Oracle数据库系统安全配置手册20110603.docVIP

Oracle数据库系统安全配置 查看 dba组下的成员是否有Oracle用户： cat /etc/group |grep dba 若Oracle用户不在dba组，则将其加入： usermod -G dba 用户名 最小权限使用规则 加固目的 应该只提供最小权限给用户（包括SYSTEM和OBJECT权限） 从PUBLIC组中撤回不必要的权限或角色。（如：UTL_SMTP、UTL_TCP、UTL_HTTP、UTL_FILE、DBMS_RANDO、DBMS_SQL、DBMS_SYS_SQL、DBMS_BACKUP_RESTORE） 加固方法 撤销不需要的权限和角色，使用SQL语句 REVOKE EXECUTE ON SYS.UTL_HTTP FROM PUBLIC; REVOKE EXECUTE ON UTL_FILE FROM PUBLIC; REVOKE EXECUTE ON SYS.UTL_SMTP FROM PUBLIC; REVOKE SELECT ON ALL_USERS FROM PUBLIC; 验证： OEM管理器中，安全性-用户-PUBLIC-已授予的对象权限 col pp format a35 SELECT s.privilege|| ON ||s.owner||.||NVL(l.longname, s.table_name) pp, s.grantable FROM sys.dba_tab_privs s, javasnm l WHERE s.table_name = l.short(+) AND s.grantee=PUBLIC and s.privilege = EXECUTE and s.table_name like UTL%; 修改所有系统账户默认口令，锁定不需要的账户 加固目的 为了安全考虑，应用锁定Oracle当中不需要的用户；或改变缺省用户的密码。 加固方法 锁定不需要的用户，使用SQL语句：ALTER USER user PASSWORD EXPIRE;DBConsole ，MGMT_VIEW,DBSNMP 、SYSMAN不能锁定，请修改密码) DIP、EXFSYS、OUTLN、TSMSYS、WMSYS默认已锁定，请验证。 删除多余自建账号 drop user user_name cascade； $ORACLE_HOME/bin目录权限保护 加固目的 确保对$ORACLE_HOME/bin目录的访问权限尽可能少 加固方法 运行命令： chown $ORACLE_HOME/bin （此命令在root用户下操作） 验证：ls -l $ORACLE_HOME/bin 确保该目录下的文件属主为oracle用户，且其他用户没有写权限。 监听listener作ip访问限制 修改（需重启监听） $ORACLE_HOME/network/admin/sqlnet.ora : tcp.validnode_checking=yes tcp.invited_nodes=(localhost, 本机ip, 应用服务器ip，管理机ip等) 重启监听：lsnrctl stop；lsnrctl start。 关闭远程操作系统认证 加固目的 设置正确识别客户端用户，并限制操作系统用户数量（包括管理员权限、root权限、普通用户权限等） 加固方法 使用文本方式，打开数据库配置文件initsid.ora；设置参数REMOTE_OS_AUTHENT值为FALSE 在数据库的账户管理中删除不必要的操作系统账号alter system set remote_os_authent=false scope=spfile; 验证： SQL show parameter remote_os_authent NAME TYPE VALUE ------------------------------------ ---------- ------------------------------ remote_os_authent boolean FALSE 修改默认的监听端口 修改（需重启监听） $ORACLE_HOME/network/admin/listener.ora: (ADDRESS = (PROTOCOL = TCP)(HOST = )(PORT = 1521)) 修改PORT的值为新的监听端口- (ADDRESS = (PROTOCOL = TCP)(HOST = )(PORT = 3521)) 确认： lsnrctl status 监听程序的管理 加固目的 通过设置listener.ora文