Oracle_安全之实践入门篇.pdfVIP

Oracle 安全之实践入门篇 Fenng 个人介绍 Blog: Oracle ACE DBA@支付宝(A) IM/Mail: dbanotes@ Books 议程 我们身边的安全问题 发现、收集、侦测 安全加固(三板斧) 1）OS安全加固 2）Oracle 网络加固 3）RDBMS 安全加固 N）... 其他、更多Oracle安全功能选件 演示 我们身边的数据库安全问题 eg: 内部人员通过后门入侵数据库，盗取用户 账户信息。 eg: 应用程序错误，暴露数据库配置信息。 eg: 数据库管理员监守自盗，盗取客户资料 发现、收集问题 （1） Oracle CPU （Critical Patch Update） 跟 踪 Oracle Security Alert 首次发布 CPU ：2005 年 3 月 15 日 要注意:“不提供除 CPU 或安全警报通告、安装前说明、自述文件和常 见问题解答中所提供信息外的其他具体信息 ” ，也没有“...对产品中的 漏洞开发或发布可利用的入侵代码（或“验证性代码”）” Metalink Hacking /Google hacking/ Yahoo Hacking eg: http://www.red-database- /wp/oracle_metalink_hacking_us.pdf 发现、收集问题 （2） 内部安全审计、扫描 eg: Nessus 面对一个新系统的最好办法: scan ... 安全邮件列表 侦测：Nessus 简介 Top 100 Network Security Tools No.1 / 跨平台 非 GPL 版权 （个人用户有免费版本可用） 扫描报告示例 next page 安全加固 策略 性能、可用性与安全之间的平衡 递进式改进 一蹴而就是不可能的 Log, Log, Log 操作Log、软件Log，有记录可依 OS 安全加固 关闭不必要的端口与服务 eg: snmp 文件完整性检验 Tripwire, AIDE, Integrit , AIX Security Expert 相关工具：nmap lsof netstat # nmap -sTU localhost # find / -path /proc -prune -o -type f - perm +6000 –ls Oracle 网络安全加固 Top 1 Problem: Listener 密码设定 演示在后面 Oracle 10g 新增本地操作系统验证功能 Log 设定与审计 防火墙 RDBMS 安全加固 最小授权原则 grant resouce to scott ; NO, NO, NO! 取消不必要的权限 resouce, unlimited tablespace...create session 权限审计 eg: who has dba role ? Package 调用溢出权限提升 UTL_SMTP UTL_TCP UTL_HTTP DBMS_FLASHBACK DBMS_OBFUSCATION_TOOLKIT DBMS_METADATA DBMS_JOB DBMS_RANDOM 更多关注 Oracle CPU 避免坏习惯 （1） 命令行中的密码：$sqlplus scott/tiger $ ps –ef |grep sqlplus 好的习惯: sqlplus “/ nolog” @connect scott Enter password: ***** 避免坏习惯 （2） Shell 脚本中存在密码明文 1) 操作系统验证用户 2) Oracle Password Repository （OPR) /projects/opr sqlplus -s /NOLOG EOF