数据库安全之Oracle数据库安全加固( 二 )
3、修改默认端口
在不影响应用的前提下,更改默认的1521端口
1. 查看当前监听的状态
lsnrctl status
2. 停止监听
lsnrctl stop
3. 修改监听文件的端口号,在目录$ORACLE_HOME/network/admin 下修改 listener.ora 文件
(例如把端口号改为11251)
LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST=LOCALHOST)(PORT=11251))
)
)
4. 修改初始化参数 local_listener
SQL>ALTER SYSTEM SET local_listener="(address=(protocol=tcp)(host=localhost)(port=11251))";
SQL>quit
5. 重启监听器
lsnrctl start
6. 修改完毕,使用新端口登录测试
netstat -tunap | grep 11251
lsnrctl status
客户端连接测试
4、限制远程管理
限制对监听器的远程管理,并 设 置监 听器 管理 口令(8i)
1.进入监听设置状态
lsnrctl
2.设置当前监听器
set current_listener <listenername>
3.设置密码
change_password
set password
4.保存设置
save_config
5.检查 listener.ora 文件
看是否有一条 PASSWORDS_<listenername>的记录
5、外部程序调用监听配置的删除
1.打开 listener.ora 文件,删除以下配置文件:
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC0))
)
(SID_DESC =
(SID_NAME = PLSExtProc)
(ORACLE_HOME = C:oracleora81)
(PROGRAM = extproc)
)
2. 重启监听
3. 查看监听状态
注意:
默认安装时,会安装一个 PL/SQL 外部程序(ExtProc)条目在 listener.ora中,是 oracle 为调
用外部程序默认配置的监听,它的名字通常是 ExtProc 或PLSExtProc,但一般不会使用它,可以直接从 listener.ora中将这项移除,因为对 ExtProc 已经有多种攻击手段了,在不使用外部程序时,oracle 也是建议删除的 。
口令策略加固
1、 设置口令复杂度要求
1.检查 profile 文件设置
SQL>SELECT * FROM dba_profiles;
2.创建口令复杂度函数
SQL>@$ORACLE_HOME/rdbms/admin/utlpwdmg.sql
3.设置口令复杂度
要求长度不小于4位字符串,而且是字母和数字或特殊字符的混合,用户
名和口令禁止相同
SQL>ALTER PROFILE "DEFAULT" LIMIT password_verify_function verify_function;
注意: Oracle 口令复杂度包含的特殊字符不是任意特殊字符都可以,一般以下划线、 $、 *等符号为主
2、设置口令使用期限要求到期后自动更改
1.检查 profile 文件设置
SQL>SELECT * FROM dba_profiles;
2.设置 profile 密码策略,建议使用控制台设置
SQL>ALTER PROFILE "DEFAULT" LIMIT password_life_time 30;
3、设置策略对口令尝试次数进行限制
1.检查 profile 文件设置
SQL>SELECT * FROM dba_profiles;
2.设置 profile 密码策略
SQL>ALTER PROFILE "DEFAULT" LIMIT failed_login_attempts 5 password_lock_time 1;
建议:设置口令尝试次数为5 次,登录超过有效次数锁定时间为 1天 。缺陷是万一有恶意访问,在输入多次错误密码后此用户就被锁定导致不可用 。
审计策略加固
1、审计配置
启用相应的审计功能,配置审核策略使系统能够审核数据库管理和安全相关操作的信息,
建议对 SYSDBA审计操作
1.启用审计功能
SQL>ALTER SYSTEM SET audit_trail=os scope=spfile;
2.启用对 sysdba 的活动审计
SQL>ALTER SYSTEM SET audit_sys_operations=true;
3.重启数据库,使设置生效
若是 windows 平台,audit trail 会记录在 windows 的事件管理器中,
若是linux/unix 平台则会记录在audit_file_dest 参数指定文件中;
注意:审计功能对数据库的性能和磁盘空间要求较高;需要重启数据库,应提前通知业务部门
2、配置日志策略
配置日志策略,确保数据库的归档日志文件、在线日志文件、网络日志、跟踪文件、警告日志记录功能是否启用并且有效实施
1. 配置归档模式,将数据库正常关闭
SQL>SHUTDOWN IMMEDIATE
启动到 MOUNT 模式
SQL>STARTUP MOUNT
SQL>ALTER DATABASE ARCHIVELOG
SQL>ALTER DATABASE OPEN
2.配置归档日志的名称格式
ALTER SYSTEM SET log_archvie_format='%S_%T_%R.log' scope=spfile
3.配置归档位置
ALTER SYSTEM SET log_archive_dest_1='location=oracleoradataarchive1' scope=spfile
3、配置日志管理策略
配置日志管理策略、保证日志存放的地点的安全可靠
推荐阅读
- 黄茶珍品金镶玉,黄茶之极品
- 小孩散瞳后多久能看书
- 黄茶品种之君山银针图片欣赏,君山银针的绝妙之处
- 茶百科之北港毛尖,霍山毛尖属什么茶
- 最可怕的搜索引擎 运维必备之——Shodan
- 电影|日本国民女神新垣结衣奇幻片《幽灵之书》抢先看:官方晒惊险海报
- 购车指导之德系,美系,日系,国产车的优缺点,你知道多少?
- 以家人之名结局子秋和谁在一起了 以家人之名凌霄看的书叫什么名字
- 湖南岳阳黄茶是茶叶的中庸之道,黄茶的种类全介绍
- 茶道之中韩日的区别,黄茶和黑茶的区别