Linux和数据库检查要求剖析.doc

Linux类系统人工检查 系统补丁 检查目标： 操作系统安全补丁的安装状况 主要检查项 系统已经安装了最新的安全补丁 系统是否是厂商支持的版本 系统的内核系统是否存在本地缓冲区溢出漏洞 xinetd启动的网络服务 检查目标： xinetd启动的网络服务的安全配置状况 主要检查项 cups-lpd finger rexec rlogin rsh rsync telnet talk/ntalk tftp 文件与目录权限（可选项） 检查目标： 文件与目录权限的安全配置状况 主要检查项 是否存在未授权的root用户的suid或sgid程序 移动介质的nosuid挂载 /tmp和/var/tmp目录的粘滞位 系统访问控制 检查目标： 系统访问、认证、授权的安全配置状况 主要检查项 是否存在root权限用户远程登录（须使用一般用户用户名登录之后转换成root用户登录） 是否存在不合理的信任关系 检查是否有非法的cron任务 建议使用ssh2方式登录 是否设置登陆超时策略 账户策略 检查目标： 系统账户和密码的安全配置状况 主要检查项 定义密码策略（minlen、maxage、minage、pwdwarntime） 是否存在其他root权限账户 不必要服务 检查目标： 检查相关的服务是否存在或为off状态 主要检查项 sendmail xfs apmd canna freewnn gpm innd irda Oracle数据库人工检查 安全补丁 检查目标： 数据库系统安全补丁的安装状况 主要检查项 系统是否已经安装了最新的安全补丁 （注：在保证业务及网络安全的前提下，经过实验室测试后） SQLselect * from v$version; 数据库参数 检查目标： 数据库系统环境和基础参数的安全配置状况 主要检查项 检查采用外部操作系统认证的前缀名 禁止远程使用sysdba与sysoper连接数据库 SQLShow parameter REMOTE_LOGIN_PASSWORDFILE; 检查是否允许客户端认证 检查是否采用远程listener 检查是否允许客户端系统分配角色 是否允许操作系统管理角色 是否禁止默认的XDB 查看$ORACLE_HOME/dbs/init$ORACLE_SID.ora文件 是否启用数据库字典保护 SQLShow parameter O7_DICTIONARY_ACCESSIBILITY 数据库用户 检查目标： 数据库系统用户的安全策略的配置状况 主要检查项 检查Oracle默认账号是否过期并锁定 SQLselect username from dba_users where account_status=’OPEN’; 检查启用的默认账号是否存在默认口令 SQLselect username,password from dba_users where account_status=’OPEN’; 检查操作系统DBA组的用户是否合法 检查拥有sysdba或sysoper用户是否合法 检查数据库用户的密码策略 SQLselect username,profile from dba_users where account_status=OPEN; SQLselect profile,resource_name,limit from dba_profiles; 角色和权限 检查目标： 数据库系统角色和权限控制的安全配置状况 主要检查项 检查数据库角色授予是否遵循最小化原则 检查数据库对象权限授予是否遵循最小化原则 检查数据库系统权限授予是否遵循最小化原则 检查public用户组是否存在不合理的执行权限 检查角色包含的权限是否合适 Listener安全 检查目标： 数据库系统Listener的安全配置状况 主要检查项 是否设置listener口令 检查$ORACLE_HOME/network/admin/listener.ora文件 是否启用ADMIN_RESTRICTIONS_LISTENER 是否使用防火墙限制对oracle 1521端口访问 不必要服务和组件 检查目标： 数据库系统是否开启了不安全的服务和组件 主要检查项 是否关闭isqlplus与dbconsole 是否安装样例模式 审计 检查目标： 数据库系统安全审计的配置状况 主要检查项 是否对主要的操作进行安全审计（综合考虑对业务主机服务器的性能影响） SQL select name,value from v$parameter where name like audit%;