Oracle 11g实现安全加固的完整步骤

前言

数据库安全配置中,需要做相关的安全加固工作。以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话。就会对数据库的此业务账号造成严重的后果。

本文将详细介绍关于Oracle 11g安全加固的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧

1.安全加固的检查方向

1.1.sysdba用户远程登录限制(查看Oracle登录认证方式)

检查:

show parameter remote_login_passwordfile

整改:

alter system set remote_login_passwordfile = NONE scope=spfile;

注:需要重启库生效。

1.2.是否开启了资源限制

show parameter resource_limit

alter system set resource_limit = true;

1.3.登录失败的帐号锁定策略

select * from dba_profiles order by 1;

关注FAILED_LOGIN_ATTEMPTS的设定值

1.4.数据库用户帐号检查

检查:

select username,profile from dba_users where account_status='OPEN';

整改:

锁定用户:alter user <用户名> lock;

删除用户:drop user <用户名> cascade;

1.5.范例数据库帐号

是否存在默认的范例数据库账号scott等,可以考虑删除scott账号

1.6.dba权限账户检查

select * from dba_role_privs where granted_role='DBA';

1.7.数据库账户口令加密存储

11g数据里面的账户口令本来就是加密存储的。

1.8.数据库密码安全性校验函数

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

1.9.设定信任IP集

只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行:

tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)

1.10.超时的空闲远程连接是否自动断开

根据实际需要设置合适的数值。

在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数:

SQLNET.EXPIRE_TIME=10

2.安全加固检查safeCheck.sh

#!/bin/bash
#name:safeCheck.sh
#function:to create a safe check report.
#usage: oracle用户登录,执行 sh safeCheck.sh > /tmp/safeCheck.log

#logon database
sqlplus -S / as sysdba <<EOF

--format
prompt ============================
prompt ==  format
prompt ============================
prompt
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30

--check
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
prompt
show parameter remote_login_passwordfile
prompt 结果应为none.

prompt ======================
prompt == 2.resource_limit
prompt ======================
prompt
show parameter resource_limit
prompt 结果应为true.

prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
prompt
select * from dba_profiles order by 1;
prompt 关注FAILED_LOGIN_ATTEMPTS参数

prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
prompt
select username,profile from dba_users where account_status='OPEN';
prompt 正常使用的用户列表

prompt ==========================
prompt == 5.范例数据库帐号
prompt ==========================
prompt
select * from all_users order by created;
prompt 关注有无示例账户scott

prompt ===========================
prompt == 6.dba权限账户检查
prompt ===========================
prompt

prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt

prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
prompt 结果应该不为null

--logoff database
EOF

# check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
echo
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)

echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
echo
#根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10

3.安全加固执行safeExec.sh

#!/bin/bash
#name:safeExec.sh
#function:to execute the script for safe.
#usage: oracle用户登录,执行 sh safeExec.sh > /tmp/safeExec.log

#logon database
sqlplus -S / as sysdba <<EOF

--format
prompt ============================
prompt ==  format
prompt ============================
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30

--execute
prompt ============================
prompt == 1.sysdba用户远程登录限制
prompt ============================
alter system set remote_login_passwordfile=none scope=spfile;

prompt ======================
prompt == 2.resource_limit
prompt ======================
alter system set resource_limit=true;

prompt ===========================
prompt == 3.登录失败的帐号锁定策略
prompt ===========================
alter profile default limit FAILED_LOGIN_ATTEMPTS 10;

prompt ===========================
prompt == 4.数据库用户帐号检查
prompt ===========================
--select username,profile from dba_users where account_status='OPEN';
prompt I think I have nothing to do in this step.

prompt ===========================
prompt == 5.范例数据库帐号
prompt ===========================
prompt 是否删除范例scott用户?
--drop user scott cascade;

prompt ===========================
prompt == 6.dba权限账户检查
prompt ===========================
prompt I think I have nothing to do in this step.

prompt ===========================
prompt == 7.数据库账户口令加密存储
prompt ===========================
prompt 11g版本,数据库层面就是加密的嘛~

prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt 执行创建安全性校验函数的脚本
@?/rdbms/admin/utlpwdmg.sql

--logoff database
EOF

# check the files
echo ===================
echo == 9.设定信任IP集
echo ===================
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)

echo ===================================
echo == 10.超时的空闲远程连接是否自动断开
echo ===================================
#根据实际需要设置合适的数值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10

针对第9和第10步骤中的sqlnet.ora配置文件示例:

注意:如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。

SQLNET.EXPIRE_TIME=10
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.99.*)

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对我们的支持。

(0)

相关推荐

  • Oracle数据库安全策略分析(二)

    正在看的ORACLE教程是:Oracle数据库安全策略分析(二). SQL*DBA命令的安全性: 如果您没有SQL*PLUS应用程序,您也可以使用SQL*DBA作SQL查权限相关的命令只能分配给Oracle软件拥有者和DBA组的用户,因为这些命令被授予了特殊的系统权限. (1) startup (2) shutdown (3) connect internal 数据库文件的安全性: Oracle软件的拥有者应该这些数据库文件($ORACLE_HOME/dbs/*.dbf)设置这些文件的使用权限为

  • Oracle数据库安全策略分析(一)第1/2页

    正在看的ORACLE教程是:Oracle数据库安全策略分析(一). 数据库安全性问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪.围绕数据库的安全性问题提出了一些安全性策略,希望对数据库管理员有所帮助.对于数据库数据的安 全问题,数据库管理员可以参考有关系统双机热备份功能以及数据库的备份和恢复的资料. 一.组和安全性: 在操作系统下建立用户组也是保证数据库安全性的一种有效方法.Oracle程序为了安全性目的一般分为两类:一类所有的用户都可

  • Oracle监听口令及监听器安全详解

    很多Oracle用户都知道,Oracle的监听器一直存在着一个安全隐患,假如对此不设置安全措施,那么能够访问的用户就可以远程关闭监听器. 相关示例如下: D:>lsnrctl stop eygle LSNRCTL for 32-bit Windows: Version 10.2.0.3.0 - Production on 28-11月-2007 10:02:40 Copyright (c) 1991, 2006, Oracle. All rights reserved. 正在连接到 (DESCR

  • oracle 11g数据库安全加固注意事项

    数据库安全配置中,需要做相关的安全加固工作.以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话.就会对数据库的此业务账号造成严重的后果. 因此,真正了解Oracle安全数据库用户的状态,就显得尤为重要了.下面我们就看一下oracle数据库中的多种用户状态. ORACLE数据库用户有多种状态,可查看视图USER_ASTATUS_MAP. SQL> col status for a3

  • 提升Oracle用户密码安全性的策略

    环境:Oracle 11.2.0.4 客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好. 1.官方解决方案 实际上Oracle提供有一个非常好用的安全校验函数,来提升用户密码的复杂性.这个在之前的文章<Oracle 11g 安全加固>中的"1.8.数据库密码安全性校验函数"章节就已经有了确切的解决方案,核心内容如下: select limit f

  • Oracle数据库安全策略

    正在看的ORACLE教程是:Oracle数据库安全策略. 随着计算机网络应用的普及和提高,Oracle数据库应用在各个领域日新月异,它性能优异,操作灵活方便,是目前数据库系统中受到广泛青睐的几家之一.然而,随着应用的深入,数据信息的不断增加,数据库的安全性问题已提到了一个十分重要的议事日程上,它是数据库管理员日常工作中十分关注的一个问题.由于计算机软.硬件故障,导致数据库系统不能正常运转,造成大量数据信息丢失,甚至使数据库系统崩溃.为此,笔者围绕如何保证Oracle数据库具有较高的安全性,使数据

  • Oracle数据库的安全策略

    正在看的ORACLE教程是:Oracle数据库的安全策略. ---- Oracle是关系型数据库管理系统,它功能强大.性能卓越,在当今大型数据库管理系统中占有重要地位.在我们开发的一MIS系统中,选用了Oracle7.3数据库.在正常情况下,Oracle数据库会保证数据的安全.稳定,为用户提供正确的数据,但由于计算机系统的故障(硬件故障.软件故障.网络故障和系统故障)影响数据库系统的操作,影响数据库中数据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失,整个系统都将处于瘫痪状态.因此,如何

  • Oracle数据安全面面观

    正在看的ORACLE教程是:Oracle数据安全面面观. Oracle数据安全面面观 作者:づ★sl战神    随着计算机的普及以及网络的发展,数据库已经不再仅仅是那些程序员所专有的话题.而Oracle数据库更是凭借其性能卓越,操作方便灵活的特点,在数据库的市场中已经占据了一席之地.但是同样随着网络技术的不断进步,数据信息的不断增加,数据安全已经不再是以前的"老生长谈",也更不是以前书本上那些"可望不可及"的条条框框.    或许很久以前,大家都觉得Oracle数据

  • Oracle数据库安全策略分析 (三)第1/2页

    正在看的ORACLE教程是:Oracle数据库安全策略分析 (三). 数据的安全性策略: 数据的生考虑应基于数据的重要性.如果数据不是很重要,那么数据的安全性策略可以稍稍放松一些.然而,如果数据很重要,那么应该有一谨慎的安全性策略,用它来维护对数据对象访问的有效控制. 用户安全性策略: (1) 一般用户的安全性 A 密码的安全性 如果用户是通过数据库进行用户身份的确认,那么建议使用密码加密的方式与数据库进行连接. 这种方式的设置方法如下: 在客户端的oracle.ini文件中设置 ora_enc

  • Oracle 11g实现安全加固的完整步骤

    前言 数据库安全配置中,需要做相关的安全加固工作.以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话.就会对数据库的此业务账号造成严重的后果. 本文将详细介绍关于Oracle 11g安全加固的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 1.安全加固的检查方向 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式) 检查: show pa

  • Oracle数据库下载与安装的完整步骤

    前言 本文以 Oracle Database Express Edition (XE) Release 11.2.0.2.0 (11gR2) 为例进行数据库下载安装讲解 一.Oracle 数据库下载 访问 Oracle 数据库下载官网 选择目标版本数据库进行下载,本文以11gR2为例进行讲解. 访问Oracle 11gR2 下载官网 https://www.oracle.com/database/technologies/xe-prior-releases.html 选择适合自己操作系统的版本,

  • 分享Oracle 11G Client 客户端安装步骤(图文详解)

    Oracle 11G Client 客户端安装步骤,具体如下: 下载地址:http://www.jb51.net/database/167737.html 先将下载下来的ZIP文件解压,并运行setup.exe文件. 执行到第四步之后,出现错误,直接点全部忽略就可以了. 把上面的步骤执行完了,那么就该等待Oracle的安装了. 现在这个就搞定了 1.安装Oracle 11G Client后可以在开始菜单中找到 选择NETCA->本地网络服务名配置 选择添加本地网服务名配置 这里的服务名:指的是也

  • Win7彻底卸载Oracle 11g图文步骤(靠谱)

    网上资料结合自己的操作整理出的一套靠谱的彻底卸载Oracle 11g的步骤!(Win7),具体内容详情如下所示: 1:停掉所有Oracle相关的服务 1.1打开服务方式如下: 1.1.1:右击"计算机"–>管理–>服务和应用程序–>服务 1.1.2:开始–>输入"服务"后点击搜索–>点击服务 1.2 关闭服务(以Oracle打头的,比如OracleDBConsoleorcl). 2:卸载oracle 11g客户端 开始–>所有程序

  • Oracle 11g服务器安装详细步骤图文详解

    Oracle 11g是在推出的最新数据库软件,Oracle 11g有400多项功能,经过了1500多个小时的测试,开发工作量达到了3.6万人/月,相当于1000名员工连续研发3年.Oracle 11g提供了高性能.伸展性.可用性和安全性,并能更方便地在低成本服务器和存储设备组成的网格上运行 ,相对过往版本而言,Oracle 11g具有了与众不同的特性. 下文重点给大家介绍Oracle 11g服务器安装详细步骤图文详解,具体内容如下所示: 1.大家可以根据自己的操作系统是多少位(32位或64位)的

  • Oracle数据库完整卸载的完整步骤

    目录 1.停止所有Oracle服务 2.打开Universal Installer工具运行卸载Oracle数据库程序 3. 删除注册表中Oracle相关信息 4.删除Oracle相关环境变量 5. 删除全部与Oracle相关的目录 总结 1.停止所有Oracle服务 进入计算机管理,在服务中,找到oracle开头的所有服务,右击选择停止. 快捷键:ctrl+shift+esc打开任务管理器 2.打开Universal Installer工具运行卸载Oracle数据库程序 点击开始菜单找到Orac

  • IntelliJ DataGrip Oracle 11g远程连接的方法步骤

    目录 1. 修改Orcl监听文件 2. 查看服务名称,并记录下来 3.进行数据库设置 4.根据序号来进行. 5.点击第4步中的6号,点击图中位置加入 6.右键连接即可加入table 在Orcle服务在服务器本机上正常运行的情况下,并且Orcl服务器端口开启和防火墙允许的情况下,进行以下操作: 1. 修改Orcl监听文件 (路径不分大小写D:\Oracle\product\11.2.0\dbhome_1\network\admin\listener.ora) SID_LIST_LISTENER =

  • Oracle数据库下载及安装图文操作步骤

    一.Oracle 下载 注意Oracle分成两个文件,下载完后,将两个文件解压到同一目录下即可. 路径名称中,最好不要出现中文,也不要出现空格等不规则字符. 官方下地址: http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html以下两网址来源此官方下载页网. win 32位操作系统 下载地址: http://download.oracle.com/otn/nt/oracle11g/1120

  • Oracle 11g如何清理数据库的历史日志详解

    本文主要给大家介绍了关于Oracle 11g清理数据库历史日志的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍 1. 创建存放数据库待删除日志文件路径 用于存放准备删除,这里假设放在/home/Oracle/delete路径下 $ cd /home/oracle/delete $ mkdir -p audit_file_dest background_dump_dest user_dump_dest core_dump_dest listenr_log_dest 2. 查

  • Oracle 11g简体中文版安装图文教程

    本文实例为大家分享了Oracle 11g简体中文版安装教程,供大家参考,具体内容如下 1.下载Oracle 11g 地址 http://download.oracle.com/otn/nt/oracle11g/win32_11gR1_database_1013.zip 基本安装 解压缩后就可以安装了.执行SETUP.EXE ,在DOS下运行片刻进入ORACLE 11G Oracle Configuration Manager 允许您将配置信息与 Metalink 帐户相关联.您可在该窗口上选择启

随机推荐