplus中���。2.通過查詢dba_role_privs�、dba_sys_privs和dba_tab_privs等
