Oracle數(shù)據(jù)安全之檢查配置篇

一、 密碼策略

（1）加固目的

在Oracle數(shù)據(jù)庫，我們可以通過修改用戶概要文件來設(shè)置密碼的安全策略，可以自定義密碼的復(fù)雜度，在概要文件匯總有一下參數(shù)是和密碼安全有關(guān)系的；

FAILED_LOGIN_ATTEMPTS:最大錯(cuò)誤登錄次數(shù)

PASSWORD_GRACE_TIME:口令失效后鎖定時(shí)間

PASSWORD_LIFE_TIME:口令有效時(shí)間

PASSWORD_LOCK_TIME:登錄超過有效次數(shù)鎖定時(shí)間

PASSWORD_REUSE_MAX:當(dāng)前口令被重用之前密碼改變的次數(shù)

PASSWORD_REUSE_TIME:口令重用的最小間隔時(shí)間,單位是天

PASSWORD_VERIFY_FUNCTION:口令復(fù)雜度審計(jì)函數(shù)

（2）當(dāng)前數(shù)據(jù)庫密碼安全策略的查看及推薦參數(shù)

新建查詢，在查詢界面輸入如下命令：

SELECT USERNAME，PROFILE FROM DBA_USERS WHERE ACCOUNT_STATUS='OPEN'，SELECT * FROM DBA_PROFILES WHERE RESOURCE_TYPE='PASSWORD'；

核查使用中的PROFILE的l PASSWORD_LIFE_TIMEl PASSWORD_REUSE_TIMEl PASSWORD_REUSE_MAXl PASSWORD_VERIFY_FUNCTIONl PASSWORD_GRACE_TIME。

推薦值

? PASSWORD_LIFE_TIME=90

? PASSWORD_REUSE_TIME=90

? PASSWORD_REUSE_MAX=5

? PASSWORD_VERIFY_FUNCTION=VERIFY_FUNCTION

無錫數(shù)據(jù)恢復(fù)

? PASSWORD_GRACE_TIME=7。

二、 登錄失敗處理功能

新建查詢，在查詢界面輸入如下命令：

鹽城數(shù)據(jù)恢復(fù)

SELECT USERNAME，PROFILE FROM DBA_USERS WHERE ACCOUNT_STATUS='OPEN'， SELECT * FROM DBA_PROFILES WHERE RESOURCE_TYPE='PASSWORD'；

核查所有使用中的PROFILE的l FAILED_LOGIN_ATTEMPTSl PASSWORD_LOCK_TIME。

三、 登錄超時(shí)自動(dòng)退出功能

新建查詢，在查詢界面輸入如下命令：

SELECT USERNAME，PROFILE FROM DBA_USERS WHERE ACCOUNT_STATUS='OPEN'， SELECT * FROM DBA_PROFILES WHERE RESOURCE_TYPE='KERNEL'；

核查所有使用中的PROFILE的l IDLE_TIMEl CONNECT_TIME。

推薦值

? FAILED_LOGIN_ATTEMPTS=5

? PASSWORD_LOCK_TIME=1。

? IDLE_TIME=10

揚(yáng)州數(shù)據(jù)恢復(fù)

? CONNECT_TIME=1。

四、 數(shù)據(jù)庫操作審計(jì)

（1） 加固目的

Oracle數(shù)據(jù)庫具有對其內(nèi)部所有發(fā)生的活動(dòng)的審計(jì)能力，審計(jì)日志一般放在sys.aud$表中，也可以寫入操作系統(tǒng)的審計(jì)跟蹤文件中?？蓪徲?jì)的活動(dòng)有三種類型：登錄嘗試、數(shù)據(jù)庫活動(dòng)和對象存取，缺省情況下，數(shù)據(jù)庫不啟動(dòng)審計(jì)，要求管理員配置數(shù)據(jù)庫后才能啟動(dòng)審計(jì)。

（2） 加固方法

使用文本方式，打開數(shù)據(jù)庫配置文件init.ora；更改以下參數(shù)配置

AUDIT_TRAIL=True。

Alter system set audit_trail=’OS’ scope=spfile。

Alter system set audit_sys_operations=true scope=spfile。

默認(rèn)為false，當(dāng)設(shè)置未true時(shí)，所有sys用戶的操作都會(huì)被記錄。

五、 總結(jié)

對于一個(gè)數(shù)據(jù)庫管理員來說，安全性就意味著必須保證那些具有特定數(shù)據(jù)訪問權(quán)限的用戶能夠登錄到Oracle，并且能夠訪問數(shù)據(jù)以及對數(shù)據(jù)庫對象實(shí)施各種權(quán)限范圍內(nèi)的操作；同時(shí)，他還要防止所有的非授權(quán)用戶的非法操作。