1、安全技术文档中国电信集团系统集成有限责任公司 7ORACLE 安全加固手册安装 ORACLE NET8配置 DB SCANNER1. 安装 DB SCANNER软件2. 配置 DB SCANNER(1) 在 DB SCANNER菜单 scanner-configure connection-oracle中选择 Add Server,出现如图信息:Server Name:连接符Protocol:选择 TCP/IP SocketsSID:ORACLE数据库 SIDHostname or IP address:为 ORACLE数据库 IP地址Port Oracle listens on:默认为 15
2、21(2) 选择 scan database-network neighborhood-oracle中安全技术文档中国电信集团系统集成有限责任公司 7oracle.world连接符(3) 点击 Add Database填写 DBA 帐户和密码,选择所制订的策略,Host Account与 Host Password为空ORACLE 版本信息检查当前所有已安装的数据库产品的版本信息Oracle8 至 8.0: cd $ORACLE_HOME/orainst./inspdverOracle 8i 或更高: cd $ORACLE_HOME/installcat unix.rgs8:version n
3、umber1:maintenance release number5:patch release number1:port-specific patch release number补丁1. 数据库补丁安装安全技术文档中国电信集团系统集成有限责任公司 71)由上步操作获取数据库补丁安装情况2)补丁下载ORACLE最新补丁下载地址是:ftp:/upd 3)补丁安装 停止所有与数据库相关的服务 数据库备份 解压补丁文件 插入数据库安装盘,或执行./runInstaller,进入交互式状态在Source 栏选择解压后的补丁文件 products.jar。 详细操作请参照其中的 readme文件数据库
4、运行状态检查数据库当前运行状态1. oracle数据库用户登陆2. 运行命令 sqlplus /nolog3. sql connect /as sysdba4. sqlarchive log list; -显示结果sql archive log list数据库记录模式 无档案模式自动存档 已禁用存档路径 D:OracleOra81RDBMS最旧的联机日志顺序 852当前记录顺序 854默认用户状态及口令更改情况1. oracle数据库用户登陆2. 运行命令 sqlplus /nolog3. sql connect /as sysdba;安全技术文档中国电信集团系统集成有限责任公司 74. sq
5、lselect a.name,a.ctime,a.ptime,b.account_status,b.profile,b.default_tablespace from user$ a,dba_users b where a. name=b.username; -显示结果NAME CTIME PTIME ACCOUT_STATUS PROFILE DEFAULT_TABLESPA- - - - - SYS 12-11月-02 12-11 月-02 OPEN DEFAULT SYSTEMSYSTEM 12-11月-02 12-11 月-02 OPEN DEFAULT TOOLSOUTLN 12-1
6、1月-02 12-11 月-02 OPEN DEFAULT SYSTEMDBSNMP 12-11月-02 12-11 月-02 OPEN DEFAULT SYSTEMSYSMAN 18-4月 -03 18-4 月 -03 OPEN DEFAULT OEM_REPOSITORYORDSYS 12-11月-02 12-11 月-02 OPEN DEFAULT SYSTEMORDPLUGINS 12-11月-02 12-11 月-02 OPEN DEFAULT SYSTEMMDSYS 12-11月-02 12-11 月-02 OPEN DEFAULT SYSTEMSCOTT 12-11月-02 12
7、-11 月-02 OPEN DEFAULT USERS5. 更改用户口令1) alter user 用户名 identified by 新口令;6. 锁定或解锁用户1) alter user 用户名 account lock/unlock;环境配置文件信息1. oracle数据库用户登陆2. 运行命令 sqlplus /nolog3. sql connect /as sysdba4. select profile from dba_profiles;5. 建立/修改 profilecreate/alter profile profile_name limit password_paramete
8、rs:安全技术文档中国电信集团系统集成有限责任公司 7PASSWORD_LIFE_TIME 30 -口令生命期 30 天PASSWORD_GRACE_TIME 3 -口令过期后的缓冲期 3 天PASSWORD_LOCK_TIME 15 -口令过期后锁定 15 天PASSWORD_REUSE_TIME 90 -口令 90 天内不得重用PASSWORD_REUSE_MAX -目前的口令只有被修改 PASSWORD_REUSE_MAX 次后才能被重用FAILED_LOGIN_ATTEMPTS 3 -失败登录次数上限 3 次 Resource_parameters:resource_parameter
9、s:Sessions_per_userCpu_per_sessionCpu_per_callConnect_timeIdle_timeLogical_reads_per_sessionLogical_reads_per_callComposite_limit6. 分配 profile 给用户alter user username_name profile profile_name;数据库网络配置文件1. listener1) 补丁下载:ftp:/oracle- 停止 listener (在业务允许的情况下)$lsnrctlLSNRCTLstatus安全技术文档中国电信集团系统集成有限责任公司
10、7LSNRCTLstop3) 安装 listener安全补丁% cd % sh patch.sh% sh undo_pre.sh 4) 或限制客户端 IP地址对数据库的访问oracle8i在$ORACLE_HOME/network/admin/protocol.ora 中进行如下设置:取消 listener.ora文件中 IPC的设置tcp.validnode_checking = YEStcp.excluded_nodes = (list of IP addresses)tcp.invited_nodes = (list of IP addresses)5) 重启 listener$lsnr
11、ctlLSNRCTLstart6) 设置 listener口令$lsnrctl LSNRCTL change_passwordLSNRCTL set passwordLSNRCTL save_config7) 改变其属性chmod 700 $ORACLE_HOME/network/admin/listener.ora2. sqlnet.ora1) 连接时间设置sqlnet.expire_time = 10 # 应根据用户需求而定2) 改变其属性chmod 700 $ORACLE_HOME/network/admin/sqlnet.ora3. tnsname.ora1) 改变其属性安全技术文档中
12、国电信集团系统集成有限责任公司 7chmod 700 $ORACLE_HOME/network/admin/tnsname.oraDBA或其他帐号的密码写于应用程序或者脚本中1数据库备份脚本1)Veritas netbackup 的脚本2)数据库逻辑备份脚本rc 文件日志管理1. 数据库日志$ORACLE_HOME/network/admin/log$ORACLE_HOME/admin/$ORACLE_SID/*dump2. 数据库归档日志(前提是该数据库运行于归档模式下,判断数据库运行模式)Dbsnmp $lsnrctl dbsnmp_stop -停止服务安装补丁见 readme相关文件。$lsnrctl dbsnmp_start -建议关闭此服务日志存储:$ORACLE_HOME/network/admin/log备注所有的更改操作必须在数据库系统已经进行了备份的前提条件下。
