Oracle 11g 安全加固

时间:2022-06-03 09:31:29

1.安全加固的检查方向

2.安全加固检查safeCheck.sh

3.安全加固执行safeExec.sh

1.安全加固的检查方向

## 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式) ##
检查:
`show parameter remote_login_passwordfile`

整改:

alter system set remote_login_passwordfile = NONE scope=spfile;

注:需要重启库生效。

1.2.是否开启了资源限制

show parameter resource_limit

alter system set resource_limit = true;

1.3.登录失败的帐号锁定策略

select * from dba_profiles order by 1;

关注FAILED_LOGIN_ATTEMPTS的设定值

1.4.数据库用户帐号检查

检查:

select username,profile from dba_users where account_status='OPEN';

整改:

锁定用户:alter user <用户名> lock;

删除用户:drop user <用户名> cascade;

1.5.范例数据库帐号

是否存在默认的范例数据库账号scott等,可以考虑删除scott账号

1.6.dba权限账户检查

select * from dba_role_privs where granted_role='DBA';

1.7.数据库账户口令加密存储

11g数据里面的账户口令本来就是加密存储的。

1.8.数据库密码安全性校验函数

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

1.9.设定信任IP集

只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行:

tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)

1.10.超时的空闲远程连接是否自动断开

根据实际需要设置合适的数值。

在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数:

SQLNET.EXPIRE_TIME=10

2.安全加固检查safeCheck.sh

```
#!/bin/bash
#name:safeCheck.sh
#function:to create a safe check report.
#usage: oracle用户登录,执行 sh safeCheck.sh > /tmp/safeCheck.log

logon database

sqlplus -S / as sysdba <<EOF

--format

prompt ============================

prompt == format

prompt ============================

prompt

set linesize 140 pagesize 50

col username for a30

col profile for a30

col resource_name for a30

col limit for a30

--check

prompt ============================

prompt == 1.sysdba用户远程登录限制

prompt ============================

prompt

show parameter remote_login_passwordfile

prompt 结果应为none.

prompt ======================

prompt == 2.resource_limit

prompt ======================

prompt

show parameter resource_limit

prompt 结果应为true.

prompt ===========================

prompt == 3.登录失败的帐号锁定策略

prompt ===========================

prompt

select * from dba_profiles order by 1;

prompt 关注FAILED_LOGIN_ATTEMPTS参数

prompt ===========================

prompt == 4.数据库用户帐号检查

prompt ===========================

prompt

select username,profile from dba_users where account_status='OPEN';

prompt 正常使用的用户列表

prompt ==========================

prompt == 5.范例数据库帐号

prompt ==========================

prompt

select * from all_users order by created;

prompt 关注有无示例账户scott

prompt ===========================

prompt == 6.dba权限账户检查

prompt ===========================

prompt

prompt ===========================

prompt == 7.数据库账户口令加密存储

prompt ===========================

prompt

prompt =============================

prompt == 8.数据库密码安全性校验函数

prompt =============================

prompt

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

prompt 结果应该不为null

--logoff database

EOF

check the files

echo ===================

echo == 9.设定信任IP集

echo ===================

echo

more $ORACLE_HOME/network/admin/sqlnet.ora

添加如下

tcp.validnode_checking = yes

tcp.invited_nodes = (ip1,ip2…)

echo ===================================

echo == 10.超时的空闲远程连接是否自动断开

echo ===================================

echo

根据实际需要设置合适的数值。

more $ORACLE_HOME/network/admin/sqlnet.ora

添加如下一行

SQLNET.EXPIRE_TIME=10


<h1 id="3"> 3.安全加固执行safeExec.sh </h1>

!/bin/bash

name:safeExec.sh

function:to execute the script for safe.

usage: oracle用户登录,执行 sh safeExec.sh > /tmp/safeExec.log

logon database

sqlplus -S / as sysdba <<EOF

--format

prompt ============================

prompt == format

prompt ============================

set linesize 140 pagesize 50

col username for a30

col profile for a30

col resource_name for a30

col limit for a30

--execute

prompt ============================

prompt == 1.sysdba用户远程登录限制

prompt ============================

alter system set remote_login_passwordfile=none scope=spfile;

prompt ======================

prompt == 2.resource_limit

prompt ======================

alter system set resource_limit=true;

prompt ===========================

prompt == 3.登录失败的帐号锁定策略

prompt ===========================

alter profile default limit FAILED_LOGIN_ATTEMPTS 10;

prompt ===========================

prompt == 4.数据库用户帐号检查

prompt ===========================

--select username,profile from dba_users where account_status='OPEN';

prompt I think I have nothing to do in this step.

prompt ===========================

prompt == 5.范例数据库帐号

prompt ===========================

prompt 是否删除范例scott用户?

--drop user scott cascade;

prompt ===========================

prompt == 6.dba权限账户检查

prompt ===========================

prompt I think I have nothing to do in this step.

prompt ===========================

prompt == 7.数据库账户口令加密存储

prompt ===========================

prompt 11g版本,数据库层面就是加密的嘛~

prompt =============================

prompt == 8.数据库密码安全性校验函数

prompt =============================

prompt 执行创建安全性校验函数的脚本

@?/rdbms/admin/utlpwdmg.sql

--logoff database

EOF

check the files

echo ===================

echo == 9.设定信任IP集

echo ===================

more $ORACLE_HOME/network/admin/sqlnet.ora

添加如下

tcp.validnode_checking = yes

tcp.invited_nodes = (ip1,ip2…)

echo ===================================

echo == 10.超时的空闲远程连接是否自动断开

echo ===================================

根据实际需要设置合适的数值。

more $ORACLE_HOME/network/admin/sqlnet.ora

添加如下一行

SQLNET.EXPIRE_TIME=10


## 针对第9和第10步骤中的sqlnet.ora配置文件示例: ##
注意如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。 SQLNET.EXPIRE_TIME=10
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.99.*)