Oracle数据库系统加固规范V0.2

Oracle数据库系统加固规范2020年5月目录1账号管理、认证授权..................................................................................................11.1账号......................................................................................................................11.1.1SHG-Oracle-01-01-01......................................................................................11.1.2SHG-Oracle-01-01-02......................................................................................21.1.3SHG-Oracle-01-01-03......................................................................................31.1.4SHG-Oracle-01-01-04......................................................................................41.1.5SHG-Oracle-01-01-05......................................................................................51.1.6SHG-Oracle-01-01-06......................................................................................71.1.7SHG-Oracle-01-01-07......................................................................................81.1.8SHG-Oracle-01-01-08....................................................................................101.2口令....................................................................................................................111.2.1SHG-Oracle-01-02-01.....................................................................................111.2.2SHG-Oracle-01-02-02....................................................................................121.2.3SHG-Oracle-01-02-03....................................................................................141.2.4SHG-Oracle-01-02-04....................................................................................151.2.5SHG-Oracle-01-02-05....................................................................................162日志配置....................................................................................................................182.1.1SHG-Oracle-02-01-01....................................................................................182.1.2SHG-Oracle-02-01-02....................................................................................212.1.3SHG-Oracle-02-01-03....................................................................................222.1.4SHG-Oracle-02-01-04....................................................................................243通信协议....................................................................................................................253.1.1SHG-Oracle-03-01-01....................................................................................253.1.2SHG-Oracle-03-01-02....................................................................................264设备其他安全要求....................................................................................................284.1.1SHG-Oracle-04-01-01....................................................................................284.1.2SHG-Oracle-04-01-02....................................................................................2911账账号号管管理理、、认认证证授授权权11..11账账号号11..11..11SSHHGG--OOrraaccllee--0011--0011--0011编号SHG-Oracle-01-01-01名称为不同的管理员分配不同的账号实施目的应按照用户分配账号，避免不同用户间共享账号,提高安全性。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态select*fromall_users;select*fromdba_users;记录用户列表实施步骤1、参考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并给role授权，把role赋给不同的用户2、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；回退方案删除用户：例如创建了一个用户A，要删除它可以这样做connectsys/密码assysdba;dropuserAcascade;//就这样用户就被删除了判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注11..11..22SSHHGG--OOrraaccllee--0011--0011--0022编号SHG-Oracle-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态select*fromall_users;select*fromdba_users;记录用户列表实施步骤1、参考配置操作alteruserusernamelock;//锁定用户dropuserusernamecascade;//删除用户回退方案删除新增加的帐户判断依据首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除实施风险高重要等级★★★备注11..11..33SSHHGG--OOrraaccllee--0011--0011--0033编号SHG-Oracle-01-01-03名称限制超级管理员远程登录实施目的限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。。问题影响允许数据库超级管理员远程非法登陆系统当前状态查看spfile,sqlnet.ora内容实施步骤1、参考配置操作在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。回退方案还原spfile,sqlnet.ora文件配置判断依据判定条件1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。检测操作1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。实施风险高重要等级★★★备注11..11..44SSHHGG--OOrraaccllee--0011--0011--0044编号SHG-Oracle-01-01-04名称权限最小化实施目的在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响账号权限越大,对系统的威胁性越高系统当前状态select*fromuser_sys_privs;select*fromuser_role_privs;select*fromuser_tab_privs;记录用户拥有权限实施步骤1、参考配置操作grant权限tousername;revoke权限fromusername;2、补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限回退方案还原添加或删除的权限判断依据业务测试正常实施风险高重要等级★备注11..11..55SSHHGG--OOrraaccllee--0011--0011--0055编号SHG-Oracle-01-01-05名称数据库角色实施目的使用数据库角色（ROLE）来管理对象的权限。问题影响账号