《数据库安全基线.docx》由会员分享,可在线阅读,更多相关《数据库安全基线.docx(38页珍藏版)》请在优知文库上搜索。
1、Oracle数据库安全基线目录1.1.Oracle数据库系统安全基线配置规范错误!未定义书签。1.1.1.LinUX版本错误!未定义书签。1.1.1.1.删除无用帐号错误!未定义书签。1.1.1.2.默认帐号修改口令错误!未定义书签。1.1.1.3.限制数据库SYSDBA帐号错误!未定义书签。1.1.1.4.口令策略错误!未定义书签。1.1.1.5.帐号锁定策略错误!未定义书签。1.1.1.6.用户权限最小化错误!未定义书签。1.1.1.7.public权限错误!未定义书签。1.1.1.8.数据库角色管理错误!未定义书签。1.1.1.9.启用日志审计错误!未定义书签。1.1.1.10. 日志记
2、录及保存错误!未定义书签。1.1.1.11. 日志文件保护错误!未定义书签。1.1.1.12.开启监听器日志错误!未定义书签。1.1.1.13.数据字典保护错误!未定义书签。1.1.1.14.监听器口令错误!未定义书签。1.1.1.15.监听服务连接超时错误!未定义书签。1.1.1.16.监听器管理限制错误!未定义书签。1.1.1.17.禁止远程操作系统认证错误!未定义书签。1.1.1.18.IP访问限制错误I未定义书签。1.1.2.WindoWS版本错误!未定义书签。1.1.2.1.数据库主机管理员帐号错误!未定义书签。1.1.2.2.删除无用帐号错误!未定义书签。1.1.2.3.默认帐号修
3、改口令错误!未定义书签。1.1.2.4.限制数据库SYSDBA帐号错误!未定义书签。1.1.2.5.口令策略错误!未定义书签。1.1.2.6.帐号锁定策略错误!未定义书签。1.1.2.7.用户权限最小化错误!未定义书签。1.1.2.8.PUbIiC权限错误!未定义书签。1.1.2.9.数据库角色管理错误!未定义书签。1.1.2.10. 启用日志审计错误!未定义书签。1.1.2.11. 日志记录及保存错误!未定义书签。1.1.2.12. 开启监听器日志错误!未定义书签。1.1.2.13. 数据字典保护错误!未定义书签。1.1.2.14. 监听器口令错误!未定义书签。1.1.2.15. 监听服务连
4、接超时错误!未定义书签。1.1.2.16.监听器管理限制错误!未定义书签。1.1.2.17. 禁止远程操作系统认证错误!未定义书签。1.1.2.18. IP访问限制错误!未定义书签。1 .数据库安全基线配置规范1. 1.Oracle数据库系统安全基线配置规范1. 1.1.Linux版本1.1.1.1.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一:锁定用户SQLalteruseraccountlock;方法二:删除用户SQLdropusercascade;补充说明:应删除常用账号外的其他帐号,消除潜在危险帐号,可到附录检查项中查看当前开放的所有数
5、据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。1.1.1.2.默认帐号修改口令要求内容修改默认帐户和密码,攻击者可能利用系统帐户默认密码和弱密码侵入系统,危胁系统安全。操作指南修改默认帐户和密码,执行如下命令:SQLalteruserusernameidentifiedbynewpassword;修改密码:SQLalteruser用户名identifiedby新密码;锁定帐号:SQLalteruser用户名accountlock;检测方法Oracle10以内版本查看默认帐户和密码SQLselectusername,passwor
6、d,account_status,profilefromdba_可以获取到用户名,密码散列值,用户状态,策略文件。users;用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCCtxsysctxsys24BB8B06281B4Cmdsysmdsys72979A94BAD2AF80OdmodmC252E8FA117AF049OdnIjntrmtrpwA7A32CD03D3CE8D5ordpluginsordplugins88A2B2C18343IFOOordssordsys7EFA02EC7EA6B86Foutlnoutln43B55E08595C81SCOtt
7、tigerF894844C34402B67wk_proxyunknown3F9FBD883D787341wk_sysunknown79DF7A1BD138CF11wmsyswmsys7C9BA362F8314299xdbchange_on_instal188D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oas_publicoas_public9300C0977D7DC75Ewebsysmanager97282CE3D94E29EIbacsysIbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatpe
8、rfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemasi_informtn_schema84B8CBCA4D477FA3syschange_on_instal1D4C5016086B2DC6ASystemManagerD4DF7931B130E37确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码,可以使用以下方法检查默认密码:方法一:从SYS.USER$基表中检查,在基表的PaSSWOrd字段中仍然可以查到HASH后的值。SQLSELECTname,passwordFROMuser$WHEREna
9、me=SCOTT;NAMEPASSWORDSCO11F894844C34402B67方法二:这是推荐的方法,最简单的方法,Ilg中可以使用的方法,Ug提供了新的DBAJSERS_WITH_DEFPWD视图,该视图中包含了所有还在使用默认密码的用户名。SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSername=SCOTT;USERNAMESC011存在默认密码SQLALTERuserscottIDENTIFIEDBYtigerl;Useraltered.SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSernanIe=SC0
10、11;norowsselected密码已修改1.1.1.3.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)权限的用户远程登录及自动登录。操作指南1、参考配置操作1、在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfiIe=NONEscope=spfile2、在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES:NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件1 .以OraCIe用户登
11、陆到系统中。2 .以SqIPlUSVassysdba,登陆到SqIPIUS环境中。3 .使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE4 .检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTlCATloN.SERVICES是否被设置成NONEo1.1.1.4.口令策略要求内容对于采用静态口令认证技术的数据库,需对口令策略进行安全设置。操作指南1、参考配置操作为用户建ProfiIe,设置
12、PASSWORD_VERIFY_FUNCTION8,密码复杂度8个字符PASSWoRDJJFEJnME90,口令有效期90天PASSWORD_REUSE_MAX5,5个不同口令使用后可重复使用PASSWORD_GRACE_TIME5,更改密码宽限期5天2、补充操作说明检测方法1、判定条件修改密码为不符合要求的密码,将失败重用修改5次内的密码,将不能成功输错6次口令锁定帐户5分钟。2、检测操作alteruserabcdlidentifiedbyabcdl;将失败alteruserusernameidentifiedbyPaSSWOrd1;如果PaSSWordl在5次修改密码内被使用,该操作将不能
13、成功3、补充说明1.1.1.5.帐号锁定策略要求内容对于采用静态II令认证技术的数据库,应配置当用户连续认证失败次数超过5次(不含5次),锁定该用户使用的账号。操作指南1、参考配置操作为用户建profile,设置FAILED-LOGIN.ATTEMPTS5,认证失败5次锁定账号PASSW0RD_L0CK_TIME.00694,认证失败帐户锁定10分钟(基本单位是:天)2、补充操作说明如果连续5次连接该用户不成功,用户将被锁定检测方法1、判定条件连续5次用错误的密码连接用户,第6次时用户将被锁定10分钟后解锁,可再次连接2、检测操作connectusername/password,连续5次失败,
14、用户被锁定1.1.1.6.用户权限最小化要求内容数据库用户应设置最小权限。操作指南1、使用数据库角色(ROLE)来管理对象的权限,使用Grant命令将相应的系统、对象或RoIe的权限赋予应用用户2、grant权限tousername;给用户赋相应的最小权限revoke权限fromusername;收回用户多余的权限检测方法1 .以DBA用户登陆到SqlPIUS中。2 .通过查询dba_role_privsdba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBAROle或不必要的权限1.1.1.7.PUbLic权限要求内容清理PUbIiC各种默认权限,攻击者可能利用程序包的public角色执行权限获得非法访问,危胁系统安全。操作指南1、参考配置操作以DBA身份登录SqIPlUs,执行:SQLselecttable_namefromdba_tab_privswheregrantee=*PUBLICandprivilege=EXECUTE*andtable_nameinCUTL_FILE,UTLJCP,UTLJ1TTP,