收藏
下载资源

信息安全_风险评估_检查流程_数据库安全评估检查表_Ora

上传人:ni****g 文档编号:499487297 上传时间:2023-05-06 格式:DOC 页数:19 大小:263KB
返回 下载 相关 举报
信息安全_风险评估_检查流程_数据库安全评估检查表_Ora_第1页
第1页 / 共19页
信息安全_风险评估_检查流程_数据库安全评估检查表_Ora_第2页
第2页 / 共19页
信息安全_风险评估_检查流程_数据库安全评估检查表_Ora_第3页
第3页 / 共19页
信息安全_风险评估_检查流程_数据库安全评估检查表_Ora_第4页
第4页 / 共19页
信息安全_风险评估_检查流程_数据库安全评估检查表_Ora_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《信息安全_风险评估_检查流程_数据库安全评估检查表_Ora》由会员分享,可在线阅读,更多相关《信息安全_风险评估_检查流程_数据库安全评估检查表_Ora(19页珍藏版)》请在金锄头文库上搜索。

1、Oracle Security Checklist2010年1月目录目录21.Oracle 9i Release 2中的XML数据库存在缓存溢出漏洞32.Oracle 9i Database Server oracle程序本地缓存区溢出漏洞33.锁定部分缺省的用户帐号34.保护Oracle 数据字典 (DATA DICTIONARY)45.最小权限使用规则46.有效地加强访问控制47.数据库监听程序端口58.防止对Oracle监听程序的非授权管理59.加密网络通信610.Oracle Redirect功能存在拒绝服务攻击611.关闭Extproc功能712.数据库操作审计713.DBSNMP用

2、户引起的安全隐患814.密码策略815.密码文件管理 (REMOTE_LOGIN_PASSWORD_FILE)916.数据文件目录权限917.Oracle用户隶属于DBA组918.$ORACLE_HOME/bin目录权限1019.SQL脚本中用户名密码使用规则1020.UNIX系统安全考虑1021.oracle帐户远程管理方式1122.EXP/CONNECT/SQLPLUS命令1123.DBA权限1124.SYSDBA和SYSOPER权限1225.监控表空间的利用率1226.限制网络访问1227.安装Oracle安全补丁13Appendix14A.Oracle Database Server

3、EXTPROC 远程缓存区溢出漏洞14B.Oracle Net Services Link查询请求缓存区溢出漏洞15C.Oracle Database Server TO_TIMESTAMP_TZ远程缓存区溢出漏洞17D.Oracle TZ_OFFSET远程缓存区溢出漏洞17E.Oracle Database Server ORACLE.EXE远程缓存区溢出漏洞18F.Oracle Listener 不正规调试命令可导致拒绝服务攻击191. Oracle 9i Release 2中的XML数据库存在缓存溢出漏洞项目名称Oracle 9i Release 2中的XML数据库存在缓存溢出漏洞项目描

4、述Oracle报告了Oracle 9i Release 2中的XML数据库功能存在远程缓冲区溢出。这些漏洞可以通过HTTP或者FTP服务触发,这些服务默认开启,如果攻击者拥有数据库合法的帐户信息,即使这些服务关闭也能利用这些漏洞。漏洞主要是XDB HTTP对用户提交的超长用户名或密码缺少正确检查。还有是XDB FTP服务对用户提交的用户名、TEST、UNLOCAK等命令缺少充分长度检查。操作步骤1打开Oracle 9i数据库服务配置文件INIT.ORA ;2 在dispatchers参数行,找到如下字符串:(SERVICE=XDB) 。检测结果解决办法1打开Oracle 9i数据库服务配置文件

5、INIT.ORA ;2 在dispatchers参数行,删除如下字符串:(SERVICE=XDB) ;3再重新启动数据库。2. Oracle 9i Database Server oracle程序本地缓存区溢出漏洞项目名称Oracle 9i Database Server oracle程序本地缓存区溢出漏洞项目描述Oracle Database Server oracle程序存在本地缓冲区溢出。在传递命令行参数给oracle程序时缺少充分的边界缓冲区检查,可导致以oracle进程权限在系统上执行任意代码。操作步骤检查oracle程序的权限,是否存在o+x?检测结果解决办法chmod o-x o

6、racle3. 锁定部分缺省的用户帐号项目名称锁定不需要的用户帐号项目描述为了安全考虑,建议锁定Oracle当中不需要的用户;或者,对改变缺省用户的密码。操作步骤SELECT username, password, account_status FROM dba_users;检测结果解决办法ALTER USER user PASSWORD EXPIRE;4. 保护Oracle 数据字典 (DATA DICTIONARY)项目名称保护oracle数据字典项目描述防止其他用户(具有ANY system privileges)使用数据字典时,具有相同的ANY权限。操作步骤查看init.ora参数:O

7、7_DICTIONARY_ACCESSIBILITY=检测结果解决办法1Oracle 9i:缺省值是False2Oracle 8i:缺省值是True,需要改成False3如果用户必须需要该权限,赋予其权限SELECT ANY DICTIONARY5. 最小权限使用规则项目名称最小权限使用规则项目描述1 Grant necessary privileges only2 Revoke unnecessary privileges from PUBLIC操作步骤1 检查数据库用户的使用权限(包括SYSTEM和OBJECT权限)2 从PUBLIC用户组撤销所有不需要的权限和角色(如:UTL_SMTP、

8、UTL_TCP、UTL_HTTP、UTL_FILE、DBMS_RANDON、DBMS_SQL、DBMS_SYS_SQL、DBMS_BACKUP_RESTORE)检测结果解决办法撤销不需要的权限和角色REVOKE EXECUTE ON SYS.UTL_HTTP FROM PUBLIC;REVOKE EXECUTE ON UTL_FILE FROM PUBLIC;REVOKE EXECUTE ON UTL_SMTP FROM PUBLIC;REVOKE SELECT ON ALL_USERS FROM PUBLIC;6. 有效地加强访问控制项目名称有效地加强访问控制项目描述1 正确识别客户端用户2

9、 限制操作系统用户数量操作步骤1 检查init.ora文件中REMOTE_OS_AUTHENT值2 限制操作系统用户数量(包括管理员权限、root权限、普通用户权限等)检测结果解决办法1 设置REMOTE_OS_AUTHENT值为FALSE2 删除不必要的操作系统帐号7. 数据库监听程序端口项目名称数据库监听程序端口项目描述数据库监听程序缺省使用1521端口,容易被远程攻击者利用并对数据库进行恶意攻击。操作步骤检查数据库的监听程序端口检测结果解决办法建议改变缺省的数据库监听端口8. 防止对Oracle监听程序的非授权管理项目名称防止对Oracle监听程序的非授权管理项目描述通过设置listen

10、er.ora文件中的参数ADMIN_RESTRICTIONS_listener_name来防止远程对监听程序的非授权管理。操作步骤检查listener.ora文件中的参数ADMIN_RESTRICTIONS_listener_name=是否为ON检测结果解决办法在listener.ora文件中,设置ADMIN_RESTRICTIONS_(listener_name)=ON。Non-encrypted Password Protection:/* Add PASSWORDS_listener entry to listener.oraPASSWORDS_listener=(mypassword)

11、$lsnrctllsnrctl SET current_listener your_listener_namelsnrctl SET password mypasswordlsnrctl STOP or STARTEncrypted Password Protection;/* There should not be any PASSWORDS_listener entry */$lsnrctllsnrctl SET current_listener your_listener_namelsnrctl SET save_config_on_stop ONlsnrctl CHANGE_PASSW

12、ORDlsnrctl SET password /* since it is encrypted you can not say “SET password newpassword” */lsnrctl STOP or STARTForgot your password:/* Comment the following lines in the listener.ora file */PASSWORDS_listener = 77DE8751BF7645921SAVE_CONFIG_ON_STOP_LISTERNER=ON9. 加密网络通信项目名称加密网络通信(Encrypt network

13、traffic)项目描述利用Oracle Advanced Security在客户端,数据库和应用服务器之间加密网络通信。只有Oracle Database Enterprise Edition支持使用Oracle Advanced Security。Oracle采用的是TNS协议传输数据,在传输过程中不能保证其中的数据被窃听乃至修改,因此最好对传输进行加密。由于美国加密算法的出口限制,Oracle在国际版中提供以下加密算法:DES、DES40、RC4_40、RC4_56。操作步骤1 使用Oracle Advanced Security;2 或者,检查sqlnet.ora文件。检测结果解决办法

14、使用Oracle Advanced Security工具或者直接修改sqlnet.ora文件。10. Oracle Redirect功能存在拒绝服务攻击项目名称Oracle Redirect功能存在拒绝服务攻击项目描述由于Oracle的TNS监听器有许多安全漏洞,其中的一些漏洞甚至能让入侵者得到操作系统的超级用户权限或者修改数据库中的数据,因此在打好补丁的同时,对连接IP的限制也能做到防患于未然。操作步骤检查PROTOCOL.ORA(SQLNET.ORA)文件中是否存在如下内容:tcp.validnode_checking=YEStcp.excluded_nodes=list of IP addresstcp.invited_nodes=list of IP address检测结果解决办法在PROTOCOL.ORA(SQLNET.ORA)文件中添加如下内容:tcp.validnode_checking=YEStcp.excluded_nodes=list of IP addresstcp.invited_nodes=list of IP a

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号