🏆 作者简介，愚公搬代码
🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。
🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。
🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

Oracle主机检查演练是一种测试和评估Oracle主机系统的安全性和健壮性的过程。演练旨在验证Oracle主机系统在面对攻击、故障和异常情况时的响应能力和恢复能力。

在Oracle主机检查演练中，安全专家和系统管理员通常会模拟各种攻击场景和故障情况，以评估Oracle主机系统的弱点和漏洞，并采取相应的措施来增强系统的安全性和稳定性。

演练的具体步骤包括制定计划、准备环境、运行演练、监测和记录演练过程、评估结果，并撰写演练报告。通过这些步骤，组织可以发现和修复Oracle主机系统中的潜在问题，并提高系统的安全性和可靠性。

Oracle主机检查演练对于提升系统的安全性、应对潜在风险和应急响应能力非常重要。定期进行演练可以帮助组织预防和应对各种安全威胁，并提前发现和解决系统中的漏洞和问题。

🚀一、Oracle 主机检查演练

🔎1.身份鉴别

【检查重点】
检查身份验证机制和策略。

【检查方法】

1. 检查是否采用用户名、密码等身份认证方式。
2. 检查是否启用密码函数PASSWORD_VERIFY_FUNCTION，并在$ORACLE _HOME\DB_I\RDBMS\ADMIN\UTLPWDMG.SQL 文件中进行相关配置。
3. 管理员账号口令至少为8位，两种组合。普通用户账号口令至少为6位，由非纯数字或字母组成，不能使用容易猜解的口令。
   • password_Ilock_Itime=1
   • password_Ireuse_Imax #应为5以上
   • password_Ilife_Itime= 180
4. 口令加密。
   • Sqlnet.ora 文件中的ORA_IENCRYPT_ILOGIN参数应设为 TRUE，保证客户端口令加密。
   • init.ora 文件中的 dblink_Iencrypt_Ilong参数应设为 TRUE，保证服务器口令加密。
5. 在 SQL*Plus 输入如下命令。
   • select * from dba_profiles where resource_name = ‘FAILED LOGIN ATTEMPTS’，查看相关参数是否符合以下要求。
     • 应限制非法登录失败次数。FAILED_LOGIN_ATTEMPTS参数值应为5以内的数字。
     • 如果采取远程管理，应采用加密的方式，例如，应通过Oracle Net Manager(网络管理器)工具实现(可选)。
6. 为操作系统和数据库系统的不同用户分配不同的用户名，禁止多人共用一个管理员账号。
7. 应采用两种组合的认证方式，如用户名密码+生物技术等。
8. 禁止使用oracle 或 administrator 作为数据库主机管理员账号。

🔎2.访问控制

【检查重点】

1. 检查数据库系统的权限管理策略。
2. 检查数据库重要的表是否添加敏感标签。

【检查方法】
3. 数据库系统的宿主操作系统除提供数据库服务外，不得提供其他网络服务，如 WWW、FTP、DNS 等。
4. 数据库安装、数据文件、备份等目录的权限应小于755，Windows 系统中 everyone 用户没有写权限。
5. 关闭 XDB 服务、禁止 PL/SQL 外部过程。
6. 去掉 Oracle 数据库中的 ExtProc 或 PLSExtProc 模块。
7. 禁止 SYS、SYSTEM、CTXSYS、WmSYS、SYSMAN 以外的 DBA 权限账号。应用系统账户按照最小权限的原则，不应具有 DBA 权限。
8. 在宿主操作系统中设置本地数据库专用账号，并赋予该账户除运行各种数据库服务外的最低权限。
9. 实现操作系统和数据库系统特权用户的权限分离，定期检查和调整用户访问数据库的权限（注意:此项要求仅针对非 Windows 系统）。
10. 限制默认账户的访问权限修改 SYS、SYSTEM、SYSMAN 等账户的默认口令。
11. 数据库 O7_DICTIONARY_ACCESSIBILITY 参数值应为 FALSE.
12. 禁用 TEST、HR、SCOTT、OE、PM、SH 等默认用户。
13. 删除无用账号。
14. 数据库重要的表添加敏感标签。

🔎3.安全审计

【检查重点】

1. 检查是否采用下列方式中的一种：开启数据库审计或通过第三方审计管理数据库，包括 PL/SQL 工具。
2. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

【检查方法】
3. 采用下列方式中的一种：
a) 开启数据库审计。
b) 通过第三方审计管理数据库，包括PL/SOL 工具。
4. 审计日志应包括登录日志记录和数据库操作日志（可选）。
5. 日志审计策略应为操作系统级别。
6. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
7. 查看是否有审计日志报表（第三方）。
8. 查看普通用户是否能关闭审计进程。
9. 日志保存要求大于6个月。对于 Linux/UNIX 平台，日志文件权限应设置为小于644；对于 Windows 平台，要求其他用户没有写权限。

🔎4.剩余信息保护

【检查重点】

检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录。

【检查方法】

检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录在重新使用前会不会格式化。

🔎5.入侵防范

【检查重点】

使用 Oracle 提供的命令行客户端工具 SQLPLUS 检查数据库版本

【检查方法】

(1)使用SQLPLUS查看数据库是否为最新版本。

(2)数据库扫描工具扫描是否有补丁漏洞。

🚀感谢：给读者的一封信

亲爱的读者，

我在这篇文章中投入了大量的心血和时间，希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验，我相信这些信息对您非常有帮助。

如果您觉得这篇文章对您有所帮助，我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担，但它会对我继续创作高质量的内容产生积极的影响。

我之所以写这篇文章，是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命，也鼓励我花更多的时间和精力创作更多有价值的内容。

如果您愿意支持我的创作，请扫描下面二维码，您的支持将不胜感激。同时，如果您有任何反馈或建议，也欢迎与我分享。

再次感谢您的阅读和支持！

最诚挚的问候， “愚公搬代码”