Orace数据库系统安全配置手册.doc

附件四：Oracle数据库系统安全配置安全补丁的更新 加固目的 及时更新数据库的安全补丁，减少数据库系统可能受到的攻击。 加固方法 查看，下载并安装相关的安全补丁。$ORACLE_HOME/bin目录权限保护 加固目的 确保对$ORACLE_HOME/bin目录的访问权限尽可能少 加固方法 运行命令： chown –R $ORACLE_HOME/bin 验证：ls –l $ORACLE_HOME/bin 确保该目录下的文件属主为oracle用户，且其他用户没有写权限。 Oracle 数据字典的保护 加固目的 设置保护后，可防止其他用户（具有‘ANY’ system privileges）使用数据字典时，具有相同的‘ANY’权限。 加固方法 使用文本方式，打开数据库配置文件initsid.ora；更改以下参数O7_DICTIONARY_ACCESSIBILITY＝。 1．Oracle 9i：缺省值是False 2．Oracle 8i：缺省值是True，需要改成False 3．如果用户必须需要该权限，赋予其权限SELECT ANY DICTIONARYSQL show parameter O7_DICTIONARY_ACCESSIBILITY NAME TYPE VALUE ------------------------------------ ---------- ------------------------------ O7_DICTIONARY_ACCESSIBILITY boolean FALSE 加强访问控制 加固目的 设置正确识别客户端用户，并限制操作系统用户数量（包括管理员权限、root权限、普通用户权限等） 加固方法 使用文本方式，打开数据库配置文件initsid.ora；设置参数REMOTE_OS_AUTHENT值为FALSE 在数据库的账户管理中删除不必要的操作系统账号alter system set remote_os_authent=false scope=spfile; 验证： SQL show parameter remote_os_authent NAME TYPE VALUE ------------------------------------ ---------- ------------------------------ remote_os_authent boolean FALSE 监听程序的管理 加固目的 通过设置listener.ora文件中的参数ADMIN_RESTRICTIONS_listener_name来防止远程对监听程序的非授权管理。 加固方法 在listener.ora文件中，设置ADMIN_RESTRICTIONS_(listener_name)=ON。LISTENER加访问密码：(only 9i) $ORACLE_HOME/network/admin/listener.ora PASSWORDS_LISTENER = 10g : (监听默认为本地操作系统帐号认证，即禁止远程管理) 验证： Lsnrctl status，查看输出 Security ON: Local OS Authentication 关闭Extproc功能 加固目的 由于extproc存在安全问题允许用户不进行身份认证就可以调用系统函数，因此，如果不需要该功能必须关闭。 加固方法 修改TNSNAMES.ORA和LISTENER.ORA文件，删除以下条目： icache_extproc PLSExtproc Extproctnsnames.ora : #EXTPROC_CONNECTION_DATA = # (DESCRIPTION = # (ADDRESS_LIST = # (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC0)) # ) # (CONNECT_DATA = # (SID = PLSExtProc) # (PRESENTATION = RO) # ) # ) listener.ora : # (SID_DESC = # (SID_NAME = PLSExtProc) # (ORACLE_HOME = /opt/oracle/product/10.2.0/db_1) # (PROGRAM