Oracle数据库安全加固记录

时间 2020-09-24

原文原文链接

一个应用系统作等保，须要对数据库进行安全加固，根据流程须要先在测试环境进行测试经过后应用于生产环境，这里简单记录测试过程，审计内容是评测的重要点，可是生产环境也不便于开启，这里先简单记录之，后面再进行相关内容补充。node

1. 删除无用多余的账号

1）查看账号及状态

SQL> select username,account_status from dba_users;sql

USERNAME                       ACCOUNT_STATUS
------------------------------ --------------------------------
MGMT_VIEW                      OPEN
SYS                            OPEN
SYSTEM                         OPEN
DBSNMP                         OPEN
SYSMAN                         OPEN
ABC                            OPEN
B                              OPEN
KOU                            OPEN
OUTLN                          EXPIRED & LOCKED
FLOWS_FILES                    EXPIRED & LOCKED
MDSYS                          EXPIRED & LOCKED
ORDSYS                         EXPIRED & LOCKED
SQL>数据库

说明: 若是不使用EM,能够停用MGMT_VIEW,DBSNMP,SYSMAN账号.安全

2）删除多余账号，对于一些测试账号能够删除掉。

SQL> drop user kou cascade;
User dropped.
SQL>服务器

2. 锁定多余用户，对于不明用途的账号能够采用先锁定一段时间，再删除。

(1) 锁定多余用户

SQL> alter user abc account lock;
User altered.oracle

(2) 解锁用户

SQL> alter user abc account unlock;
User altered.app

SQL> select username,account_status from dba_users;tcp

USERNAME                       ACCOUNT_STATUS
------------------------------ --------------------------------
MGMT_VIEW                      OPEN
SYS                            OPEN
SYSTEM                         OPEN
DBSNMP                         OPEN
SYSMAN                         OPEN
B                              OPEN
ABC                            LOCKED
OUTLN                          EXPIRED & LOCKED
FLOWS_FILES                    EXPIRED & LOCKEDide

其它状态参数说明:
OPEN:            正常的账户
LOCKED:          表示这个账户被锁定;
EXPIRED:         表示该账户口令到期，要求用户在下次logon的时候修改口令（系统会在该account被设置为expire后的第一次登录是提示你修改密码)
EXPIRED(GRACE): 当设置了grace之后（第一次成功登陆后到口令到期后有多少天时间可改变口令,在这段时间内，账户被提醒修改口令并能够正常登录,account_status显示为EXPIRED(GRACE).
LOCKED(TIMED):   这种状态表示失败的login次数超过了FAILED_LOGIN_ATTEMPTS，被系统自动锁定，须要注意的是，在Oracle 10g中，默认的DEFAULT值是10次.
EXPIRED & LOCKED:表示此帐户被设置为口令到期且被锁定。
EXPIRED(GRACE) & LOCKED(TIMED): 当account_stutus为EXPIRED(GRACE)的时候，用户又尝试失败的login次数超过了FAILED_LOGIN_ATTEMPTS，被系统自动锁定
EXPIRED & LOCKED(TIMED): 当设置了account expire后，用户又失败的login次数超过了FAILED_LOGIN_ATTEMPTS，被系统自动锁定
EXPIRED(GRACE) & LOCKED: 用户account_status为EXPIRED(GRACE)后，又被DBA 手工锁定账户后的状态函数

3. 限制超级管理员远程登陆

1）默认状态下系统管理员是能够远程登陆的，采用以下方式验证。

C:\>sqlplus sys/oracle@orcl181 as sysdba;

SQL*Plus: Release 11.2.0.1.0 Production on 星期一 12月 8 14:51:18 2014
Copyright (c) 1982, 2010, Oracle. All rights reserved.

链接到:
Oracle Database 10g Enterprise Edition Release 10.2.0.5.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL>

2）限制超级用户远程登陆

说明: 远程登陆访问不登陆密码文件进行验证。

SQL> alter system set remote_login_passwordfile=none scope=spfile;

SQL> shutdown immediate;
SQL> startup;

3）限制用户使用本地操做系统认证登陆

有些安全配置要求，限制本地操做系统认证登陆，配置以下。

$ vi /u01/app/oracle/product/10.2.0/db_1/network/admin/sqlnet.ora
SQLNET.AUTHENTICATION_SERVICES=none

4）测试方式

sqlplus system/oracle@orcl as sysdba
sqlplus / as sysdba

说明: 以上两条若是都启的话，SYSDBA用户将没法登陆，数据库也没法启动，若是要进行管理操做，须要变通操做。

4. 根据账号分配最小权限

Oracle提供三种标准的角色: connect,resource和DBA,限制DBA权限的用户使用.

1）账号拥有的系统权限

SQL> select * from dba_sys_privs where grantee='ABC';

GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ABC UNLIMITED TABLESPACE NO

2）账号拥有的角色

SQL> select * from dba_role_privs where grantee='ABC';

GRANTEE                        GRANTED_ROLE                   ADM DEF
------------------------------ ------------------------------ --- ---
ABC                            CONNECT                        NO YES
ABC                            RESOURCE                       NO YES
SQL>

3）账号拥有的对象权限

SQL> select * from dba_tab_privs where grantee='ABC';
no rows selected

4）参考配置操做, 对于DBA权限,须要判断是否须要DBA权限,不然都应取消dba权限,降为普通权，须要应用方DBA进行调整。

示例：oracle数据库表空间及权限调整示例
http://koumm.blog.51cto.com/703525/1314154

5. 账号密码策略配置

1）Oracle 10g密码策略配置初始配置

说明：一般对管理账号与维护账号时行密码策略，业务账号不作策略限制，例如应用账号过时，会影响业务的正常使用等状况，默认使用DEFAULT策略。

SQL> SELECT profile FROM dba_users WHERE username='ABC';

PROFILE
------------------------------
DEFAULT

SQL>

SQL> SELECT profile,resource_type,resource_name,limit FROM dba_profiles WHERE resource_type='PASSWORD' AND profile='DEFAULT';

PROFILE                        RESOURCE RESOURCE_NAME                    LIMIT
------------------------------ -------- -------------------------------- ----------------------------------------
DEFAULT                        PASSWORD FAILED_LOGIN_ATTEMPTS            10
DEFAULT                        PASSWORD PASSWORD_LIFE_TIME               UNLIMITED
DEFAULT                        PASSWORD PASSWORD_REUSE_TIME              UNLIMITED
DEFAULT                        PASSWORD PASSWORD_REUSE_MAX               UNLIMITED
DEFAULT                        PASSWORD PASSWORD_VERIFY_FUNCTION         NULL
DEFAULT                        PASSWORD PASSWORD_LOCK_TIME               UNLIMITED
DEFAULT                        PASSWORD PASSWORD_GRACE_TIME              UNLIMITED

SQL>

2) 修改并启动密码复杂度

说明：utlpwdmg.sql脚本中包括密码策略及账号策略, 该脚本后面是账号策略的配置，能够事先注释掉，后面再一一启用。

SQL> alter system set resource_limit = true;
SQL> @$ORACLE_HOME/rdbms/admin/utlpwdmg.sql

3) 修改帐号策略

SQL> ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 60
PASSWORD_GRACE_TIME 10
PASSWORD_REUSE_TIME 1800
PASSWORD_REUSE_MAX UNLIMITED
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 1/1440;
PASSWORD_VERIFY_FUNCTION verify_function

相关参数说明:
FAILED_LOGIN_ATTEMPTS:    容许登陆失败的次数
PASSWORD_LOCK_TIME:       达到登陆失败次数后，账户锁定的天数，过了这个天数以后账户会自动解锁
PASSWORD_LIFE_TIME:       口令的生存期（天）
PASSWORD_GRACE_TIME:      口令失效后从第一次成功登陆算起的更改口令的宽限期（天）
PASSWORD_REUSE_TIME:      能够从新使用口令前的天数
PASSWORD_REUSE_MAX:       能够从新使用口令的最屡次数
PASSWORD_VERIFY_FUNCTION: 检验口令设置的PL/SQL 函数

查看结果:

SQL> set linesize 200;
SQL> SELECT profile,resource_type,resource_name,limit FROM dba_profiles WHERE resource_type='PASSWORD' AND profile='DEFAULT';

PROFILE                        RESOURCE RESOURCE_NAME                    LIMIT
------------------------------ -------- -------------------------------- ----------------------------------------
DEFAULT                        PASSWORD FAILED_LOGIN_ATTEMPTS            3
DEFAULT                        PASSWORD PASSWORD_LIFE_TIME               60
DEFAULT                        PASSWORD PASSWORD_REUSE_TIME              1800
DEFAULT                        PASSWORD PASSWORD_REUSE_MAX               UNLIMITED
DEFAULT                        PASSWORD PASSWORD_VERIFY_FUNCTION         VERIFY_FUNCTION
DEFAULT                        PASSWORD PASSWORD_LOCK_TIME               .0006
DEFAULT                        PASSWORD PASSWORD_GRACE_TIME              10

7 rows selected.

SQL>

# 取消Oracle密码复杂度检查:
SQL> alter profile default limit password_verify_function null;
SQL> ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED;

4) 能够针对单个用户进行策略限制。

SQL> CREATE PROFILE ABC_PROFILE LIMIT
PASSWORD_LIFE_TIME UNLIMITED
PASSWORD_GRACE_TIME 10
PASSWORD_REUSE_TIME 1800
PASSWORD_REUSE_MAX UNLIMITED
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 1/1440;

SQL> alter user abc profile ABC_PROFILE;
User altered.

SQL>
SQL> SELECT profile,resource_type,resource_name,limit FROM dba_profiles WHERE resource_type='PASSWORD' AND profile='ABC_PROFILE';

PROFILE                        RESOURCE RESOURCE_NAME                    LIMIT
------------------------------ -------- -------------------------------- ----------------------------------------
ABC_PROFILE                    PASSWORD FAILED_LOGIN_ATTEMPTS            3
ABC_PROFILE                    PASSWORD PASSWORD_LIFE_TIME               UNLIMITED
ABC_PROFILE                    PASSWORD PASSWORD_REUSE_TIME              1800
ABC_PROFILE                    PASSWORD PASSWORD_REUSE_MAX               UNLIMITED
ABC_PROFILE                    PASSWORD PASSWORD_VERIFY_FUNCTION         NULL
ABC_PROFILE                    PASSWORD PASSWORD_LOCK_TIME               .0006
ABC_PROFILE                    PASSWORD PASSWORD_GRACE_TIME              10

6. 启动数据字典保护

只有SYSDBA才能访问数据字典基础表，普通用户不能查看X$开头的表。

SQL> show parameter O7_DICTIONARY_ACCESSIBILITY

NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY boolean FALSE
SQL>

SQL> alter system set O7_DICTIONARY_ACCESSIBILITY= TRUE scope = spfile;
SQL> shutdown immediate;
SQL> startup;

7. 数据库访问控制

只有信任的IP地址才能经过监听器访问数据库，非信任的客户端会被拒绝, 本机IP地址必定要在信任之列。
一般对应用服务与数据库服务器加入信任列表。

$ vi $ORACLE_HOME/network/admin/sqlnet.ora
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.233.150,192.168.233.151)

#除如下IP地址以外都容许访问。
tcp.excluded_nodes = (IP1,IP2,...)

重启监听便可。

8. 设置空闲链接时间

$ vi $ORACLE_HOME/network/admin/sqlnet.ora
SQLNET.EXPIRE_TIME = 60

说明：客户端链接后在设置的时间内没有任何操做，客户端会自动断开。

9. 操做系统层面限制DBA用户组的用户数量

10. 操做系统层面添加iptables防火墙，限制访问数据库IP

下面是oracle rac 11g集群iptables防火墙示例, 一些数据库安全扫描工具扫不出打了补丁的数据库，只能采起防火墙来禁。

iptables -P OUTPUT ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPTiptables -A INPUT -p tcp -s 192.168.10.10/32 --dport 1521 -j ACCEPTiptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -s 192.168.0.6/32 -i eth0 -j ACCEPTiptables -A INPUT -s 192.168.0.7/32 -i eth0 -j ACCEPTiptables -A INPUT -s 192.168.0.8/32 -i eth0 -j ACCEPTiptables -A INPUT -s 192.168.0.9/32 -i eth0 -j ACCEPTiptables -A INPUT -s 192.168.0.10/32 -i eth0 -j ACCEPTiptables -A INPUT -i eth1 -j ACCEPTiptables -A INPUT -i eth2 -j ACCEPTiptables -A INPUT -s 10.10.10.0/24 -d 230.0.1.0 -j ACCEPTiptables -A INPUT -s 10.10.10.0/24 -d 224.0.0.251 -j ACCEPTiptables -A INPUT -s 20.20.20.0/24 -d 230.0.1.0 -j ACCEPTiptables -A INPUT -s 20.20.20.0/24 -d 224.0.0.251 -j ACCEPTiptables -A INPUT -i eth0 -d 230.0.1.0 -j ACCEPTiptables -A INPUT -i eth0 -d 224.0.0.251 -j ACCEPTiptables -A INPUT -p all -m state --state INVALID,NEW -j DROPiptables -P INPUT DROP