編號

ELK-Oracle-01-01-01

名稱

為不同的管理員分配不同的賬號

實施目的

應按照用戶分配賬號，避免不同用戶間共享賬號,提高安全性。

問題影響

賬號混淆，權限不明確，存在用戶越權使用的可能。

系統當前狀態

select ? * ? from ? all_users; ?

select ? * ? from ? dba_users;

記錄用戶列表

實施步驟

1、參考配置操作

create user abc1 identified by password1;

create user abc2 identified by password2;

建立role，并給role授權，把role賦給不同的用戶

1. 補充操作說明

1、abc1和abc2是兩個不同的賬號名稱，可根據不同用戶，取不同的名稱；

回退方案

刪除用戶：例如創建了一個用戶 A，要刪除它可以這樣做

connect sys/密碼 as sysdba;

drop user A cascade;//就這樣用戶就被刪除了

判斷依據

標記用戶用途，定期建立用戶列表，比較是否有非法用戶

實施風險

高

重要等級

★★★

備注

編號

ELK-Oracle-01-01-02

名稱

刪除或鎖定無效賬號

實施目的

刪除或鎖定無效的賬號，減少系統安全隱患。

問題影響

允許非法利用系統默認賬號

系統當前狀態

select ? * ? from ? all_users; ?

select ? * ? from ? dba_users;

記錄用戶列表

實施步驟

1、參考配置操作

alter user username lock;//鎖定用戶

drop user username cascade;//刪除用戶

回退方案

刪除新增加的帳戶

判斷依據

首先鎖定不需要的用戶

在經過一段時間后，確認該用戶對業務確無影響的情況下，可以刪除

實施風險

高

重要等級

★★★

備注

編號

ELK-Oracle-01-01-03

名稱

限制超級管理員遠程登錄

實施目的

限制具備數據庫超級管理員（SYSDBA）權限的用戶遠程登錄。。

問題影響

允許數據庫超級管理員遠程非法登陸

系統當前狀態

查看spfile,sqlnet.ora內容

實施步驟

1、參考配置操作

在spfile中設置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠程登陸。在sqlnet.ora中設置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用 SYSDBA 角色的自動登錄。

回退方案

還原spfile,sqlnet.ora文件配置

判斷依據

判定條件

1. 不能通過Sql*Net遠程以SYSDBA用戶連接到數據庫。

2. 在數據庫主機上以sqlplus ‘/as sysdba’連接到數據庫需要輸入口令。

檢測操作

1. 以Oracle用戶登陸到系統中。

2. 以sqlplus ‘/as sysdba’登陸到sqlplus環境中。

3. 使用show parameter命令來檢查參數REMOTE_LOGIN_PASSWORDFILE是否設置為NONE。

Show parameter REMOTE_LOGIN_PASSWORDFILE

4. 檢查在

$ORACLE_HOME/network/admin/sqlnet.ora文件中參數SQLNET.AUTHENTICATION_SERVICES是否被設置成NONE。

實施風險

高

重要等級

★★★

備注

編號

ELK-Oracle-01-01-04

名稱

權限最小化

實施目的

在數據庫權限配置能力內，根據用戶的業務需要，配置其所需的最小權限。

問題影響

賬號權限越大,對系統的威脅性越高

系統當前狀態

select * from user_sys_privs;

select * from user_role_privs;

select * from user_tab_privs;

記錄用戶擁有權限

實施步驟

1. 參考配置操作

grant　權限　to username;

revoke?權限　from username;

1. 補充操作說明

用第一條命令給用戶賦相應的最小權限

用第二條命令收回用戶多余的權限

回退方案

還原添加或刪除的權限

判斷依據

業務測試正常

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-01-01-05

名稱

數據庫角色

實施目的

使用數據庫角色（ROLE）來管理對象的權限。

問題影響

賬號管理混亂

系統當前狀態

select * from dba_role_privs;
select * from user_role_privs;

記錄用戶擁有的role

實施步驟

一．創建角色,修改角色

1.創建角色，不指定密碼：

create role testrole；

2．創建角色，指定密碼：

create role testrole identified by passwd;

3．修改角色：

alter role testrole identified by passwd;

4. 給角色授予權限。

Grant select on Table_name to testrole;

把角色賦予用戶：（特別說明，授予角色不是實時的。如下：）

grant testrole to User_Name;

二、起用角色：給用戶賦予角色，角色并不會立即起作用。

1．角色不能立即起作用。必須下次斷開此次連接，下次連接才能起作用。

2.或者執行命令：有密碼的角色set role testrole ??identified by passwd 立即生效；

3．無密碼的角色：set role testrole；

回退方案

刪除相應的Role

revoke ? role_name?? from ? user_name

判斷依據

對應用用戶不要賦予DBA Role或不必要的權限

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-01-01-06

名稱

用戶profile

實施目的

對用戶的屬性進行控制，包括密碼策略、資源限制等。

問題影響

賬號安全性低.

系統當前狀態

SELECT?profile FROM dba_users WHERE username=’user_name’;

記錄用戶賦予的profile

實施步驟

可通過下面類似命令來創建profile，并把它賦予一個用戶

SQL> show parameter resource_limit

SQL> alter system set resource_limit=true;

CREATE PROFILE profile_name?LIMIT ??

??FAILED_LOGIN_ATTEMPTS 6

???PASSWORD_LIFE_TIME 60

???PASSWORD_REUSE_TIME 60

???PASSWORD_REUSE_MAX 5

???PASSWORD_VERIFY_FUNCTION verify_function

???PASSWORD_LOCK_TIME 1/24

???PASSWORD_GRACE_TIME 90;

ALTER USER user_name?PROFILE profile_name;

回退方案

alter user dinya profile default;

恢復默認

判斷依據

1. 可通過設置profile來限制數據庫賬戶口令的復雜程度，口令生存周期和賬戶的鎖定方式等。

2. 可通過設置profile來限制數據庫賬戶的CPU資源占用。

4、檢測操作

1. 以DBA用戶登陸到sqlplus中。

2. 查詢視圖dba_profiles和dba_usres來檢查profile是否創建。

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-01-01-07

名稱

數據字典保護

實施目的

啟用數據字典保護，只有SYSDBA用戶才能訪問數據字典基礎表。

問題影響

數據庫安全性低.

系統當前狀態

Show parameter O7_DICTIONARY_ACCESSIBILITY

記錄當前狀態

實施步驟

通過設置下面初始化參數來限制只有SYSDBA權限的用戶才能訪問數據字典。

alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile;?

回退方案

修改O7_DICTIONARY_ACCESSIBILITY為原來屬性

判斷依據

以普通用戶登陸到數據庫，不能查看X$開頭的表，比如：

select * from sys.?x$ksppi;

檢測操作

1. 以Oracle用戶登陸到系統中。

2. 以sqlplus ‘/as sysdba’登陸到sqlplus環境中。

3. 使用show parameter命令來檢查參數O7_DICTIONARY_ACCESSIBILITY是否設置為FALSE。

Show

parameter O7_DICTIONARY_ACCESSIBILITY

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-01-01-08

名稱

檢查DBA組用戶

實施目的

限制在DBA組中的操作系統用戶數量，通常DBA組中只有Oracle安裝用戶。

問題影響

影響組用戶管理

系統當前狀態

Cat /etc/passwd

實施步驟

參考配置操作

通過/etc/passwd文件來檢查是否有其它用戶在DBA組中。

刪除用戶：#userdel username;

鎖定用戶：

1) 修改/etc/shadow文件，用戶名后加*LK*

2) 將/etc/passwd文件中的shell域設置成/bin/false

3) #passwd -l username

只有具備超級用戶權限的使用者方可使用，#passwd -l username鎖定用戶,用#passwd –d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。

回退方案

還原/etc/passwd文件

判斷依據

判定條件

無其它用戶屬于DBA組。

檢測操作

通過/etc/passwd文件來檢查是否有其它用戶在DBA組中。

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-01-02-01

名稱

缺省密碼長度復雜度限制

實施目的

對于采用靜態口令進行認證的數據庫，口令長度至少6位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。

問題影響

增加密碼被暴力破解的成功率

系統當前狀態

SELECT profile FROM dba_users WHERE username=’user_name’;

記錄用戶賦予的profile

實施步驟

1、參考配置操作

為用戶建profile，調整PASSWORD_VERIFY_FUNCTION，指定密碼復雜度

示例:

SQL>CREATE OR REPLACE FUNCTION my_password_verify ??(username VARCHAR2 ??,password VARCHAR2 ??,old_password VARCHAR2 ??) RETURN BOOLEAN IS

????????2 ?BEGIN

????????3 ?IF LENGTH(password) < 6 THEN

????????4 ?raise_application_error(-20001,''Password must be at least 6 characters long'');

????????5 ?END IF;

????????6??RETURN(TRUE);

????????7??END;

SQL> create profile TEST_PROFILE limit
????? 2??? password_verify_function MY_PASSWORD_VERIFY;

回退方案

alter user user_name profile default;

判斷依據

1. 判定條件

修改密碼為不符合要求的密碼，將失敗

1. 檢測操作

alter user user_name?identified by passwd;將失敗

實施風險

低

重要等級

★★★

備注

編號

ELK-Oracle-01-02-02

名稱

缺省密碼生存周期限制

實施目的

對于采用靜態口令認證技術的設備，帳戶口令的生存期不長于90天，減少口令安全隱患。

問題影響

密碼被非法利用，并且難以管理

系統當前狀態

SELECT profile FROM dba_users WHERE username=’user_name’;

記錄用戶賦予的profile

實施步驟

1. 參考配置操作

為用戶建相關profile，指定PASSWORD_GRACE_TIME為90天

1. 補充操作說明

在90天內，需要修改密碼

回退方案

alter user user_name profile default;

判斷依據

1. 判定條件

到期不修改密碼，密碼將會失效。連接數據庫將不會成功

1. 檢測操作

connect username/password報錯

實施風險

低

重要等級

★★★

備注

編號

ELK-Oracle-01-02-03

名稱

密碼重復使用限制

實施目的

對于采用靜態口令認證技術的設備，應配置設備，使用戶不能重復使用最近5次（含5次）內已使用的口令。

問題影響

密碼破解的幾率增加

系統當前狀態

SELECT profile FROM dba_users WHERE username=’user_name’;

記錄用戶賦予的profile

實施步驟

1. 參考配置操作

為用戶建profile,指定PASSWORD_REUSE_MAX為５

1. 補充操作說明

當前使用的密碼，必需在密碼修改５次后才能再次被使用

回退方案

alter user user_name profile default;

判斷依據

1. 判定條件

重用修改５次內的密碼，將不能成功

1. 檢測操作

alter user username identified?by password1;如果password1在５次修改密碼內被使用，該操作將不能成功

實施風險

低

重要等級

★

備注

編號

ELK-Oracle-01-02-04

名稱

密碼重試限制

實施目的

對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過6次（不含6次），鎖定該用戶使用的賬號。

問題影響

允許暴力破解密碼

系統當前狀態

SELECT profile FROM dba_users WHERE username=’user_name’;

記錄用戶賦予的profile

實施步驟

1. 參考配置操作

為用戶建profile，指定FAILED_LOGIN_ATTEMPTS為６

1. 補充操作說明

如果連續６次連接該用戶不成功，用戶將被鎖定

回退方案

alter user user_name profile default;

判斷依據

1. 判定條件

連續６次用錯誤的密碼連接用戶，第７次時用戶將被鎖定

1. 檢測操作

connect username/password，連續６次失敗，用戶被鎖定

實施風險

中

重要等級

★

備注

編號

ELK-Oracle-01-02-05

名稱

修改默認密碼

實施目的

更改數據庫默認帳號的密碼。

問題影響

可能被破解密碼

系統當前狀態

詢問管理員賬號密碼,并記錄

實施步驟

參考配置操作

1. 可通過下面命令來更改默認用戶的密碼：

ALTER USER user_name IDENTIFIED BY passwd;

2. 下面是默認用戶密碼列表：

CTXSYS CTXSYS

DBSNMP DBSNMP

LBACSYS LBACSYSMDDATA MDDATA

MDSYS ?MDSYS

DMSYS ?DMSYS

OLAPSYS MANAGER

ORDPLUGINS ORDPLUGINS

ORDSYS ORDSYS

OUTLN OUTLN

SI_INFORMTN_SCHEMA SI_INFORMTN_SCHEMA

SYS CHANGE_ON_INSTALL

SYSMAN CHANGE_ON_INSTALL

SYSTEM MANAGER

回退方案

ALTER USER user_name IDENTIFIED BY passwd;

判斷依據

判定條件

不能以用戶名作為密碼或使用默認密碼的賬戶登陸到數據庫。

檢測操作

1. 以DBA用戶登陸到sqlplus中。

2. 檢查數據庫默認賬戶是否使用了用戶名作為密碼或默認密碼。

實施風險

中

重要等級

★

備注

編號

ELK-Oracle-02-01-01

名稱

啟用日志記錄功能

實施目的

數據庫應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。

問題影響

無法對用戶的登陸進行日志記錄

系統當前狀態

實施步驟

create table login_log ???????????????????????-- ???????登入登出信息表

(

????session_id int not null, ???????-- ???????sessionid

????login_on_time ?date, ???????????????-- ???????登入時間 ??????

????login_off_time ?date, ???????????????-- ???????登出時間 ???????

????user_in_db ???????varchar2(30), ???????-- ???????登入的db user

????machine ???varchar2(20), ??????????-- ???????機器名

????ip_address varchar2(20), ???????-- ???????ip地址

????run_program varchar2(20) ???-- ???????以何程序登入

);

create or replace trigger login_on_info ???????????????-- ?記錄登入信息的觸發器

after logon on database

Begin

insert into login_log(session_id,login_on_time,login_of

f_time,user_in_db,machine,ip_address,run_program)

select AUDSID,sysdate,null,sys.login_user,machine,SYS_CO

NTEXT('USERENV','IP_ADDRESS'),program

????from v$session where AUDSID = USERENV('SESSIONID'); ?--當前SESSION

END;

create or replace trigger login_off_info ???????-- ???????記錄登出信息的觸發器

before logoff on database

Begin

????????update login_log set ?login_off_time = sysdate

????????where session_id = USERENV('SESSIONID'); ???????--當前SESSION ???????

exception

????when others then

????????????null;

END;

回退方案

ALTER TRIGGER 名稱 DISABLE;
drop trigger 名稱;

判斷依據

判定條件

登錄測試，檢查相關信息是否被記錄

補充說明

觸發器與AUDIT會有相應資源開消，請檢查系統資源是否充足。特別是RAC環境，資源消耗較大。

實施風險

低

重要等級

★★★

備注

編號

ELK-Oracle-02-01-02

名稱

記錄用戶對設備的操作

實施目的

數據庫應配置日志功能，記錄用戶對數據庫的操作

問題影響

無法對用戶的操作進行日志記錄

系統當前狀態

實施步驟

create table employees_log(

????????who varchar2(30),

????????action varchar2(20));

????????when date);

create ??or ??replace ??trigger ??biud_employ_copy ??

????????before ??insert ??or ??update ??or ??delete ??

????????on ??employees_copy ??

??declare ??

????????l_action ??employees_log.action%type; ??

??begin ??

??????if ??inserting ??then ????

????????????l_action:='insert'; ??

??????elsif ??updating ??then ??

????????????l_action:='delete'; ??

????elsif ??deleting ??then ??

????????????l_action:='update'; ??

????else ????

????????????raise_application_error(-2001,'you ??shoule ??never ??ever ??get ??this ??error.'); ??

????end ??if; ??

???????insert ??into ??employees_log(who,action,when) ??

????????values(user,l_action,sysdate); ??

??end ??biud_employ_copy;

回退方案

ALTER TRIGGER 名稱 DISABLE;
drop trigger 名稱;

判斷依據

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-02-01-03

名稱

記錄系統安全事件

實施目的

通過設置讓系統記錄安全事件，方便管理員分析

問題影響

無法記錄系統的各種安全事件

系統當前狀態

實施步驟

參考配置操作

create table jax_event_table(eventname

?varchar2(30),time date);

create?trigger tr_startup

after startup ondatabase

begin

?insertinto jax_event_table

?values(ora_sysevent,sysdate);

end;

create?trigger tr_shutdown

beforeshutdownondatabase

begin

?insertinto jax_event_table

?values(ora_sysevent,sysdate);

end;

回退方案

ALTER TRIGGER 名稱 DISABLE;
drop trigger 名稱;

判斷依據

記錄系統安全事件

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-02-01-04

名稱

數據庫審計策略

實施目的

根據業務要求制定數據庫審計策略

問題影響

日志被刪除后無法恢復。

系統當前狀態

show?parameter?audit_sys_operations;

show parameter audit_trail;

查看返回值,并記錄.

實施步驟

1、參考配置操作

SQL> alter system set audit_sys_operations=TRUE scope=spfile;

SQL> alter system set audit_trail=db scope=spfile;

SQL> show parameter audit;

SQL> audit all on table_name;

回退方案

noaudit all on table_name;

恢復audit_sys_operations,?audit_trail屬性

判斷依據

判定條件

對審計的對象進行一次數據庫操作，檢查操作是否被記錄。

檢測操作

1. 檢查初始化參數audit_trail是否設置。

2. 檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數據。

補充說明

AUDIT會有相應資源開消，請檢查系統資源是否充足。特別是RAC環境，資源消耗較大

實施風險

低

重要等級

★

備注

編號

ELK-Oracle-03-01-01

名稱

信任IP連接監聽器

實施目的

設置只有信任的IP地址才能通過監聽器訪問數據庫。

問題影響

數據庫不安全IP訪問

系統當前狀態

查看$ORACLE_HOME/network/admin/sqlnet.ora

實施步驟

參考配置操作

只需在服務器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設置以下行：

tcp.validnode_checking = yes

tcp.invited_nodes = (ip1,ip2…)

回退方案

還原$ORACLE_HOME/network/admin/sqlnet.ora文件

判斷依據

判定條件

在非信任的客戶端以數據庫賬戶登陸被提示拒絕。

檢測操作

檢查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否設置參數tcp.validnode_checking和tcp.invited_nodes。

實施風險

高

重要等級

★★

備注

編號

ELK-Oracle-03-01-02

名稱

網絡數據傳輸安全

實施目的

使用Oracle提供的高級安全選件來加密客戶端與數據庫之間或中間件與數據庫之間的網絡傳輸數據

問題影響

數據傳輸的不安全性增加

系統當前狀態

記錄檢查

$ORACLE_HOME/network/admin/sqlnet.ora文件

實施步驟

參考配置操作

1. 在Oracle Net Manager中選擇“Oracle Advanced Security”。

2. 然后選擇Encryption。

3. 選擇Client或Server選項。

4. 選擇加密類型。

5. 輸入加密種子（可選）。

6. 選擇加密算法（可選）。

7. 保存網絡配置，sqlnet.ora被更新。

回退方案

還原$ORACLE_HOME/network/admin/sqlnet.ora文件

判斷依據

判定條件

通過網絡層捕獲的數據庫傳輸包為加密包。

檢測操作

檢查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否設置sqlnet.encryption等參數

實施風險

高

重要等級

★

備注

編號

ELK-Oracle-04-01-01

名稱

監聽器密碼

實施目的

為數據庫監聽器（LISTENER）的關閉和啟動設置密碼。

問題影響

增加數據庫安全隱患

系統當前狀態

查看$ORACLE_HOME/network/admin/listener.ora文件中參數PASSWORDS_LISTENER值

實施步驟

參考配置操作

$ lsnrctl

LSNRCTL> change_password

Old password: <OldPassword> Not displayed

New password: <NewPassword> Not displayed

Reenter new password: <NewPassword> Not displayed

Connecting?to

?(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(H

OST=prolin1)(PORT=1521)(IP=FIRST)))

Password changed for LISTENER

The command completed successfully

LSNRCTL> save_config

回退方案

set password

取消密碼

判斷依據

判定條件

使用lsnrctl start或lsnrctl stop命令起停listener需要密碼

檢測操作

檢查$ORACLE_HOME/network/admin/listener.ora文件中是否設置參數PASSWORDS_LISTENER。

實施風險

高

重要等級

★★

備注

編號

ELK-Oracle-04-01-02

名稱

連接超時限制

實施目的

在某些應用環境下可設置數據庫連接超時，比如數據庫將自動斷開超過10分鐘的空閑遠程連接。

問題影響

空閑遠程連接無法斷開

系統當前狀態

記錄檢查

$ORACLE_HOME/network/admin/sqlnet.ora文件

實施步驟

參考配置操作

在sqlnet.ora中設置下面參數：

SQLNET.EXPIRE_TIME=10

回退方案

還原$ORACLE_HOME/network/admin/sqlnet.ora文件

判斷依據

判定條件

10分鐘以上的無任何操作的空閑數據庫連接被自動斷開

檢測操作

檢查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否設置參數SQLNET.EXPIRE_TIME。

實施風險

高

重要等級

★

備注