最近打算整理一下資料，寫幾篇關于數據庫安全的文章。特此記錄，方便查閱。

操作流程

帳號權限加固

1、限制應用用戶在數據庫中的權限，盡量保證最小化避免授予了 DBA 權限

1.查看權限
SQL>SELECT * FROM dba_sys_privs WHERE grantee=<username>; -- 系統權限
SQL>SELECT * FROM dba_tab_privs WHERE grantee=<username>; -- 對象權限
SQL>SELECT * FROM dba_role_privs WHERE grantee=<username>; --賦予的角色

2.收回相應權限(例如收回 select any table 權限)
SQL>REVOKE select any table FROM <username>;

3.收回應用用戶的 DBA 角色
SQL>REVOKE dba FROM <username>;

注意：避免分配權限過大或過小

2、撤消 public 角色的程序包執行權限

1.查看 public 角色的程序包執行權限
SQL>SELECT table_name FROM dba_tab_privs WHERE grantee='PUBLIC' and
privilege='EXECUTE';

2.撤銷 public 角色的程序包執行權限（例如撤銷在 utl_file 包上的執行權限）
SQL>REVOKE execute ON utl_file FROM public;
Oracle 官方建議撤銷 public 角色對 utl_file、 utl_http、 utl_tcp、 utl_smtp、dbms_random 程序包的執行權限。

3、修改系統帳戶的默認口令

（特別是管理員角色類帳戶）鎖定所有不需要的用戶

1.修改 sys 和 system 口令
SQL>ALTER USER sys IDENTIFIED BY <newpasswd>;
SQL>ALTER USER system IDENTIFIED BY <newpasswd>;

2.鎖定不需要的用戶
SQL>ALTER USER <username> ACCOUNT LOCK;

4、刪除系統中多余的自建帳號

1.查看用戶自建賬號
SQL>SELECT username FROM all_users;

2.刪除或者禁用多余自建賬號
SQL>DROP USER <username> CASCADE;

5、為所有應用用戶配置強口令

1.根據設置的口令策略修改弱口令
SQL>ALTER USER <username> IDENTIFIED BY <newpasswd>;

數據訪問控制加固

1、嚴格限制庫文件的訪問權限

確保除屬主和 root 外，其他用戶對庫文件沒有寫權限

1.用操作系統命令查看庫文件訪問權限（以 RedHat linux 為例）
ls -l $ORACLE_BASE/oradata

2.用操作系統命令刪除庫文件組和其他用戶的寫權限
chmod 640 $ORACLE_BASE/oradata/*

3.windows 系統同理（方法不同）

2、配置$ORACLE_HOME/bin

設置$ORACLE_HOME/bin 其下所有程序的訪問權限或其他安全控制機制

1.用操作系統命令查看 bin 目錄下所有程序文件的訪問權限（以 RedHat Linux 為例）
ls -l $ORACLE_HOME/bin

2.用操作系統命令刪除組和其他用戶的寫權限
chmod 640 $ORACLE_HOME/bin/*

注意：修改權限可能對部分應用系統造成影響，需要聯系業務部門和應用系統廠商做好相關的測試工作

3、停止或禁用與承載業務無關的服務或組件

在不影響業務系統正常運行情況下，停止或禁用與承載業務無關的服務或組件

1.用操作系統命令查看有無與業務無關的服務或組件
2.用操作系統命令停止或禁用與業務無關的服務或組件

4、清除數據庫無用的東西

1.查看數據庫中表或視圖等對象
SQL>SELECT * FROM dba_tables;
SQL>SELECT * FROM dba_views;

2.刪除數據庫中存在的無用的、測試的、廢棄的表或視圖
SQL>DROP TABLE <tablename>;
SQL>DROP VIEW <viewname>;

注意：需要和業務部門確認

網絡訪問控制加固

1、IP限制

設置 TNS 登錄的 IP 限制，僅允許最少的必要的 IP 地址可連接 TNS 監聽器

1.在目錄$ORACLE_HOME/network/admin 下修改 sqlnet.ora 文件實現 TNS 登錄 IP 限制,

設置下列配置信息：
tcp.validnode_checking=yes
#允許訪問的 ip
tcp.invited_nodes =(ip1,ip2,……)
#不允許訪問的 ip
tcp.excluded_nodes=(ip1,ip2,……)
2.修改 sqlnet.ora 后，重新啟動 listener 服務可能對部分應用系統

2、關閉遠程操作系統認證

1.在目錄$ORACLE_HOME/network/admin 下修改 sqlnet.ora 文件,設置下列配置信息:
sqlnet.authentication_services=(NONE)

2.修改參數 Remote_login_passwordfile 為 EXCLUSIVE 或 SHARED
SQL>ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;

3.修改參數 REMOTE_OS_AUTHENT
SQL>ALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE SCOPE=SPFILE;

4.重啟數據庫和監聽使修改生效

注意：需要重啟服務，應提前通知業務部門

3、修改默認端口

在不影響應用的前提下，更改默認的1521端口

1. 查看當前監聽的狀態
lsnrctl status
2. 停止監聽
lsnrctl stop

3. 修改監聽文件的端口號，在目錄$ORACLE_HOME/network/admin 下修改 listener.ora 文件
（例如把端口號改為11251）
LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST=LOCALHOST)(PORT=11251))
)
)
4. 修改初始化參數 local_listener
SQL>ALTER SYSTEM SET local_listener="(address=(protocol=tcp)(host=localhost)(port=11251))";

SQL>quit

5. 重啟監聽器
lsnrctl start

6. 修改完畢，使用新端口登錄測試
netstat -tunap | grep 11251
lsnrctl status
客戶端連接測試

4、限制遠程管理

限制對監聽器的遠程管理，并設置監聽器管理口令（8i）

1.進入監聽設置狀態
lsnrctl

2.設置當前監聽器
set current_listener <listenername>

3.設置密碼

change_password
set password

4.保存設置
save_config

5.檢查 listener.ora 文件

看是否有一條 PASSWORDS_<listenername>的記錄

5、外部程序調用監聽配置的刪除

1.打開 listener.ora 文件，刪除以下配置文件:
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC0))
)
(SID_DESC =
(SID_NAME = PLSExtProc)
(ORACLE_HOME = C:oracleora81)
(PROGRAM = extproc)
)
2. 重啟監聽

3. 查看監聽狀態

注意：

默認安裝時，會安裝一個 PL/SQL 外部程序（ExtProc）條目在 listener.ora中，是 oracle 為調
用外部程序默認配置的監聽，它的名字通常是 ExtProc 或PLSExtProc，但一般不會使用它，可以直接從 listener.ora中將這項移除，因為對 ExtProc 已經有多種攻擊手段了，在不使用外部程序時，oracle 也是建議刪除的。

口令策略加固

1、設置口令復雜度要求

1.檢查 profile 文件設置
SQL>SELECT * FROM dba_profiles;

2.創建口令復雜度函數
SQL>@$ORACLE_HOME/rdbms/admin/utlpwdmg.sql

3.設置口令復雜度

要求長度不小于4位字符串，而且是字母和數字或特殊字符的混合，用戶
名和口令禁止相同
SQL>ALTER PROFILE "DEFAULT" LIMIT password_verify_function verify_function;

注意： Oracle 口令復雜度包含的特殊字符不是任意特殊字符都可以，一般以下劃線、 $、 *等符號為主

2、設置口令使用期限要求到期后自動更改

1.檢查 profile 文件設置
SQL>SELECT * FROM dba_profiles;

2.設置 profile 密碼策略，建議使用控制臺設置
SQL>ALTER PROFILE "DEFAULT" LIMIT password_life_time 30;

3、設置策略對口令嘗試次數進行限制

1.檢查 profile 文件設置
SQL>SELECT * FROM dba_profiles;

2.設置 profile 密碼策略
SQL>ALTER PROFILE "DEFAULT" LIMIT failed_login_attempts 5 password_lock_time 1;

建議：設置口令嘗試次數為5 次，登錄超過有效次數鎖定時間為 1天。缺陷是萬一有惡意訪問，在輸入多次錯誤密碼后此用戶就被鎖定導致不可用。

審計策略加固

1、審計配置

啟用相應的審計功能，配置審核策略使系統能夠審核數據庫管理和安全相關操作的信息，

建議對 SYSDBA審計操作

1.啟用審計功能
SQL>ALTER SYSTEM SET audit_trail=os scope=spfile;

2.啟用對 sysdba 的活動審計
SQL>ALTER SYSTEM SET audit_sys_operations=true;

3.重啟數據庫，使設置生效

若是 windows 平臺,audit trail 會記錄在 windows 的事件管理器中,

若是linux/unix 平臺則會記錄在audit_file_dest 參數指定文件中；

注意：審計功能對數據庫的性能和磁盤空間要求較高；需要重啟數據庫，應提前通知業務部門

2、配置日志策略

配置日志策略，確保數據庫的歸檔日志文件、在線日志文件、網絡日志、跟蹤文件、警告日志記錄功能是否啟用并且有效實施

1. 配置歸檔模式，將數據庫正常關閉
SQL>SHUTDOWN IMMEDIATE
啟動到 MOUNT 模式
SQL>STARTUP MOUNT
SQL>ALTER DATABASE ARCHIVELOG
SQL>ALTER DATABASE OPEN

2.配置歸檔日志的名稱格式
ALTER SYSTEM SET log_archvie_format='%S_%T_%R.log' scope=spfile

3.配置歸檔位置
ALTER SYSTEM SET log_archive_dest_1='location=oracleoradataarchive1' scope=spfile

3、配置日志管理策略

配置日志管理策略、保證日志存放的地點的安全可靠

1. 配置多個歸檔位置，包括本地歸檔位置和遠程歸檔位置
ALTER SYSTEM SET log_archive_dest_2='location=oracleoradataarchive2' scope=spfile
ALTER SYSTEM SET log_archive_dest_3='service=standby' scope=spfile
配置遠程歸檔位置時， SERVICE 選項需要制定遠程數據庫的網絡服務名（在 tnsnames.Ora 文
件中配置）