数据库安全基线.docx

Oracle数据库安全基线目录1.1.Oracle数据库系统安全基线配置规范错误！未定义书签。1.1.1.LinUX版本错误！未定义书签。1.1.1.1.删除无用帐号错误！未定义书签。1.1.1.2.默认帐号修改口令错误！未定义书签。1.1.1.3.限制数据库SYSDBA帐号错误！未定义书签。1.1.1.4.口令策略错误！未定义书签。1.1.1.5.帐号锁定策略错误！未定义书签。1.1.1.6.用户权限最小化错误！未定义书签。1.1.1.7.public权限错误！未定义书签。1.1.1.8.数据库角色管理错误！未定义书签。1.1.1.9.启用日志审计错误！未定义书签。1.1.1.10. 日志记录及保存错误！未定义书签。1.1.1.11. 日志文件保护错误！未定义书签。1.1.1.12.开启监听器日志错误！未定义书签。1.1.1.13.数据字典保护错误！未定义书签。1.1.1.14.监听器口令错误！未定义书签。1.1.1.15.监听服务连接超时错误！未定义书签。1.1.1.16.监听器管理限制错误！未定义书签。1.1.1.17.禁止远程操作系统认证错误！未定义书签。1.1.1.18.IP访问限制错误I未定义书签。1.1.2.WindoWS版本错误！未定义书签。1.1.2.1.数据库主机管理员帐号错误！未定义书签。1.1.2.2.删除无用帐号错误！未定义书签。1.1.2.3.默认帐号修改口令错误！未定义书签。1.1.2.4.限制数据库SYSDBA帐号错误！未定义书签。1.1.2.5.口令策略错误！未定义书签。1.1.2.6.帐号锁定策略错误！未定义书签。1.1.2.7.用户权限最小化错误！未定义书签。1.1.2.8.PUbIiC权限错误！未定义书签。1.1.2.9.数据库角色管理错误！未定义书签。1.1.2.10. 启用日志审计错误！未定义书签。1.1.2.11. 日志记录及保存错误！未定义书签。1.1.2.12. 开启监听器日志错误！未定义书签。1.1.2.13. 数据字典保护错误！未定义书签。1.1.2.14. 监听器口令错误！未定义书签。1.1.2.15. 监听服务连接超时错误！未定义书签。1.1.2.16.监听器管理限制错误！未定义书签。1.1.2.17. 禁止远程操作系统认证错误！未定义书签。1.1.2.18. IP访问限制错误！未定义书签。1 .数据库安全基线配置规范1. 1.Oracle数据库系统安全基线配置规范1. 1.1.Linux版本1.1.1.1.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一：锁定用户SQL>alteruser<usemame>accountlock;方法二：删除用户SQL>dropuser<usemame>cascade;补充说明：应删除常用账号外的其他帐号,消除潜在危险帐号，可到附录检查项中查看当前开放的所有数据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。1.1.1.2.默认帐号修改口令要求内容修改默认帐户和密码,攻击者可能利用系统帐户默认密码和弱密码侵入系统，危胁系统安全。操作指南修改默认帐户和密码，执行如下命令：SQLalteruserusernameidentifiedbynewpassword;修改密码：SQLalteruser用户名identifiedby新密码;锁定帐号：SQLalteruser用户名accountlock;检测方法Oracle10以内版本查看默认帐户和密码SQL>selectusername,password,account_status,profilefromdba_可以获取到用户名，密码散列值，用户状态，策略文件。users;用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCCtxsysctxsys24BB8B06281B4Cmdsysmdsys72979A94BAD2AF80OdmodmC252E8FA117AF049OdnIjntrmtrpwA7A32CD03D3CE8D5ordpluginsordplugins88A2B2C18343IFOOordssordsys7EFA02EC7EA6B86Foutlnoutln43B55E08595C81SCOtttigerF894844C34402B67wk_proxyunknown3F9FBD883D787341wk_sysunknown79DF7A1BD138CF11wmsyswmsys7C9BA362F8314299xdbchange_on_instal188D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oas_publicoas_public9300C0977D7DC75Ewebsysmanager97282CE3D94E29EIbacsysIbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatperfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemasi_informtn_schema84B8CBCA4D477FA3syschange_on_instal1D4C5016086B2DC6ASystemManagerD4DF7931B130E37确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码，可以使用以下方法检查默认密码：方法一：从SYS.USER$基表中检查，在基表的PaSSWOrd字段中仍然可以查到HASH后的值。SQL>SELECTname,passwordFROMuser$WHEREname='SCOTT'NAMEPASSWORDSCO11F894844C34402B67方法二：这是推荐的方法，最简单的方法，Ilg中可以使用的方法，Ug提供了新的DBAJSERS_WITH_DEFPWD视图，该视图中包含了所有还在使用默认密码的用户名。SQL>SELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSername='SCOTT'USERNAMESC011存在默认密码SQL>ALTERuserscottIDENTIFIEDBYtigerl;Useraltered.SQL>SELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSernanIe='SC011'norowsselected密码已修改1.1.1.3.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)权限的用户远程登录及自动登录。操作指南1、参考配置操作1、在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfiIe=NONEscope=spfile2、在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES:NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件1 .以OraCIe用户登陆到系统中。2 .以SqIPlUSVassysdba,登陆到SqIPIUS环境中。3 .使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE4 .检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTlCATloN.SERVICES是否被设置成NONEo1.1.1.4.口令策略要求内容对于采用静态口令认证技术的数据库，需对口令策略进行安全设置。操作指南1、参考配置操作为用户建ProfiIe,设置PASSWORD_VERIFY_FUNCTION8,密码复杂度8个字符PASSWoRDJJFEJnME90,口令有效期90天PASSWORD_REUSE_MAX5,5个不同口令使用后可重复使用PASSWORD_GRACE_TIME5,更改密码宽限期5天2、补充操作说明检测方法1、判定条件修改密码为不符合要求的密码，将失败重用修改5次内的密码，将不能成功输错6次口令锁定帐户5分钟。2、检测操作alteruserabcdlidentifiedbyabcdl;将失败alteruserusernameidentifiedbyPaSSWOrd1;如果PaSSWordl在5次修改密码内被使用，该操作将不能成功3、补充说明1.1.1.5.帐号锁定策略要求内容对于采用静态II令认证技术的数据库，应配置当用户连续认证失败次数超过5次(不含5次)，锁定该用户使用的账号。操作指南1、参考配置操作为用户建profile,设置FAILED-LOGIN.ATTEMPTS5,认证失败5次锁定账号PASSW0RD_L0CK_TIME.00694,认证失败帐户锁定10分钟(基本单位是：天)2、补充操作说明如果连续5次连接该用户不成功，用户将被锁定检测方法1、判定条件连续5次用错误的密码连接用户，第6次时用户将被锁定10分钟后解锁，可再次连接2、检测操作connectusername/password,连续5次失败，用户被锁定1.1.1.6.用户权限最小化要求内容数据库用户应设置最小权限。操作指南1、使用数据库角色(ROLE)来管理对象的权限，使用Grant命令将相应的系统、对象或RoIe的权限赋予应用用户2、grant权限tousername;给用户赋相应的最小权限revoke权限fromusername;收回用户多余的权限检测方法1 .以DBA用户登陆到SqlPIUS中。2 .通过查询dba_role_privsdba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBAROle或不必要的权限1.1.1.7.PUbLic权限要求内容清理PUbIiC各种默认权限，攻击者可能利用程序包的public角色执行权限获得非法访问，危胁系统安全。操作指南1、参考配置操作以DBA身份登录SqIPlUs,执行：SQL>selecttable_namefromdba_tab_privswheregrantee=*PUBLIC'andprivilege=EXECUTE*andtable_nameinCUTL_FILE','UTLJCP',UTLJ1TTP,