《Oracle漏洞扫描安全加固》由会员分享,可在线阅读,更多相关《Oracle漏洞扫描安全加固(35页珍藏版)》请在金锄头文库上搜索。
1、关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册适用软件版本Oraclelog、11g适用硬件版本主题关于操作系统和数据库合规检查漏洞的解决方案Oracle数据库分册1、问题描述与原因:Oracle数据库在合规检查时被扫描出漏洞,要求对这些漏洞进行解决。2、 应对措施:对存在漏洞进行定制的安全加固操作。3、执行条件/注意事项:加固前确保服务器、数据库、网管运行均正常。最好重启下服务器、数 据库和网管查看重启后网管是否能运行正常。如果加固前服务器本身有问题, 加固后服务器运行异常会加大排查难度。本解决方案执行完成后,需要重启Oracle数据库来生效某些操作。本解决方案不必完全执行
2、,请根据系统扫描出的漏洞选择对应的漏洞条 目进行操作。如无特殊说明,本文中的执行用户均为oracle4、 操作步骤:漏洞清单(单击可跳转):(注:漏洞名称与配置项信息中的配置项名称对应。)漏洞1检查是否对用户的属性进行控制(5)漏洞2检查是否配置Oracle软件账户的安全策略(2)漏洞3检查是否启用数据字典保护漏洞4检查是否在数据库对象上设置了 VPD和OLS(6)漏洞5检查是否存在dvsys用户dbms macadm对象(14)漏洞6检查是否数据库应配置日志功能(11)漏洞7检查是否记录操作日志(13)漏洞&检查是否记录安全事件日志(7)漏洞9检查是否根据业务要求制定数据库审计策略漏洞10检
3、查是否为监听设置密码漏洞11检查是否限制可以访问数据库的地址(1)漏洞12.检查是否使用加密传输(4)漏洞13. 检查是否设置超时时间(15)漏洞14.检查是否设置DBA组用户数量限制(3)漏洞15. 检查是否删除或者锁定无关帐号漏洞16.检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登 录(10)漏洞17.检查口令强度设置(17)漏洞18.检查帐户口令生存周期(12)漏洞19.检查是否设置记住历史密码次数(8)漏洞20.检查是否配置最大认证失败次数漏洞21检查是否在配置用户所需的最小权限(9)漏洞22.检查是否使用数据库角色(ROLE)来管理对象的权限(16)漏洞23.检查是
4、否更改数据库默认帐号的密码执行Oracle安全加固操作前备份文件:Ibash-gEWdpsoRACLEiHOME/network/admin/nsteneEorayoRACLEiHOME/neiwork|/admin/listener .ora .org|bash-3.2$ cp $ORACLE_HOME/network/admin/sqlnet.ora $ORACLE_HOME/network/ | ladmin/sqlnet .ora.orgIIOracle数据库漏洞的解决方案全部执行完成后,需要重启Oracle实例来生效某些操作。漏洞1.检查是否对用户的属性进行控制类型:Oracle数据
5、库类问题:$QLseiectcount(t:username)iromdba_userswhereprofnenoin(DEFAULT;MONi|toring_profilf);|COUNT(T .USERNAME)| |ii0II解决方案:暂时不处理。漏洞2.检查是否配置Oracle软件账户的安全策略类型:Oracle数据库类问题:略解决方案:暂时不处理漏洞3检查是否启用数据字典保护类型:Oracle数据库类问题:|SQLseiecvaiuefromv$parameterwherenameiike%O7_DTcnoNARY_ACCESsiBiii|Ity%;IIselect value fr
6、om v$parameter where name like %O7_dictionary_accessibiuty% |I*ERROR at line 1:|ora-01034: oracle not availableProcess ID: 0Session ID: 0 Serial number: 0解决方案:在数据库启动的情况下,通过下面的命令检查o7_dictionary_accessibility的参数值:|bash-3.2$sqlplUssystem/oracle|SQL*Plus: Release 10.2.0.4.0 - Production on Thu Jan 9 11:
7、33:56 2014Copyright (c) 1982, 2007, Oracle. All Rights Reserved.iIIConnected to:i Oracle Database log Enterprise Edition Release 10.2.0.4.0 - Productionwith the Partitioning, OLAR Data Mining and Real Application Testing options|SQL show parameter o7_dictionary_accessibility;iiiiInametype value11II|
8、o7_dictionary_accessibiutyboolean falseII|检查出默认的结果是FALSE后,使用下面的命令退出SQL*PLUS:|SQL exitDisconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit |productionWith the Partitioning, OLAR Data Mining and Real Application Testing options11II漏洞4检查是否在数据库对象上设置了 VPD和OLS类型:Oracle数据库类问题
9、:fsQLserectcoUnt(*)ffomv$vpd_p6ricy;| COUNT(*)0解决方案:暂时不处理。漏洞5.检查是否存在dvsys用户dbms_macadm对象类型:Oracle数据库类问题:lSQLseiec丽uni(*)from0ba_userswhereusernamie=DVSYS;| COUNT(*)I0II11II解决方案:暂时不处理。漏洞6检查是否数据库应配置日志功能类型:Oracle数据库类问题:fSQLsereCi CoUni(*) froffiaba_iriggerSiwherelriffi(i:triggefing_eveni) = irim(LOG|ON
10、);| COUNT(*)0I1I解决方案: 暂时不处理。漏洞7检查是否记录操作日志类型:Oracle数据库类问题:|SQLseiecvaiuefromrv$parameteFiWhereiname=audii_traii;select value from v$parameier i where i.name = audi,i_i:raili!*error ai line 1:|ora-01034: ORACLE noi availableProcess id: 0ISession id: 0 Serial number: 0解决方案:暂时不处理。漏洞8检查是否记录安全事件日志类型:Oracl
11、e数据库类问题:$QLseieccouni(*jfrimdba_triggersfWhere而m(ifriggering_eveni)三trim(LOG |ON);I COUNT(*)0I解决方案:暂时不处理。漏洞9检查是否根据业务要求制定数据库审计策略类型:Oracle数据库类问题:|SQLseiecivaiue】romrv$parameieiTWherei:name=audit_iraii; select value from v$parameier i where i.name = audii_i:railii*error at line 1:|ora-01034: ORACLE not
12、 availableprocess id: 0Session id: 0 Serial number: 0解决方案:暂时不处理。漏洞10检查是否为监听设置密码类型:Oracle数据库类问题:IFcaninffWACiooME-fiamesqifieLoraT酰P可#lgrep可呗$find: 0652-081 cannot change directory to /oracle/app/oracle/dbhome_1/sysman |/config/pref:| : The file access permissions do not allow the specified action |$
13、 cat find $ORACLE_HOME -name listener .ora I grep -v #|grep -v 人$find: 0652-081 cannot change directory to v/oracle/app/oracle/dbhome_1/sysman| l/config/pref:II| : The file access permissions do not allow the specified action |SID_LIST_LISTENER 二I (SID_LIST 二II| (SID_DESC =| (SID_NAME = PLSEXtProc)(
14、ORACLE_HOME = /oracle/app/oracle/dbhome_1)I (PROGRAM = extproc)Ii )I| (SID_DESC =| (GLOBAL_DBNAME = minos)(ORACLE_HOME = /oracle/app/oracle/dbhome_l)I(SID_NAME = minos)Iii1 )III)ILISTENER =II (DESCRIPTION_LIST 二III (DESCRIPTION 二| (ADDRESS = (PROTOCOL = TCPMHOST = 100 92255 141)(PORT = 1521)I)I11!)!II|adr_base_listener = /oracie/app/oracieII解决方案:Bash-3.2$ isnrctliiiiiiIlsnrctl forIBM/AIX RISC System/6000: Version 11.2.0.3.0 - Production on 08-JAN-201Il4 15:11:21Copyright (c)
