DBA日記之Oracle數據庫運維安全規(guī)范

本規(guī)范明確了Oracle數據庫安全配置方面的基本要求。

縮寫

英文描述

中文描述

DBA

Database Administrator

數據庫管理員

本規(guī)范所指的設備為ORACLE數據庫。本規(guī)范提出的安全配置要求，在未特別說明的情況下，均適用于ORACLE數據庫。

本規(guī)范從ORACLE數據庫的認證授權功能、安全日志功能，和其他自身安全配置功能提出安全要求。

ORACLE應提供賬號管理及認證授權功能，并應滿足以下各項要求。

要求內容

應按照用戶分配賬號，避免不同用戶間共享賬號。

操作指南

1、 參考配置操作

create user abc1 identified by password1;

create user abc2 identified by password2;

建立role，并給role授權，把role賦給不同的用戶

2、 補充操作說明

1、abc1和abc2是兩個不同的賬號名稱，可根據不同用戶，取不同的名稱；

檢測方法

3、 判定條件

不同名稱的用戶可以連接數據庫

4、 檢測操作

connect abc1/password1連接數據庫成功

5、補充說明

要求內容

應刪除或鎖定與數據庫運行、維護等工作無關的賬號。

操作指南

1、 參考配置操作

alter user username lock;

drop user username cascade;

2、 補充操作說明

檢測方法

3、 判定條件

首先鎖定不需要的用戶

在經過一段時間后，確認該用戶對業(yè)務確無影響的情況下，可以刪除

4、檢測操作

5、補充說明

要求內容

限制具備數據庫超級管理員（SYSDBA）權限的用戶遠程登錄。

操作指南

1、參考配置操作

1. 在spfile中設置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠程登陸。

2. 在sqlnet.ora中設置

SQLNET.AUTHENTICATION_SERVICES=NONE來禁用 SYSDBA 角色的自動登錄。

2、補充操作說明

檢測方法

3、判定條件

1. 不能通過Sql*Net遠程以SYSDBA用戶連接到數據庫。

2. 在數據庫主機上以sqlplus ‘/as sysdba’連接到數據庫需要輸入口令。

4、檢測操作

1. 以Oracle用戶登陸到系統(tǒng)中。

2. 以sqlplus ‘/as sysdba’登陸到sqlplus環(huán)境中。

3. 使用show parameter命令來檢查參數REMOTE_LOGIN_PASSWORDFILE是否設置為NONE。

Show parameter REMOTE_LOGIN_PASSWORDFILE

4. 檢查在$

ORACLE_HOME/network/admin/sqlnet.ora文件中參數

SQLNET.AUTHENTICATION_SERVICES是否被設置成NONE。

5、補充說明

要求內容

在數據庫權限配置能力內，根據用戶的業(yè)務需要，配置其所需的最小權限。

操作指南

1、 參考配置操作

grant　權限　to username;

revoke 權限　from username;

2、 補充操作說明

用第一條命令給用戶賦相應的最小權限

用第二條命令收回用戶多余的權限

檢測方法

3、 判定條件

業(yè)務測試正常

4、 檢測操作

業(yè)務測試正常

5、補充說明

要求內容

使用數據庫角色（ROLE）來管理對象的權限。

操作指南

1、參考配置操作

1. 使用Create Role命令創(chuàng)建角色。

2. 使用用Grant命令將相應的系統(tǒng)、對象或Role的權限賦予應用用戶。

2、補充操作說明

檢測方法

3、判定條件

對應用用戶不要賦予DBA Role或不必要的權限。

4、檢測操作

1. 以DBA用戶登陸到sqlplus中。

2. 通過查詢dba_role_privs、dba_sys_privs和dba_tab_privs等視圖來檢查是否使用ROLE來管理對象權限。

5、補充說明

要求內容

對用戶的屬性進行控制，包括密碼策略、資源限制等。

操作指南

1、參考配置操作

可通過下面類似命令來創(chuàng)建profile，并把它賦予一個用戶

CREATE PROFILE app_user2 LIMIT

FAILED_LOGIN_ATTEMPTS 6

PASSWORD_LIFE_TIME 60

PASSWORD_REUSE_TIME 60

PASSWORD_REUSE_MAX 5

PASSWORD_VERIFY_FUNCTION verify_function

PASSWORD_LOCK_TIME 1/24

PASSWORD_GRACE_TIME 90;

ALTER USER jd PROFILE app_user2;

2、補充操作說明

檢測方法

3、判定條件

1. 可通過設置profile來限制數據庫賬戶口令的復雜程度，口令生存周期和賬戶的鎖定方式等。

2. 可通過設置profile來限制數據庫賬戶的CPU資源占用。

4、檢測操作

1. 以DBA用戶登陸到sqlplus中。

2. 查詢視圖dba_profiles和dba_usres來檢查profile是否創(chuàng)建。

5、補充說明

要求內容

啟用數據字典保護，只有SYSDBA用戶才能訪問數據字典基礎表。

操作指南

1、參考配置操作

通過設置下面初始化參數來限制只有SYSDBA權限的用戶才能訪問數據字典。

O7_DICTIONARY_ACCESSIBILITY = FALSE

2、補充操作說明

檢測方法

3、判定條件

以普通dba用戶登陸到數據庫，不能查看X$開頭的表，比如：

select * from sys. x$ksppi;

4、檢測操作

1. 以Oracle用戶登陸到系統(tǒng)中。

2. 以sqlplus ‘/as sysdba’登陸到sqlplus環(huán)境中。

3. 使用show parameter命令來檢查參數

O7_DICTIONARY_ACCESSIBILITY是否設置為FALSE。

Show parameter O7_DICTIONARY_ACCESSIBILITY

5、補充說明

要求內容

對于采用靜態(tài)口令進行認證的數據庫，口令長度至少6位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。

操作指南

1、 參考配置操作

為用戶建profile，調整PASSWORD_VERIFY_FUNCTION，指定密碼復雜度

2、 補充操作說明

檢測方法

3、 判定條件

修改密碼為不符合要求的密碼，將失敗

4、 檢測操作

alter user abcd1 identified by abcd1;將失敗

5、補充說明

要求內容

對于采用靜態(tài)口令認證技術的數據庫，賬戶口令的生存期不長于90天。

操作指南

1、 參考配置操作

為用戶建相關profile，指定PASSWORD_GRACE_TIME為90天

2、 補充操作說明

在90天內，需要修改密碼

檢測方法

3、 判定條件

到期不修改密碼，密碼將會失效。連接數據庫將不會成功

4、 檢測操作

connect username/password報錯

5、補充說明

要求內容

對于采用靜態(tài)口令認證技術的數據庫，應配置數據庫，使用戶不能重復使用最近5次（含5次）內已使用的口令。

操作指南

1、 參考配置操作

為用戶建profile,指定PASSWORD_REUSE_MAX為５

2、 補充操作說明

當前使用的密碼，必需在密碼修改５次后才能再次被使用

檢測方法

3、 判定條件

重用修改５次內的密碼，將不能成功

4、 檢測操作

alter user username identified by password1;如果password1在５次修改密碼內被使用，該操作將不能成功

5、補充說明

要求內容

對于采用靜態(tài)口令認證技術的數據庫，應配置當用戶連續(xù)認證失敗次數超過6次（不含6次），鎖定該用戶使用的賬號。

操作指南

1、 參考配置操作

為用戶建profile，指定FAILED_LOGIN_ATTEMPTS為６

2、 補充操作說明

如果連續(xù)６次連接該用戶不成功，用戶將被鎖定

檢測方法

3、 判定條件

連續(xù)６次用錯誤的密碼連接用戶，第７次時用戶將被鎖定

4、 檢測操作

connect username/password，連續(xù)６次失敗，用戶被鎖定

5、補充說明

要求內容

更改數據庫默認帳號的密碼。

操作指南

1、參考配置操作

1. 可通過下面命令來更改默認用戶的密碼：

ALTER USER XXX IDENTIFIED BY XXX;

2. 下面是默認用戶列表：

ANONYMOUS

CTXSYS

DBSNMP

DIP

DMSYS

EXFSYS

HR

LBACSYS

MDDATA

MDSYS

MGMT_VIEW

ODM

ODM_MTR

OE

OLAPSYS

ORDPLUGINS

ORDSYS

OUTLN

PM

QS

QS_ADM

QS_CB

QS_CBADM

QS_CS

QS_ES

QS_OS

QS_WS

RMAN

SCOTT

SH

SI_INFORMTN_SCHEMA

SYS

SYSMAN

SYSTEM

TSMSYS

WK_TEST

WKPROXY

WKSYS

WMSYS

XDB

2、補充操作說明

檢測方法

3、判定條件

不能以用戶名作為密碼或使用默認密碼的賬戶登陸到數據庫。

4、檢測操作

1. 以DBA用戶登陸到sqlplus中。

2. 檢查數據庫默認賬戶是否使用了用戶名作為密碼或默認密碼。

5、補充說明

要求內容

Oracle軟件賬戶的訪問控制可遵循操作系統(tǒng)賬戶的安全策略，比如不要共享賬戶、強制定期修改密碼、密碼需要有一定的復雜度等。

操作指南

1、參考配置操作

使用操作系統(tǒng)一級的賬戶安全管理來保護Oracle軟件賬戶。

2、補充操作說明

檢測方法

3、判定條件

每3個月自動提示更改密碼，過期后不能登陸。

4、檢測操作

每3個月強制修改Oracle軟件賬戶密碼，并且密碼需要滿足一定的復雜程度，符合操作系統(tǒng)的密碼要求。

5、補充說明

要求內容

數據庫應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。

操作指南

1、 參考配置操作

創(chuàng)建ORACLE登錄觸發(fā)器，記錄相關信息，但對IP地址的記錄會有困難

檢測方法

2、 判定條件

登錄測試，檢查相關信息是否被記錄

3、檢測操作

4、 補充說明

觸發(fā)器與AUDIT會有相應資源開消，請檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。

要求內容

數據庫應配置日志功能，記錄用戶對數據庫的操作，包括但不限于以下內容：賬號創(chuàng)建、刪除和權限修改、口令修改、讀取和修改數據庫配置、讀取和修改業(yè)務用戶的話費數據、身份數據、涉及通信隱私數據。記錄需要包含用戶賬號，操作時間，操作內容以及操作結果。

操作指南

1、 參考配置操作

創(chuàng)建ORACLE DDL觸發(fā)器，記錄相關信息，但對IP地址的記錄會有困難

2、補充操作說明

檢測方法

2、 判定條件

做相關操作，檢查是否記錄成功

4、檢測操作

5、 補充說明

觸發(fā)器與AUDIT會有相應資源開消，請檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。

要求內容

根據業(yè)務要求制定數據庫審計策略。

操作指南

1、參考配置操作

1. 通過設置參數audit_trail = db或os來打開數據庫審計。

2. 然后可使用Audit命令對相應的對象進行審計設置。

2、補充操作說明

檢測方法

3、判定條件

對審計的對象進行一次數據庫操作，檢查操作是否被記錄。

4、檢測操作

1. 檢查初始化參數audit_trail是否設置。

2. 檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數據。

5、 補充說明

AUDIT會有相應資源開消，請檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。

要求內容

使用Oracle提供的Data Vault選件來限制有DBA權限的用戶訪問敏感數據。

操作指南

1、參考配置操作

Oracle Data Vault是作為數據庫安全解決方案的一個單獨選件，主要功能是將數據庫管理賬戶的權限和應用數據訪問的權限分開， Data Vault可限制有DBA權限的用戶訪問敏感數據。設置比較復雜，具體細節(jié)請參考Oracle文檔。

2、補充操作說明

檢測方法

3、判定條件

以DBA用戶登陸，不能查詢其它用戶下面的數據。

4、檢測操作

1. 在視圖dba_users中查詢是否存在dvsys用戶。

2. 在視圖dba_objects中檢查是否存在dbms_macadm對象。

5、補充說明

要求內容

為數據庫監(jiān)聽器（LISTENER）的關閉和啟動設置密碼。

操作指南

1、參考配置操作

通過下面命令設置密碼：

$ lsnrctl

LSNRCTL> change_password

Old password: Not displayed

New password: Not displayed

Reenter new password: Not displayed

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))

Password changed for LISTENER

The command completed successfully

LSNRCTL> save_config

2、補充操作說明

檢測方法

3、判定條件

使用lsnrctl start或lsnrctl stop命令起停listener需要密碼

4、檢測操作

檢查$

ORACLE_HOME/network/admin/listener.ora文件中是否設置參數PASSWORDS_LISTENER。

5、補充說明

要求內容

設置只有信任的IP地址才能通過監(jiān)聽器訪問數據庫。

操作指南

1、參考配置操作

只需在服務器上的文件$

ORACLE_HOME/network/admin/sqlnet.ora中設置以下行：

tcp.validnode_checking = yes

tcp.invited_nodes = (ip1,ip2…)

2、補充操作說明

檢測方法

3、判定條件

在非信任的客戶端以數據庫賬戶登陸被提示拒絕。

4、檢測操作

檢查$

ORACLE_HOME/network/admin/sqlnet.ora文件中是否設置參數tcp.validnode_checking和tcp.invited_nodes。

5、補充說明

要求內容

使用Oracle提供的高級安全選件來加密客戶端與數據庫之間或中間件與數據庫之間的網絡傳輸數據。

操作指南

1、參考配置操作

1. 在Oracle Net Manager中選擇“Oracle Advanced Security”。

2. 然后選擇Encryption。

3. 選擇Client或Server選項。

4. 選擇加密類型。

5. 輸入加密種子（可選）。

6. 選擇加密算法（可選）。

7. 保存網絡配置，sqlnet.ora被更新。

2、補充操作說明

檢測方法

3、判定條件

通過網絡層捕獲的數據庫傳輸包為加密包。

4、檢測操作

檢查$

ORACLE_HOME/network/admin/sqlnet.ora文件中是否設置sqlnet.encryption等參數。

5、補充說明

要求內容

在某些應用環(huán)境下可設置數據庫連接超時，比如數據庫將自動斷開超過10分鐘的空閑遠程連接。

操作指南

1、參考配置操作

在sqlnet.ora中設置下面參數：

SQLNET.EXPIRE_TIME=10

2、補充操作說明

檢測方法

3、判定條件

10分鐘以上的無任何操作的空閑數據庫連接被自動斷開

4、檢測操作

檢查$

ORACLE_HOME/network/admin/sqlnet.ora文件中是否設置參數SQLNET.EXPIRE_TIME。

5、補充說明

要求內容

限制在DBA組中的操作系統(tǒng)用戶數量，通常DBA組中只有Oracle安裝用戶。

操作指南

1、參考配置操作

通過/etc/passwd文件來檢查是否有其它用戶在DBA組中。

2、補充操作說明

檢測方法

3、判定條件

無其它用戶屬于DBA組。

4、檢測操作

通過/etc/passwd文件來檢查是否有其它用戶在DBA組中。

下一篇：DBA最好的“枕邊故事”丨真實世界Oracle故障診斷之一千零一夜