【愚公系列】2024年03月 《网络安全应急管理与技术实践》 028-网络安全应急技术与实践(数据库层-Oracle 主机检查演
🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
🚀前言
Oracle主机检查演练是一种测试和评估Oracle主机系统的安全性和健壮性的过程。演练旨在验证Oracle主机系统在面对攻击、故障和异常情况时的响应能力和恢复能力。
在Oracle主机检查演练中,安全专家和系统管理员通常会模拟各种攻击场景和故障情况,以评估Oracle主机系统的弱点和漏洞,并采取相应的措施来增强系统的安全性和稳定性。
演练的具体步骤包括制定计划、准备环境、运行演练、监测和记录演练过程、评估结果,并撰写演练报告。通过这些步骤,组织可以发现和修复Oracle主机系统中的潜在问题,并提高系统的安全性和可靠性。
Oracle主机检查演练对于提升系统的安全性、应对潜在风险和应急响应能力非常重要。定期进行演练可以帮助组织预防和应对各种安全威胁,并提前发现和解决系统中的漏洞和问题。
🚀一、Oracle 主机检查演练
🔎1.身份鉴别
【检查重点】
检查身份验证机制和策略。
【检查方法】
- 检查是否采用用户名、密码等身份认证方式。
- 检查是否启用密码函数PASSWORD_VERIFY_FUNCTION,并在$ORACLE _HOME\DB_I\RDBMS\ADMIN\UTLPWDMG.SQL 文件中进行相关配置。
- 管理员账号口令至少为8位,两种组合。普通用户账号口令至少为6位,由非纯数字或字母组成,不能使用容易猜解的口令。
- password_Ilock_Itime=1
- password_Ireuse_Imax #应为5以上
- password_Ilife_Itime= 180
- 口令加密。
- Sqlnet.ora 文件中的ORA_IENCRYPT_ILOGIN参数应设为 TRUE,保证客户端口令加密。
- init.ora 文件中的 dblink_Iencrypt_Ilong参数应设为 TRUE,保证服务器口令加密。
- 在 SQL*Plus 输入如下命令。
- select * from dba_profiles where resource_name = ‘FAILED LOGIN ATTEMPTS’,查看相关参数是否符合以下要求。
- 应限制非法登录失败次数。FAILED_LOGIN_ATTEMPTS参数值应为5以内的数字。
- 如果采取远程管理,应采用加密的方式,例如,应通过Oracle Net Manager(网络管理器)工具实现(可选)。
- select * from dba_profiles where resource_name = ‘FAILED LOGIN ATTEMPTS’,查看相关参数是否符合以下要求。
- 为操作系统和数据库系统的不同用户分配不同的用户名,禁止多人共用一个管理员账号。
- 应采用两种组合的认证方式,如用户名密码+生物技术等。
- 禁止使用oracle 或 administrator 作为数据库主机管理员账号。
🔎2.访问控制
【检查重点】
- 检查数据库系统的权限管理策略。
- 检查数据库重要的表是否添加敏感标签。
【检查方法】
3. 数据库系统的宿主操作系统除提供数据库服务外,不得提供其他网络服务,如 WWW、FTP、DNS 等。
4. 数据库安装、数据文件、备份等目录的权限应小于755,Windows 系统中 everyone 用户没有写权限。
5. 关闭 XDB 服务、禁止 PL/SQL 外部过程。
6. 去掉 Oracle 数据库中的 ExtProc 或 PLSExtProc 模块。
7. 禁止 SYS、SYSTEM、CTXSYS、WmSYS、SYSMAN 以外的 DBA 权限账号。应用系统账户按照最小权限的原则,不应具有 DBA 权限。
8. 在宿主操作系统中设置本地数据库专用账号,并赋予该账户除运行各种数据库服务外的最低权限。
9. 实现操作系统和数据库系统特权用户的权限分离,定期检查和调整用户访问数据库的权限(注意:此项要求仅针对非 Windows 系统)。
10. 限制默认账户的访问权限修改 SYS、SYSTEM、SYSMAN 等账户的默认口令。
11. 数据库 O7_DICTIONARY_ACCESSIBILITY 参数值应为 FALSE.
12. 禁用 TEST、HR、SCOTT、OE、PM、SH 等默认用户。
13. 删除无用账号。
14. 数据库重要的表添加敏感标签。
🔎3.安全审计
【检查重点】
- 检查是否采用下列方式中的一种:开启数据库审计或通过第三方审计管理数据库,包括 PL/SQL 工具。
- 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
【检查方法】
3. 采用下列方式中的一种:
a) 开启数据库审计。
b) 通过第三方审计管理数据库,包括PL/SOL 工具。
4. 审计日志应包括登录日志记录和数据库操作日志(可选)。
5. 日志审计策略应为操作系统级别。
6. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
7. 查看是否有审计日志报表(第三方)。
8. 查看普通用户是否能关闭审计进程。
9. 日志保存要求大于6个月。对于 Linux/UNIX 平台,日志文件权限应设置为小于644;对于 Windows 平台,要求其他用户没有写权限。
🔎4.剩余信息保护
【检查重点】
检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录。
【检查方法】
检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录在重新使用前会不会格式化。
🔎5.入侵防范
【检查重点】
使用 Oracle 提供的命令行客户端工具 SQLPLUS 检查数据库版本
【检查方法】
(1)使用SQLPLUS查看数据库是否为最新版本。
(2)数据库扫描工具扫描是否有补丁漏洞。
🚀感谢:给读者的一封信
亲爱的读者,
我在这篇文章中投入了大量的心血和时间,希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验,我相信这些信息对您非常有帮助。
如果您觉得这篇文章对您有所帮助,我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担,但它会对我继续创作高质量的内容产生积极的影响。
我之所以写这篇文章,是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命,也鼓励我花更多的时间和精力创作更多有价值的内容。
如果您愿意支持我的创作,请扫描下面二维码,您的支持将不胜感激。同时,如果您有任何反馈或建议,也欢迎与我分享。
再次感谢您的阅读和支持!
最诚挚的问候, “愚公搬代码”
- 点赞
- 收藏
- 关注作者
评论(0)