Oracle漏洞扫描安全加固

下载可编辑

关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册 适用软件版本 主题 适用硬件版本 Oracle10g、11g 关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册 1、 问题描述与原因： Oracle数据库在合规检查时被扫描出漏洞，要求对这些漏洞进行解决。 2、 应对措施： 对存在漏洞进行定制的安全加固操作。 3、 执行条件/注意事项： ? 加固前确保服务器、数据库、网管运行均正常。最好重启下服务器、数据库和网管查看重启后网管是否能运行正常。如果加固前服务器本身有问题，加固后服务器运行异常会加大排查难度。 ? 本解决方案执行完成后，需要重启Oracle数据库来生效某些操作。 ? 本解决方案不必完全执行，请根据系统扫描出的漏洞选择对应的漏洞条目进行操作。 ? 如无特殊说明，本文中的执行用户均为oracle 4、 操作步骤： 漏洞清单（单击可跳转）： （注：漏洞名称与配置项信息中的配置项名称对应。） 漏洞1. 检查是否对用户的属性进行控制（5） 漏洞2. 检查是否配置Oracle软件账户的安全策略（2） 漏洞3. 检查是否启用数据字典保护 漏洞4. 检查是否在数据库对象上设置了VPD和OLS（6） 漏洞5. 检查是否存在dvsys用户dbms_macadm对象（14） 漏洞6. 检查是否数据库应配置日志功能（11） 漏洞7. 检查是否记录操作日志（13） .专业.整理.

下载可编辑

漏洞8. 检查是否记录安全事件日志（7） 漏洞9. 检查是否根据业务要求制定数据库审计策略 漏洞10. 漏洞11. 漏洞12. 漏洞13. 漏洞14. 漏洞15. 漏洞16. （10） 漏洞17. 漏洞18. 漏洞19. 漏洞20. 漏洞21. 漏洞22. 漏洞23. 执行Oracle安全加固操作前备份文件： bash-3.2$ cp $ORACLE_HOME/network/admin/listener.ora $ORACLE_HOME/network/admin/listener.ora.org bash-3.2$ cp $ORACLE_HOME/network/admin/sqlnet.ora $ORACLE_HOME/network/admin/sqlnet.ora.org 检查是否为监听设置密码 检查是否限制可以访问数据库的地址（1） 检查是否使用加密传输（4） 检查是否设置超时时间（15） 检查是否设置DBA组用户数量限制（3） 检查是否删除或者锁定无关帐号 检查是否限制具备数据库超级管理员（SYSDBA）权限的用户远程登录检查口令强度设置（17） 检查帐户口令生存周期（12） 检查是否设置记住历史密码次数（8） 检查是否配置最大认证失败次数 检查是否在配置用户所需的最小权限（9） 检查是否使用数据库角色（ROLE）来管理对象的权限(16) 检查是否更改数据库默认帐号的密码 Oracle数据库漏洞的解决方案全部执行完成后，需要重启Oracle实例来生效某些操作。 漏洞1. 检查是否对用户的属性进行控制 .专业.整理.

下载可编辑

类型：Oracle数据库类 问题： SQL> select count(t.username) from dba_users t where profile not in ('DEFAULT','MONITORING_PROFILE'); COUNT(T.USERNAME) ----------------- 0 解决方案： 暂时不处理。 漏洞2. 检查是否配置Oracle软件账户的安全策略 类型：Oracle数据库类 问题： 略 解决方案： 暂时不处理 漏洞3. 检查是否启用数据字典保护 类型：Oracle数据库类 问题： SQL> select value from v$parameter where name like '%O7_DICTIONARY_ACCESSIBILITY%'; select value from v$parameter where name like '%O7_DICTIONARY_ACCESSIBILITY%' * ERROR at line 1: ORA-01034: ORACLE not available Process ID: 0 Session ID: 0 Serial number: 0 解决方案： 在数据库启动的情况下，通过下面的命令检查o7_dictionary_accessibility的参数值: bash-3.2$ sqlplus system/oracle@ .专业.整理.

下载可编辑

SQL*Plus: Release 10.2.0.4.0 - Production on Thu Jan 9 11:33:56 2014 Copyright (c) 1982, 2007, Oracle. All Rights Reserved. Connected to: Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> show parameter o7_dictionary_accessibility; NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ O7_DICTIONARY_ACCESSIBILITY boolean FALSE 检查出默认的结果是FALSE后，使用下面的命令退出SQL*PLUS： SQL> exit Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options 漏洞4. 检查是否在数据库对象上设置了VPD和OLS 类型：Oracle数据库类 问题： SQL> select count(*) from v$vpd_policy; COUNT(*) ---------- 0 解决方案： 暂时不处理。 漏洞5. 检查是否存在dvsys用户dbms_macadm对象 类型：Oracle数据库类 问题： SQL> select count(*) from dba_users where username='DVSYS'; COUNT(*) ---------- 0 解决方案： .专业.整理.