数据库安全基线.docx

上传人:p** 文档编号:786933 上传时间:2024-03-01 格式:DOCX 页数:38 大小:159.28KB
下载 相关 举报
数据库安全基线.docx_第1页
第1页 / 共38页
数据库安全基线.docx_第2页
第2页 / 共38页
数据库安全基线.docx_第3页
第3页 / 共38页
数据库安全基线.docx_第4页
第4页 / 共38页
数据库安全基线.docx_第5页
第5页 / 共38页
数据库安全基线.docx_第6页
第6页 / 共38页
数据库安全基线.docx_第7页
第7页 / 共38页
数据库安全基线.docx_第8页
第8页 / 共38页
数据库安全基线.docx_第9页
第9页 / 共38页
数据库安全基线.docx_第10页
第10页 / 共38页
亲,该文档总共38页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《数据库安全基线.docx》由会员分享,可在线阅读,更多相关《数据库安全基线.docx(38页珍藏版)》请在第壹文秘上搜索。

1、Oracle数据库安全基线目录1.1.Oracle数据库系统安全基线配置规范错误!未定义书签。1.1.1.LinUX版本错误!未定义书签。1.1.1.1.删除无用帐号错误!未定义书签。1.1.1.2.默认帐号修改口令错误!未定义书签。1.1.1.3.限制数据库SYSDBA帐号错误!未定义书签。1.1.1.4.口令策略错误!未定义书签。1.1.1.5.帐号锁定策略错误!未定义书签。1.1.1.6.用户权限最小化错误!未定义书签。1.1.1.7.public权限错误!未定义书签。1.1.1.8.数据库角色管理错误!未定义书签。1.1.1.9.启用日志审计错误!未定义书签。1.1.1.10. 日志记

2、录及保存错误!未定义书签。1.1.1.11. 日志文件保护错误!未定义书签。1.1.1.12.开启监听器日志错误!未定义书签。1.1.1.13.数据字典保护错误!未定义书签。1.1.1.14.监听器口令错误!未定义书签。1.1.1.15.监听服务连接超时错误!未定义书签。1.1.1.16.监听器管理限制错误!未定义书签。1.1.1.17.禁止远程操作系统认证错误!未定义书签。1.1.1.18.IP访问限制错误I未定义书签。1.1.2.WindoWS版本错误!未定义书签。1.1.2.1.数据库主机管理员帐号错误!未定义书签。1.1.2.2.删除无用帐号错误!未定义书签。1.1.2.3.默认帐号修

3、改口令错误!未定义书签。1.1.2.4.限制数据库SYSDBA帐号错误!未定义书签。1.1.2.5.口令策略错误!未定义书签。1.1.2.6.帐号锁定策略错误!未定义书签。1.1.2.7.用户权限最小化错误!未定义书签。1.1.2.8.PUbIiC权限错误!未定义书签。1.1.2.9.数据库角色管理错误!未定义书签。1.1.2.10. 启用日志审计错误!未定义书签。1.1.2.11. 日志记录及保存错误!未定义书签。1.1.2.12. 开启监听器日志错误!未定义书签。1.1.2.13. 数据字典保护错误!未定义书签。1.1.2.14. 监听器口令错误!未定义书签。1.1.2.15. 监听服务连

4、接超时错误!未定义书签。1.1.2.16.监听器管理限制错误!未定义书签。1.1.2.17. 禁止远程操作系统认证错误!未定义书签。1.1.2.18. IP访问限制错误!未定义书签。1 .数据库安全基线配置规范1. 1.Oracle数据库系统安全基线配置规范1. 1.1.Linux版本1.1.1.1.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一:锁定用户SQLalteruseraccountlock;方法二:删除用户SQLdropusercascade;补充说明:应删除常用账号外的其他帐号,消除潜在危险帐号,可到附录检查项中查看当前开放的所有数

5、据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。1.1.1.2.默认帐号修改口令要求内容修改默认帐户和密码,攻击者可能利用系统帐户默认密码和弱密码侵入系统,危胁系统安全。操作指南修改默认帐户和密码,执行如下命令:SQLalteruserusernameidentifiedbynewpassword;修改密码:SQLalteruser用户名identifiedby新密码;锁定帐号:SQLalteruser用户名accountlock;检测方法Oracle10以内版本查看默认帐户和密码SQLselectusername,passwor

6、d,account_status,profilefromdba_可以获取到用户名,密码散列值,用户状态,策略文件。users;用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCCtxsysctxsys24BB8B06281B4Cmdsysmdsys72979A94BAD2AF80OdmodmC252E8FA117AF049OdnIjntrmtrpwA7A32CD03D3CE8D5ordpluginsordplugins88A2B2C18343IFOOordssordsys7EFA02EC7EA6B86Foutlnoutln43B55E08595C81SCOtt

7、tigerF894844C34402B67wk_proxyunknown3F9FBD883D787341wk_sysunknown79DF7A1BD138CF11wmsyswmsys7C9BA362F8314299xdbchange_on_instal188D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oas_publicoas_public9300C0977D7DC75Ewebsysmanager97282CE3D94E29EIbacsysIbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatpe

8、rfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemasi_informtn_schema84B8CBCA4D477FA3syschange_on_instal1D4C5016086B2DC6ASystemManagerD4DF7931B130E37确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码,可以使用以下方法检查默认密码:方法一:从SYS.USER$基表中检查,在基表的PaSSWOrd字段中仍然可以查到HASH后的值。SQLSELECTname,passwordFROMuser$WHEREna

9、me=SCOTT;NAMEPASSWORDSCO11F894844C34402B67方法二:这是推荐的方法,最简单的方法,Ilg中可以使用的方法,Ug提供了新的DBAJSERS_WITH_DEFPWD视图,该视图中包含了所有还在使用默认密码的用户名。SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSername=SCOTT;USERNAMESC011存在默认密码SQLALTERuserscottIDENTIFIEDBYtigerl;Useraltered.SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSernanIe=SC0

10、11;norowsselected密码已修改1.1.1.3.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)权限的用户远程登录及自动登录。操作指南1、参考配置操作1、在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfiIe=NONEscope=spfile2、在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES:NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件1 .以OraCIe用户登

11、陆到系统中。2 .以SqIPlUSVassysdba,登陆到SqIPIUS环境中。3 .使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE4 .检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTlCATloN.SERVICES是否被设置成NONEo1.1.1.4.口令策略要求内容对于采用静态口令认证技术的数据库,需对口令策略进行安全设置。操作指南1、参考配置操作为用户建ProfiIe,设置

12、PASSWORD_VERIFY_FUNCTION8,密码复杂度8个字符PASSWoRDJJFEJnME90,口令有效期90天PASSWORD_REUSE_MAX5,5个不同口令使用后可重复使用PASSWORD_GRACE_TIME5,更改密码宽限期5天2、补充操作说明检测方法1、判定条件修改密码为不符合要求的密码,将失败重用修改5次内的密码,将不能成功输错6次口令锁定帐户5分钟。2、检测操作alteruserabcdlidentifiedbyabcdl;将失败alteruserusernameidentifiedbyPaSSWOrd1;如果PaSSWordl在5次修改密码内被使用,该操作将不能

13、成功3、补充说明1.1.1.5.帐号锁定策略要求内容对于采用静态II令认证技术的数据库,应配置当用户连续认证失败次数超过5次(不含5次),锁定该用户使用的账号。操作指南1、参考配置操作为用户建profile,设置FAILED-LOGIN.ATTEMPTS5,认证失败5次锁定账号PASSW0RD_L0CK_TIME.00694,认证失败帐户锁定10分钟(基本单位是:天)2、补充操作说明如果连续5次连接该用户不成功,用户将被锁定检测方法1、判定条件连续5次用错误的密码连接用户,第6次时用户将被锁定10分钟后解锁,可再次连接2、检测操作connectusername/password,连续5次失败,

14、用户被锁定1.1.1.6.用户权限最小化要求内容数据库用户应设置最小权限。操作指南1、使用数据库角色(ROLE)来管理对象的权限,使用Grant命令将相应的系统、对象或RoIe的权限赋予应用用户2、grant权限tousername;给用户赋相应的最小权限revoke权限fromusername;收回用户多余的权限检测方法1 .以DBA用户登陆到SqlPIUS中。2 .通过查询dba_role_privsdba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBAROle或不必要的权限1.1.1.7.PUbLic权限要求内容清理PUbIiC各种默认权限,攻击者可能利用程序包的public角色执行权限获得非法访问,危胁系统安全。操作指南1、参考配置操作以DBA身份登录SqIPlUs,执行:SQLselecttable_namefromdba_tab_privswheregrantee=*PUBLICandprivilege=EXECUTE*andtable_nameinCUTL_FILE,UTLJCP,UTLJ1TTP,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 数据库

copyright@ 2008-2023 1wenmi网站版权所有

经营许可证编号:宁ICP备2022001189号-1

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。第壹文秘仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第壹文秘网,我们立即给予删除!