Oracle 11g实现安全加固的完整步骤

前言

数据库安全配置中，需要做相关的安全加固工作。以确认数据库的安全，但是，有些时候，操作不当或者数据库业务账号修改密码后，而程序的连接数据库的配置封装在jar里，如果jar内的连接数据库的配置信息没有做相应的修改的话。就会对数据库的此业务账号造成严重的后果。

本文将详细介绍关于Oracle 11g安全加固的相关内容，分享出来供大家参考学习，下面话不多说了，来一起看看详细的介绍吧

1.安全加固的检查方向

1.1.sysdba用户远程登录限制（查看Oracle登录认证方式）

检查：

show parameter remote_login_passwordfile

整改：

alter system set remote_login_passwordfile = NONE scope=spfile;

注：需要重启库生效。

1.2.是否开启了资源限制

show parameter resource_limit

alter system set resource_limit = true;

1.3.登录失败的帐号锁定策略

select * from dba_profiles order by 1;

关注FAILED_LOGIN_ATTEMPTS的设定值

1.4.数据库用户帐号检查

检查：

select username,profile from dba_users where account_status='OPEN';

整改：

锁定用户：alter user <用户名> lock;

删除用户：drop user <用户名> cascade;

1.5.范例数据库帐号

是否存在默认的范例数据库账号scott等，可以考虑删除scott账号

1.6.dba权限账户检查

select * from dba_role_privs where granted_role='DBA';

1.7.数据库账户口令加密存储

11g数据里面的账户口令本来就是加密存储的。

1.8.数据库密码安全性校验函数

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

1.9.设定信任IP集

只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行：

tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)

1.10.超时的空闲远程连接是否自动断开

根据实际需要设置合适的数值。

在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数：

SQLNET.EXPIRE_TIME=10

2.安全加固检查safeCheck.sh

#!/bin/bash
#name：safeCheck.sh
#function：to create a safe check report.
#usage: oracle用户登录，执行 sh safeCheck.sh > /tmp/safeCheck.log

#logon database
sqlplus -S / as sysdba <<EOF

--format
prompt ============================
prompt ==  format
prompt ============================
prompt
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30

--check
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
prompt
show parameter remote_login_passwordfile
prompt 结果应为none.

prompt ======================
prompt == 2.resource_limit
prompt ======================
prompt
show parameter resource_limit
prompt 结果应为true.

prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
prompt
select * from dba_profiles order by 1;
prompt 关注FAILED_LOGIN_ATTEMPTS参数

prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
prompt
select username,profile from dba_users where account_status='OPEN';
prompt 正常使用的用户列表

prompt ==========================
prompt == 5.范例数据库帐号
prompt ==========================
prompt
select * from all_users order by created;
prompt 关注有无示例账户scott

prompt ===========================
prompt == 6.dba权限账户检查
prompt ===========================
prompt

prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt

prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
prompt 结果应该不为null

--logoff database
EOF

# check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
echo
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)

echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
echo
#根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10

3.安全加固执行safeExec.sh

#!/bin/bash
#name：safeExec.sh
#function：to execute the script for safe.
#usage: oracle用户登录，执行 sh safeExec.sh > /tmp/safeExec.log

#logon database
sqlplus -S / as sysdba <<EOF

--format
prompt ============================
prompt ==  format
prompt ============================
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30

--execute
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
alter system set remote_login_passwordfile=none scope=spfile;

prompt ======================
prompt == 2.resource_limit
prompt ======================
alter system set resource_limit=true;

prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
alter profile default limit FAILED_LOGIN_ATTEMPTS 10;

prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
--select username,profile from dba_users where account_status='OPEN';
prompt I think I have nothing to do in this step.

prompt ===========================
prompt == 5.范例数据库帐号
prompt ===========================
prompt 是否删除范例scott用户?
--drop user scott cascade;

prompt ===========================
prompt == 6.dba权限账户检查
prompt ===========================
prompt I think I have nothing to do in this step.

prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt 11g版本，数据库层面就是加密的嘛~

prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt 执行创建安全性校验函数的脚本
@?/rdbms/admin/utlpwdmg.sql

--logoff database
EOF

# check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)

echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
#根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10

针对第9和第10步骤中的sqlnet.ora配置文件示例：

注意：如果是ASM实例，sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。

SQLNET.EXPIRE_TIME=10
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.99.*)

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作具有一定的参考学习价值，如果有疑问大家可以留言交流，谢谢大家对我们的支持。