Oracle数据库安全加固记录

布满荆棘的人生 2022-08-06 01:14 195阅读 0赞

一个应用系统做等保，需要对数据库进行安全加固，根据流程需要先在测试环境进行测试通过后应用于生产环境，这里简单记录测试过程，审计内容是评测的重要点，但是生产环境也不便于开启，这里先简单记录之，后面再进行相关内容补充。

## 1. 删除无用多余的帐号 ##

### 1）查看帐号及状态 ###

SQL> select username,account\_status from dba\_users;

USERNAME                       ACCOUNT\_STATUS     
\------------------------------ --------------------------------      
MGMT\_VIEW                      OPEN      
SYS                            OPEN      
SYSTEM                         OPEN      
DBSNMP                         OPEN      
SYSMAN                         OPEN      
ABC                            OPEN      
B                              OPEN      
KOU                            OPEN      
OUTLN                          EXPIRED & LOCKED      
FLOWS\_FILES                    EXPIRED & LOCKED      
MDSYS                          EXPIRED & LOCKED      
ORDSYS                         EXPIRED & LOCKED      
SQL>

说明: 如果不使用EM,可以停用MGMT\_VIEW,DBSNMP,SYSMAN帐号.

### 2）删除多余帐号，对于一些测试帐号可以删除掉。 ###

SQL> drop user kou cascade;     
User dropped.      
SQL>

## 2. 锁定多余用户，对于不明用途的帐号可以采用先锁定一段时间，再删除。 ##

### (1) 锁定多余用户 ###

SQL> alter user abc account lock;     
User altered.

### (2) 解锁用户 ###

SQL> alter user abc account unlock;     
User altered.

SQL> select username,account\_status from dba\_users;

USERNAME                       ACCOUNT\_STATUS     
\------------------------------ --------------------------------      
MGMT\_VIEW                      OPEN      
SYS                            OPEN      
SYSTEM                         OPEN      
DBSNMP                         OPEN      
SYSMAN                         OPEN      
B                              OPEN      
ABC                            LOCKED      
OUTLN                          EXPIRED & LOCKED      
FLOWS\_FILES                    EXPIRED & LOCKED

其它状态参数说明:     
OPEN:            正常的帐户      
LOCKED:          表示这个帐户被锁定;      
EXPIRED:         表示该帐户口令到期，要求用户在下次logon的时候修改口令（系统会在该account被设置为expire后的第一次登陆是提示你修改密码)      
EXPIRED(GRACE):  当设置了grace以后（第一次成功登录后到口令到期后有多少天时间可改变口令,在这段时间内，帐户被提醒修改口令并可以正常登陆,account\_status显示为EXPIRED(GRACE).      
LOCKED(TIMED):   这种状态表示失败的login次数超过了FAILED\_LOGIN\_ATTEMPTS，被系统自动锁定，需要注意的是，在Oracle 10g中，默认的DEFAULT值是10次.      
EXPIRED & LOCKED:表示此账户被设置为口令到期且被锁定。      
EXPIRED(GRACE) & LOCKED(TIMED): 当account\_stutus为EXPIRED(GRACE)的时候，用户又尝试失败的login次数超过了FAILED\_LOGIN\_ATTEMPTS，被系统自动锁定      
EXPIRED & LOCKED(TIMED): 当设置了account expire后，用户又失败的login次数超过了FAILED\_LOGIN\_ATTEMPTS，被系统自动锁定      
EXPIRED(GRACE) & LOCKED: 用户account\_status为EXPIRED(GRACE)后，又被DBA 手工锁定帐户后的状态

## 3. 限制超级管理员远程登录 ##

### 1）默认状态下系统管理员是可以远程登录的，采用如下方式验证。 ###

C:\\>sqlplus sys/oracle@orcl181 as sysdba;

SQL\*Plus: Release 11.2.0.1.0 Production on 星期一 12月 8 14:51:18 2014     
Copyright (c) 1982, 2010, Oracle.  All rights reserved.

连接到:     
Oracle Database 10g Enterprise Edition Release 10.2.0.5.0 - 64bit Production      
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL>

### 2）限制超级用户远程登录 ###

说明: 远程登录访问不登录密码文件进行验证。

SQL> alter system set remote\_login\_passwordfile=none scope=spfile;

SQL> shutdown immediate;     
SQL> startup;

### 3）限制用户使用本地操作系统认证登录 ###

有些安全配置要求，限制本地操作系统认证登录，配置如下。

$ vi /u01/app/oracle/product/10.2.0/db\_1/network/admin/sqlnet.ora     
SQLNET.AUTHENTICATION\_SERVICES=none

### 4）测试方式 ###

sqlplus system/oracle@orcl as sysdba     
sqlplus / as sysdba

说明: 以上两条如果都启的话，SYSDBA用户将无法登录，数据库也无法启动，如果要进行管理操作，需要变通操作。

## 4. 根据帐号分配最小权限 ##

Oracle提供三种标准的角色: connect,resource和DBA,限制DBA权限的用户使用.

### 1）帐号拥有的系统权限 ###

SQL> select \* from dba\_sys\_privs where grantee='ABC';

GRANTEE                        PRIVILEGE                                ADM     
\------------------------------ ---------------------------------------- ---      
ABC                            UNLIMITED TABLESPACE                     NO

### 2）帐号拥有的角色 ###

SQL> select \* from dba\_role\_privs where grantee='ABC';

GRANTEE                        GRANTED\_ROLE                   ADM DEF     
\------------------------------ ------------------------------ --- ---      
ABC                            CONNECT                        NO  YES      
ABC                            RESOURCE                       NO  YES      
SQL>

### 3）帐号拥有的对象权限 ###

SQL> select \* from dba\_tab\_privs where grantee='ABC';     
no rows selected

### 4）参考配置操作, 对于DBA权限,需要判断是否需要DBA权限,否则都应取消dba权限,降为普通权，需要应用方DBA进行调整。 ###

示例：oracle数据库表空间及权限调整示例     
[http://koumm.blog.51cto.com/703525/1314154][http_koumm.blog.51cto.com_703525_1314154]

## 5. 帐号密码策略配置 ##

### 1）Oracle 10g密码策略配置初始配置 ###

说明：通常对管理帐号与维护帐号时行密码策略，业务帐号不做策略限制，例如应用帐号过期，会影响业务的正常使用等情况，默认使用DEFAULT策略。

SQL> SELECT profile FROM dba\_users WHERE username='ABC';

PROFILE     
\------------------------------      
DEFAULT

SQL>

SQL> SELECT profile,resource\_type,resource\_name,limit FROM dba\_profiles WHERE resource\_type='PASSWORD' AND profile='DEFAULT';

PROFILE                        RESOURCE RESOURCE\_NAME                    LIMIT     
\------------------------------ -------- -------------------------------- ----------------------------------------      
DEFAULT                        PASSWORD FAILED\_LOGIN\_ATTEMPTS            10      
DEFAULT                        PASSWORD PASSWORD\_LIFE\_TIME               UNLIMITED      
DEFAULT                        PASSWORD PASSWORD\_REUSE\_TIME              UNLIMITED      
DEFAULT                        PASSWORD PASSWORD\_REUSE\_MAX               UNLIMITED      
DEFAULT                        PASSWORD PASSWORD\_VERIFY\_FUNCTION         NULL      
DEFAULT                        PASSWORD PASSWORD\_LOCK\_TIME               UNLIMITED      
DEFAULT                        PASSWORD PASSWORD\_GRACE\_TIME              UNLIMITED

SQL>

### 2) 修改并启动密码复杂度 ###

说明：utlpwdmg.sql脚本中包括密码策略及帐号策略, 该脚本后面是帐号策略的配置，可以事先注释掉，后面再一一启用。

SQL> alter system set resource\_limit = true;     
SQL> @$ORACLE\_HOME/rdbms/admin/utlpwdmg.sql

### 3) 修改账号策略 ###

SQL> ALTER PROFILE DEFAULT LIMIT     
PASSWORD\_LIFE\_TIME 60      
PASSWORD\_GRACE\_TIME 10      
PASSWORD\_REUSE\_TIME 1800      
PASSWORD\_REUSE\_MAX UNLIMITED      
FAILED\_LOGIN\_ATTEMPTS 3      
PASSWORD\_LOCK\_TIME 1/1440;      
PASSWORD\_VERIFY\_FUNCTION verify\_function

相关参数说明:     
FAILED\_LOGIN\_ATTEMPTS:    允许登录失败的次数      
PASSWORD\_LOCK\_TIME:       达到登录失败次数后，帐户锁定的天数，过了这个天数之后帐户会自动解锁      
PASSWORD\_LIFE\_TIME:       口令的生存期（天）      
PASSWORD\_GRACE\_TIME:      口令失效后从第一次成功登录算起的更改口令的宽限期（天）      
PASSWORD\_REUSE\_TIME:      可以重新使用口令前的天数      
PASSWORD\_REUSE\_MAX:       可以重新使用口令的最多次数      
PASSWORD\_VERIFY\_FUNCTION: 检验口令设置的PL/SQL 函数

查看结果:

SQL> set linesize 200;     
SQL> SELECT profile,resource\_type,resource\_name,limit FROM dba\_profiles WHERE resource\_type='PASSWORD' AND profile='DEFAULT';

PROFILE                        RESOURCE RESOURCE\_NAME                    LIMIT     
\------------------------------ -------- -------------------------------- ----------------------------------------      
DEFAULT                        PASSWORD FAILED\_LOGIN\_ATTEMPTS            3      
DEFAULT                        PASSWORD PASSWORD\_LIFE\_TIME               60      
DEFAULT                        PASSWORD PASSWORD\_REUSE\_TIME              1800      
DEFAULT                        PASSWORD PASSWORD\_REUSE\_MAX               UNLIMITED      
DEFAULT                        PASSWORD PASSWORD\_VERIFY\_FUNCTION         VERIFY\_FUNCTION      
DEFAULT                        PASSWORD PASSWORD\_LOCK\_TIME               .0006      
DEFAULT                        PASSWORD PASSWORD\_GRACE\_TIME              10

7 rows selected.

SQL>

\# 取消Oracle密码复杂度检查:     
SQL> alter profile default limit password\_verify\_function null;      
SQL> ALTER PROFILE DEFAULT LIMIT PASSWORD\_LIFE\_TIME UNLIMITED;

### 4) 可以针对单个用户进行策略限制。 ###

SQL> CREATE PROFILE ABC\_PROFILE LIMIT     
PASSWORD\_LIFE\_TIME UNLIMITED      
PASSWORD\_GRACE\_TIME 10      
PASSWORD\_REUSE\_TIME 1800      
PASSWORD\_REUSE\_MAX UNLIMITED      
FAILED\_LOGIN\_ATTEMPTS 3      
PASSWORD\_LOCK\_TIME 1/1440;

SQL> alter user abc profile ABC\_PROFILE;     
User altered.

SQL>      
SQL> SELECT profile,resource\_type,resource\_name,limit FROM dba\_profiles WHERE resource\_type='PASSWORD' AND profile='ABC\_PROFILE';

PROFILE                        RESOURCE RESOURCE\_NAME                    LIMIT     
\------------------------------ -------- -------------------------------- ----------------------------------------      
ABC\_PROFILE                    PASSWORD FAILED\_LOGIN\_ATTEMPTS            3      
ABC\_PROFILE                    PASSWORD PASSWORD\_LIFE\_TIME               UNLIMITED      
ABC\_PROFILE                    PASSWORD PASSWORD\_REUSE\_TIME              1800      
ABC\_PROFILE                    PASSWORD PASSWORD\_REUSE\_MAX               UNLIMITED      
ABC\_PROFILE                    PASSWORD PASSWORD\_VERIFY\_FUNCTION         NULL      
ABC\_PROFILE                    PASSWORD PASSWORD\_LOCK\_TIME               .0006      
ABC\_PROFILE                    PASSWORD PASSWORD\_GRACE\_TIME              10

## 6. 启动数据字典保护 ##

只有SYSDBA才能访问数据字典基础表，普通用户不能查看X$开头的表。

SQL> show parameter O7\_DICTIONARY\_ACCESSIBILITY

NAME                                 TYPE        VALUE     
\------------------------------------ ----------- ------------------------------      
O7\_DICTIONARY\_ACCESSIBILITY          boolean     FALSE      
SQL>

SQL> alter system set O7\_DICTIONARY\_ACCESSIBILITY= TRUE scope = spfile;     
SQL> shutdown immediate;      
SQL> startup;

## 7. 数据库访问控制 ##

只有信任的IP地址才能通过监听器访问数据库，非信任的客户端会被拒绝, 本机IP地址一定要在信任之列。     
通常对应用服务与数据库服务器加入信任列表。

$ vi $ORACLE\_HOME/network/admin/sqlnet.ora     
tcp.validnode\_checking = yes       
tcp.invited\_nodes = (192.168.233.150,192.168.233.151)

\#除以下IP地址之外都允许访问。     
tcp.excluded\_nodes = (IP1,IP2,...)

重启监听即可。

## 8. 设置空闲连接时间 ##

$ vi $ORACLE\_HOME/network/admin/sqlnet.ora     
SQLNET.EXPIRE\_TIME = 60

说明：客户端连接后在设置的时间内没有任何操作，客户端会自动断开。

## 9. 操作系统层面限制DBA用户组的用户数量 ##

[![041405283617635.gif][]][041405283617635.gif 1]

[http_koumm.blog.51cto.com_703525_1314154]: http://koumm.blog.51cto.com/703525/1314154
[041405283617635.gif]: /images/20220806/b46bd0e72c514092bd47a624da3cf939.png
[041405283617635.gif 1]: http://www.itmmd.com/boke.html