Oracle数据库checklist
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 1 页 编号 分类 检查选项 风险等级 结果 状态 现状描述(可截图) 备注
评估报告
1
版本和补 系统已安装最新安全补丁 丁
III
2.1
锁定或备数据库超级管理员(SYSDBA)权限的用户远 程管理登录
III
2.3
禁用 SYSDBA 角色的自动登录
I
账号管理 和授权 2.4 使用数据库角色(ROLE)来管理对象的权限。 II
评估报告
适用版本
Oracle 9i
Oracle 9i
Oracle 9i
1.cat $ORACLE_HOME/network/admin/sqlnet.ora |grep SQLNET.AUTHENTICATION_SERVICES 2.检查SQLNET.AUTHENTICATION_SERVICES的值
II III
第 4 页 评估操作示例
1.以sqlplus '/as sysdba'登陆到sqlplus环境中 2.Select * from v$version; 3.检查输出结果: 9.2.0.8 10.1.0.5 10.2.0.4 11.1.0.7 1.以sqlplus '/as sysdba'登陆到sqlplus环境中 2.执行查询:SELECT username, password, account_status FROM dba_users; 3.分析返回结果 1. 以Oracle用户登陆到系统中。 2. 以sqlplus '/as sysdba'登陆到sqlplus环境中。 3. Show parameter REMOTE_LOGIN_PASSWORDFILE是否设 置为NONE或。
第 2 页
评估报告
2.5
对用户的属性进行控制,包括密码策略、资源限制等 。
III
2.6
启用数据字典保护,只有SYSDBA用户才能访问数据字 典基础表
II
符合
3.1
3.2 3.3
3.4 口令 3.5
对于采用静态口令进行认证的数据库,口令长度至少 6位,并包括数字、小写字母、大写字母和特殊符号4 类中至少2类 对于采用静态口令认证技术的数据库,账户口令的生 存期不长于90天。 对于采用静态口令认证技术的数据库,应配置数据 库,使用户不能重复使用最近5次(含5次)内已使用 的口令。 对于采用静态口令认证技术的数据库,应配置当用户 连续认证失败次数超过6次(不含6次),锁定该用户 使用的账号。
评估报告
Oracle 9i
Oracle 9i
Oracle 9i Oracle 9i
Oracle 9i
Oracle 9i
第 6 页
评估报告
访谈管理员
Oracle 9i
访谈管理员 1. 检查初始化参数audit_trail是否设置。 2. 检查dba_audit_trail视图中或 $ORACLE_BASE/admin/adump目录下是否有数据。 检查$ORACLE_HOME/network/admin/listener.ora文件中 是否设置参数PASSWORDS_LISTENER。 检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是 否设置参数tcp.validnode_checking和 tcp.invited_nodes。 在sqlnet.ora中设置下面参数: SQLNET.EXPIRE_TIME=10 通过/etc/passwd文件来检查是否有其它用户在DBA组中。 三种方法选择一种: 1.访谈 2.通过网络层捕获的数据库传输包为加密包。 3.检查$ORACLE_HOME/network/admin/sqlnet.ora文件中 是否设置sqlnet.encryption等参数。
评估报告
III
日志 4.3 4.4
III III
5.1 5.2
为数据库监听器(LISTENER)的关闭和启动设置密码 。 设置只有信任的IP地址才能通过监听器访问数据库。
III
II 5.3 其它 5.4 5.5 使用Oracle提供的高级安全选件来加密客户端与数据 库之间或中间件与数据库之间的网络传输数据。 II 在某些应用环境下可设置数据库连接超时,比如数据 库将自动断开超过10分钟的空闲远程连接。 限制在DBA组中的操作系统用户数量,通常DBA组中只 有Oracle安装用户。
Oracle 9i Oracle 9i
Oracle 9i
Oracle 9i
Oracle 9i Oracle 9i
Oracle 9i
windows
1. 以DBA用户登陆到sqlplus中。 2. 通过查询dba_role_privs、dba_sys_privs和 dba_tab_privs等视图来检查是否使用ROLE来管理对象权 限。 对应用用户不要赋予DBA Role或不必要的权限。
Oracle 9i
第 5 页
1. 以DBA用户登陆到sqlplus中。 2. 查询视图dba_profiles和dba_usres来检查profile是 否创建。 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数 O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。 Show parameter O7_DICTIONARY_ACCESSIBILITY profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复 杂度 为用户建相关profile,指定PASSWORD_GRACE_TIME为90天 用户建profile,指定PASSWORD_REUSE_MAX为5 Oracle 9i 建profile,指定FAILED_LOGIN_ATTEMPTS为6 Oracle 9i 尝试登录以检查下列用户口令: ANONYMOUS、CTXSYS、DBSNMP、DIP、DMSYS、EXFSYS、HR 、LBACSYS、MDDATA、MDSYS、MGMT_VIEW、ODM、ODM_MTR 、OE、OLAPSYS、ORDPLUGINS、ORDSYS、OUTLN、PM、QS、 QS_ADM、QS_CB、QS_CBADM、QS_CS、QS_ES、QS_OS、 QS_WS、RMAN、SCOTT、SH、SI_INFORMTN_SCHEMA、SYS、 SYSMAN、SYSTEM、TSMSYS、WK_TEST、WKPROXY、WKSYS、 WMSYS、XDB 访谈管理员
III III III
II
更改数据库默认帐号的密码
IV
4.1
数据库应配置日志功能,对用户登录进行记录,记录 内容包括用户登录使用的账号、登录是否成功、登录 时间以及远程登录时用户使用的IP地址。
III
日志
第 3 页
4.2 数据库应配置日志功能,记录用户对数据库的操作, 包括但不限于以下内容:账号创建、删除和权限修改 、口令修改、读取和修改数据库配置、读取和修改业 务用户的话费数据、身份数据、涉及通信隐私数据。 记录需要包含用户账号,操作时间,操作内容以及操 作结果。 数据库应配置日志功能,记录对与数据库相关的安全 事件。 根据业务要求制定数据库审计策略。
评估报告
1
版本和补 系统已安装最新安全补丁 丁
III
2.1
锁定或备数据库超级管理员(SYSDBA)权限的用户远 程管理登录
III
2.3
禁用 SYSDBA 角色的自动登录
I
账号管理 和授权 2.4 使用数据库角色(ROLE)来管理对象的权限。 II
评估报告
适用版本
Oracle 9i
Oracle 9i
Oracle 9i
1.cat $ORACLE_HOME/network/admin/sqlnet.ora |grep SQLNET.AUTHENTICATION_SERVICES 2.检查SQLNET.AUTHENTICATION_SERVICES的值
II III
第 4 页 评估操作示例
1.以sqlplus '/as sysdba'登陆到sqlplus环境中 2.Select * from v$version; 3.检查输出结果: 9.2.0.8 10.1.0.5 10.2.0.4 11.1.0.7 1.以sqlplus '/as sysdba'登陆到sqlplus环境中 2.执行查询:SELECT username, password, account_status FROM dba_users; 3.分析返回结果 1. 以Oracle用户登陆到系统中。 2. 以sqlplus '/as sysdba'登陆到sqlplus环境中。 3. Show parameter REMOTE_LOGIN_PASSWORDFILE是否设 置为NONE或。
第 2 页
评估报告
2.5
对用户的属性进行控制,包括密码策略、资源限制等 。
III
2.6
启用数据字典保护,只有SYSDBA用户才能访问数据字 典基础表
II
符合
3.1
3.2 3.3
3.4 口令 3.5
对于采用静态口令进行认证的数据库,口令长度至少 6位,并包括数字、小写字母、大写字母和特殊符号4 类中至少2类 对于采用静态口令认证技术的数据库,账户口令的生 存期不长于90天。 对于采用静态口令认证技术的数据库,应配置数据 库,使用户不能重复使用最近5次(含5次)内已使用 的口令。 对于采用静态口令认证技术的数据库,应配置当用户 连续认证失败次数超过6次(不含6次),锁定该用户 使用的账号。
评估报告
Oracle 9i
Oracle 9i
Oracle 9i Oracle 9i
Oracle 9i
Oracle 9i
第 6 页
评估报告
访谈管理员
Oracle 9i
访谈管理员 1. 检查初始化参数audit_trail是否设置。 2. 检查dba_audit_trail视图中或 $ORACLE_BASE/admin/adump目录下是否有数据。 检查$ORACLE_HOME/network/admin/listener.ora文件中 是否设置参数PASSWORDS_LISTENER。 检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是 否设置参数tcp.validnode_checking和 tcp.invited_nodes。 在sqlnet.ora中设置下面参数: SQLNET.EXPIRE_TIME=10 通过/etc/passwd文件来检查是否有其它用户在DBA组中。 三种方法选择一种: 1.访谈 2.通过网络层捕获的数据库传输包为加密包。 3.检查$ORACLE_HOME/network/admin/sqlnet.ora文件中 是否设置sqlnet.encryption等参数。
评估报告
III
日志 4.3 4.4
III III
5.1 5.2
为数据库监听器(LISTENER)的关闭和启动设置密码 。 设置只有信任的IP地址才能通过监听器访问数据库。
III
II 5.3 其它 5.4 5.5 使用Oracle提供的高级安全选件来加密客户端与数据 库之间或中间件与数据库之间的网络传输数据。 II 在某些应用环境下可设置数据库连接超时,比如数据 库将自动断开超过10分钟的空闲远程连接。 限制在DBA组中的操作系统用户数量,通常DBA组中只 有Oracle安装用户。
Oracle 9i Oracle 9i
Oracle 9i
Oracle 9i
Oracle 9i Oracle 9i
Oracle 9i
windows
1. 以DBA用户登陆到sqlplus中。 2. 通过查询dba_role_privs、dba_sys_privs和 dba_tab_privs等视图来检查是否使用ROLE来管理对象权 限。 对应用用户不要赋予DBA Role或不必要的权限。
Oracle 9i
第 5 页
1. 以DBA用户登陆到sqlplus中。 2. 查询视图dba_profiles和dba_usres来检查profile是 否创建。 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数 O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。 Show parameter O7_DICTIONARY_ACCESSIBILITY profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复 杂度 为用户建相关profile,指定PASSWORD_GRACE_TIME为90天 用户建profile,指定PASSWORD_REUSE_MAX为5 Oracle 9i 建profile,指定FAILED_LOGIN_ATTEMPTS为6 Oracle 9i 尝试登录以检查下列用户口令: ANONYMOUS、CTXSYS、DBSNMP、DIP、DMSYS、EXFSYS、HR 、LBACSYS、MDDATA、MDSYS、MGMT_VIEW、ODM、ODM_MTR 、OE、OLAPSYS、ORDPLUGINS、ORDSYS、OUTLN、PM、QS、 QS_ADM、QS_CB、QS_CBADM、QS_CS、QS_ES、QS_OS、 QS_WS、RMAN、SCOTT、SH、SI_INFORMTN_SCHEMA、SYS、 SYSMAN、SYSTEM、TSMSYS、WK_TEST、WKPROXY、WKSYS、 WMSYS、XDB 访谈管理员
III III III
II
更改数据库默认帐号的密码
IV
4.1
数据库应配置日志功能,对用户登录进行记录,记录 内容包括用户登录使用的账号、登录是否成功、登录 时间以及远程登录时用户使用的IP地址。
III
日志
第 3 页
4.2 数据库应配置日志功能,记录用户对数据库的操作, 包括但不限于以下内容:账号创建、删除和权限修改 、口令修改、读取和修改数据库配置、读取和修改业 务用户的话费数据、身份数据、涉及通信隐私数据。 记录需要包含用户账号,操作时间,操作内容以及操 作结果。 数据库应配置日志功能,记录对与数据库相关的安全 事件。 根据业务要求制定数据库审计策略。