91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ORACLE數據庫安全基礎知識

發布時間:2020-05-27 13:02:34 來源:網絡 閱讀:1921 作者:朱wei 欄目:關系型數據庫

一、數據字典保護

啟用數據字典保護,只有SYSDBA用戶才能訪問數據字典基礎表

使用show parameters命令來檢查參數O7_DICTIONARY_ACCESSIBILITY是否為FALSE

 

二、賬號安全管理

1、根據用戶的業務需要,配置最小權限

使用以下SQL查詢具有DBA權限的用戶

select grantee as usern from dba_role_privswhere granted_role ='DBA' intersect select username from dba_users;

使用以下SQL查詢具有DBA權限的角色

select grantee as usern from dba_role_privswhere granted_role ='DBA' minus (select grantee as usern from dba_role_privswhere granted_role ='DBA' intersect select username from dba_users);

2、使用數據庫角色(ROLE)來管理對象的權限

使用select * from dba_role_privsdba_tab_privs; select* from user_role_privs;查看帳號角色;確定帳號權限劃分是否明確。

 

3、對用戶的屬性進行控制,包括密碼策略、資源限制等。

為不同的業務用戶建立不同的profile,設置數據庫口令復雜度,有效期及鎖定配置等,Profile參數解釋如下:

A.對數據庫資源做限制

SESSIONS_PER_USER   每個用戶名所允許的并行會話數

CPU_PER_SESSION     一個會話一共可以使用的CPU時間,單位是百分之一秒

CPU_PER_CALL      一次SQL調用(解析、執行和獲取)允許使用的CPU時間

CONNECT_TIME      限制會話連接時間,單位是分鐘

IDLE_TIME         允許空閑會話的時間,單位是分鐘

LOGICAL_READS_PER_SESSION  限制會話對數據塊的讀取,單位是塊

LOGICAL_READS_PER_CALL    限制SQL調用對數據塊的讀取,單位是塊

COMPOSITE_LIMIT          指定一個會話的總的資源消耗,以serviceunits單位表示

PRIVATE_SGA    限制會話在SGAShared Pool中私有空間的分配

 

B.對密碼做限制

FAILED_LOGIN_ATTEMPTS 帳戶被鎖定之前可以錯誤嘗試的次數

PASSWORD_LIFE_TIME    密碼可以被使用的天數,單位是天,默認值180

PASSWORD_REUSE_TIME  密碼可重用的間隔時間(結合PASSWORD_REUSE_MAX)

PASSWORD_REUSE_MAX   密碼的最大改變次數(結合PASSWORD_REUSE_TIME)

PASSWORD_LOCK_TIME    超過錯誤嘗試次數后,用戶被鎖定的天數,默認1

PASSWORD_GRACE_TIME   當密碼過期之后還有多少天可以使用原密碼

PASSWORD_VERIFY_FUNCTION  密碼復雜度設置,至少8個字符大寫字母+小寫字母+數字+特殊符號

 

具體用法舉例:

alter profile profile_name limitPASSWORD_VERIFY_FUNCTION verify_function_11g; --設置數據庫口令復雜度
alter profile profile_name limit FAILED_LOGIN_ATTEMPTS5 --設置數據庫口令輸錯5次被鎖


4、根據業務限制具備數據庫超級管理員(SYSDBA)權限的用戶遠程登錄

使用show parameters命令來檢查參數REMOTE_LOGIN_PASSWORDFILE是否為NONE。(搭建DG,RMAN備份等都需要管理員權限,根據業務設置)

 

5、限制在DBA組中的操作系統用戶數量

限制除oracle,grid之外的其它操作系統用戶在dba組中,以防止其用戶串改或刪除oracle軟件文件內容。

 

三、可信IP地址訪問控制

通過數據庫所在操作系統或防火墻限制,只有信任的IP地址才能通過監聽器訪問數據庫,可通過設置$ORACLE_HOME/network/admin/sqlnet.ora文件中參數tcp.validnode_checkingtcp.invited_nodes實現限制,需重啟監聽。

 

四、默認端口及實例名修改
對于默認的1521端口,應該修改掉默認的監聽端口;對于 Oracle TNS Listener SID 可以被猜測,不應該使用安裝Oracle時默認的SID(ORCL),應該設置復雜度較高的SID。


五、記錄操作事件

1、創建觸發器對用戶登錄進行日志記錄

建表LOGIN_CHECK_LOG

create table login_check_log(session_idnumber(8,0) not null,login_on_time date,user_in_db varchar(50), ip_addressvarchar(20));

建觸發器LOGIN_CHECK

create trigger login_check
after logon on database
begin  
 insert into login_check_log(session_id,login_on_time,user_in_db,ip_address)select audsid,sysdate,sys.login_user,sys_context('userenv','ip_address') from v$session where audsid=userenv('sessionid'); 
 end;
/

還可以通過創建數據庫連接使用相關的觸發器,比如:限制只能IPxxx的客戶端使用PL/SQL連接數據庫

 

2、數據庫應配置日志功能,記錄用戶對數據庫的操作

通過記錄操作日志,記錄需要包含用戶帳號,操作時間,操作內容以及操作結果等。比如開啟監聽器日志。

LSNRCTL>set log_directory  $ORACLE_HOME/diag/tnslsnr/<hostname>/listener/alert/
LSNRCTL>set log_file log.xml
LSNRCTL>set log_status on
LSNRCTL>save_config


3、根據業務要求制定數據庫審計策略

使用show parameter命令來檢查參數audit_trail是否設置,具有參數如下:

none:是默認值,禁用數據庫審計。  

os:啟用審計,并將數據庫審計記錄定向到 OS審計記錄。  

db:啟用審計,并將數據庫審計記錄定向到數據庫的 SYS.AUD$ 11g此參數默認為 db  

db_extended:啟用審計,并將數據庫所有審計記錄定向的到數據庫 SYS.AUD$表中,包含 SYS.AUD$表的 SQLBIND 列和 SQLTEXTCLOB 列。這樣審計的結果里面除了連接信息還包含了當時執行的具體語句。  

xml:啟用數據庫審計,并將所有的記錄寫到XML 格式的 OS 系統文件中。

xml_extended:啟用數據庫審計,輸出審計記錄的所有列,包括 sqltext sqlbind

 

有興趣的童鞋還可以了解一下ORACLE的安全審計產品:Oracle Audit Vault and Database Firewall AVDF

 

六、數據庫漏洞管理

使用主流漏洞掃描工具進行掃描,對于中高危漏洞,應及時修復,檢查系統的詳細版本號,及時更新ORACLE發布的中高危補丁;對于暫無修復手段的漏洞,應通過其他技術手段進行風險規避。具體請參考:國內外權威的CVE漏洞庫。

CVE中文漏洞信息庫-SCAP中文社區:http://cve.scap.org.cn/

CVE - Common Vulnerabilities and Exposures(CVE) http://cve.mitre.org/

 


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

白山市| 郸城县| 遂溪县| 基隆市| 克拉玛依市| 叙永县| 会泽县| 固原市| 泰兴市| 巴林右旗| 东乡县| 临漳县| 南和县| 平利县| 梁山县| 廉江市| 莱芜市| 正镶白旗| 峨眉山市| 营口市| 九江市| 新闻| 抚顺市| 保靖县| 北流市| 英山县| 陇川县| 甘德县| 藁城市| 乌审旗| 会昌县| 大宁县| 山东| 吴旗县| 永登县| 玛曲县| 红河县| 佛山市| 大丰市| 清镇市| 滨海县|