《[itpub.net]3---老熊_Oracle数据库安全实践》.pdf

Oracle数据库安全实践 熊军 2012年11月 Email:magic007cn@ About me  网名老熊，个人网站  Oracle ACE  《DBA手记I》 《DBA手记III》  云和恩墨技术顾问 目录  安全即数据安全  安全防线  数据保护的复杂性  数据库安全实践 安全即数据安全  数据安全，即数据保护  未授权的访问  获取敏感数据  恶意的数据篡改、破坏  无意的数据篡改、破坏 数据安全几道防线  网络 防火墙、网络隔离  主机 登录控制、用户口令  数据库  应用 数据保护非常复杂  数据可能扩散到其他系统  数据有副本、备份  数据访问的权限分散到多处  绕过数据库直接访问数据  从内部攻破  数据库软件BUG  应用软件BUG 数据访问途径和权限多样化  角色  系统权限  存储过程/ 函数/触发器  视图 数据库安全实践  安装配置  安装最新的安全补丁  建库时不安装不需要的模块  正确设置数据库参数  严格限制文件权限 数据库安全实践  监听配置  记录日志  不要监听extproc  设置密码  限制IP地址 数据库安全实践  监听中限制IP地址 sqlnet.ora TCP.VALIDNODE_CHECKING=yes TCP.INVITED_NODES=(15, 14, 00) TCP.EXCLUDED_NODES=() 数据库安全实践  用户帐号和密码管理  定期修改密码  密码不能重复使用  要求密码复杂度  检查密码强度  严禁生产库密码与开发库、测试库密码相同  隔离生产系统、测试系统和开发环境  数据库管理员不能使用共享帐号 数据库安全实践  密码策略使用PROFILE  FAILED_LOGIN_ATTEMPTS  PASSWORD_LIFE_TIME  PASSWORD_REUSE_TIME  PASSWORD_REUSE_MAX  PASSWORD_VERIFY_FUNCTION  PASSWORD_LOCK_TIME  PASSWORD_GRACE_TIME 数据库安全实践  密码复杂度要求： $ORACLE_HOME/rdbms/admin/utlpwdmg.sql CREATE OR REPLACE FUNCTION verify_function_11G (username varchar2, password varchar2, old_password varchar2) ... IF length(password) 8 THEN raise_application_error(-20001, Password length less than 8); END IF; 数据库安全实践  检查弱密码：cracker.sql T Username Password CR FL STA ======================================================= U SYS [ ] -- -- OP U SYSTEM [SYSTEM ] DE CR OP U OUTLN [OUTLN ] DE CR EL R GLOBAL_AQ_USER_ROLE [GL-EX {GLOBAL} ] GE CR OP U DBSNMP [DBSNMP ] DE CR