《数据库安全基线.docx》由会员分享,可在线阅读,更多相关《数据库安全基线.docx(38页珍藏版)》请在课桌文档上搜索。
1、Oracle数据库安全基线目录1.1.Oracle数据库系统安全基线配置规范错误!未定义书签。1.1.1.LinUX版本错误!未定义书签。1.1.1.1.删除无用帐号错误!未定义书签。1.1.1.2.默认帐号修改口令错误!未定义书签。1.1.1.3.限制数据库SYSDBA帐号错误!未定义书签。1.1.1.4.口令策略错误!未定义书签。1.1.1.5.帐号锁定策略错误!未定义书签。1.1.1.6.用户权限最小化错误!未定义书签。1.1.1.7.public权限错误!未定义书签。1.1.1.8.数据库角色管理错误!未定义书签。1.1.1.9.启用日志审计错误!未定义书签。1.1.1.10. 日志记
2、录及保存错误!未定义书签。1.1.1.11. 日志文件保护错误!未定义书签。1.1.1.12.开启监听器日志错误!未定义书签。1.1.1.13.数据字典保护错误!未定义书签。1.1.1.14.监听器口令错误!未定义书签。1.1.1.15.监听服务连接超时错误!未定义书签。1.1.1.16.监听器管理限制错误!未定义书签。1.1.1.17.禁止远程操作系统认证错误!未定义书签。1.1.1.18.IP访问限制错误I未定义书签。1.1.2.WindoWS版本错误!未定义书签。1.1.2.1.数据库主机管理员帐号错误!未定义书签。1.1.2.2.删除无用帐号错误!未定义书签。1.1.2.3.默认帐号修
3、改口令错误!未定义书签。1.1.2.4.限制数据库SYSDBA帐号错误!未定义书签。1.1.2.5.口令策略错误!未定义书签。1.1.2.6.帐号锁定策略错误!未定义书签。1.1.2.7.用户权限最小化错误!未定义书签。1.1.2.8.PUbIiC权限错误!未定义书签。1.1.2.9.数据库角色管理错误!未定义书签。1.1.2.10. 启用日志审计错误!未定义书签。1.1.2.11. 日志记录及保存错误!未定义书签。1.1.2.12. 开启监听器日志错误!未定义书签。1.1.2.13. 数据字典保护错误!未定义书签。1.1.2.14. 监听器口令错误!未定义书签。1.1.2.15. 监听服务连
4、接超时错误!未定义书签。1.1.2.16.监听器管理限制错误!未定义书签。1.1.2.17. 禁止远程操作系统认证错误!未定义书签。1.1.2.18. IP访问限制错误!未定义书签。1 .数据库安全基线配置规范1. 1.Oracle数据库系统安全基线配置规范1. 1.1.Linux版本1.1.1.1.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一:锁定用户SQLalteruseraccountlock;方法二:删除用户SQLdropusercascade;补充说明:应删除常用账号外的其他帐号,消除潜在危险帐号,可到附录检查项中查看当前开放的所有数
5、据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。1.1.1.2.默认帐号修改口令要求内容修改默认帐户和密码,攻击者可能利用系统帐户默认密码和弱密码侵入系统,危胁系统安全。操作指南修改默认帐户和密码,执行如下命令:SQLalteruserusernameidentifiedbynewpassword;修改密码:SQLalteruser用户名identifiedby新密码;锁定帐号:SQLalteruser用户名accountlock;检测方法Oracle10以内版本查看默认帐户和密码SQLselectusername,passwor
6、d,account_status,profilefromdba_可以获取到用户名,密码散列值,用户状态,策略文件。users;用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCCtxsysctxsys24BB8B06281B4Cmdsysmdsys72979A94BAD2AF80OdmodmC252E8FA117AF049OdnIjntrmtrpwA7A32CD03D3CE8D5ordpluginsordplugins88A2B2C18343IFOOordssordsys7EFA02EC7EA6B86Foutlnoutln43B55E08595C81SCOtt
7、tigerF894844C34402B67wk_proxyunknown3F9FBD883D787341wk_sysunknown79DF7A1BD138CF11wmsyswmsys7C9BA362F8314299xdbchange_on_instal188D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oas_publicoas_public9300C0977D7DC75Ewebsysmanager97282CE3D94E29EIbacsysIbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatpe
8、rfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemasi_informtn_schema84B8CBCA4D477FA3syschange_on_instal1D4C5016086B2DC6ASystemManagerD4DF7931B130E37确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码,可以使用以下方法检查默认密码:方法一:从SYS.USER$基表中检查,在基表的PaSSWOrd字段中仍然可以查到HASH后的值。SQLSELECTname,passwordFROMuser$WHEREna
9、me=SCOTT;NAMEPASSWORDSCO11F894844C34402B67方法二:这是推荐的方法,最简单的方法,Ilg中可以使用的方法,Ug提供了新的DBAJSERS_WITH_DEFPWD视图,该视图中包含了所有还在使用默认密码的用户名。SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSername=SCOTT;USERNAMESC011存在默认密码SQLALTERuserscottIDENTIFIEDBYtigerl;Useraltered.SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSernanIe=SC0
10、11;norowsselected密码已修改1.1.1.3.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)权限的用户远程登录及自动登录。操作指南1、参考配置操作1、在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfiIe=NONEscope=spfile2、在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES:NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件1 .以OraCIe用户登
11、陆到系统中。2 .以SqIPlUSVassysdba,登陆到SqIPIUS环境中。3 .使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE4 .检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTlCATloN.SERVICES是否被设置成NONEo1.1.1.4.口令策略要求内容对于采用静态口令认证技术的数据库,需对口令策略进行安全设置。操作指南1、参考配置操作为用户建ProfiIe,设置
12、PASSWORD_VERIFY_FUNCTION8,密码复杂度8个字符PASSWoRDJJFEJnME90,口令有效期90天PASSWORD_REUSE_MAX5,5个不同口令使用后可重复使用PASSWORD_GRACE_TIME5,更改密码宽限期5天2、补充操作说明检测方法1、判定条件修改密码为不符合要求的密码,将失败重用修改5次内的密码,将不能成功输错6次口令锁定帐户5分钟。2、检测操作alteruserabcdlidentifiedbyabcdl;将失败alteruserusernameidentifiedbyPaSSWOrd1;如果PaSSWordl在5次修改密码内被使用,该操作将不能
13、成功3、补充说明1.1.1.5.帐号锁定策略要求内容对于采用静态II令认证技术的数据库,应配置当用户连续认证失败次数超过5次(不含5次),锁定该用户使用的账号。操作指南1、参考配置操作为用户建profile,设置FAILED-LOGIN.ATTEMPTS5,认证失败5次锁定账号PASSW0RD_L0CK_TIME.00694,认证失败帐户锁定10分钟(基本单位是:天)2、补充操作说明如果连续5次连接该用户不成功,用户将被锁定检测方法1、判定条件连续5次用错误的密码连接用户,第6次时用户将被锁定10分钟后解锁,可再次连接2、检测操作connectusername/password,连续5次失败,
14、用户被锁定1.1.1.6.用户权限最小化要求内容数据库用户应设置最小权限。操作指南1、使用数据库角色(ROLE)来管理对象的权限,使用Grant命令将相应的系统、对象或RoIe的权限赋予应用用户2、grant权限tousername;给用户赋相应的最小权限revoke权限fromusername;收回用户多余的权限检测方法1 .以DBA用户登陆到SqlPIUS中。2 .通过查询dba_role_privsdba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBAROle或不必要的权限1.1.1.7.PUbLic权限要求内容清理PU
15、bIiC各种默认权限,攻击者可能利用程序包的public角色执行权限获得非法访问,危胁系统安全。操作指南1、参考配置操作以DBA身份登录SqIPlUs,执行:SQLselecttable_namefromdba_tab_privswheregrantee=*PUBLICandprivilege=EXECUTE*andtable_nameinCUTL_FILE,UTLJCP,UTLJ1TTP,UTL_SMTP,DBMS-LOB,DBMS_SYS_SQL,DBMSJOB,DBMS.SCHEDULER);SQLselecttable.nanefrordba_tab_jriuswheregt*ante
16、e,PUBLIC,andprivilege=*EXECUTEandtablejaneinUTL_FlLELUTL_TCPLUTLJJTTPLUTL_SMTP,DBMSJLOB,DBMSeSVSeSQLS,DBMSJ0B,DBMS.SCHEDULER;TABLENAMEUtljfiletl.tcpUTL-SMTPUrLJnTPdbmsjlobDBMSJOBDBrtS-SCHEDULER如撤消不必要的public角色包执行权限,执行:SQLrevokeexecuteonselecttable_namefromdbatabprivswheregrantee=*PUBLIC,andprivilege=
17、EXECUTE*andtable_namein(UTJFILE,UTLJCP,UTLJ1TTP,UTJSMTP,DBMSjoB,DBMS.SCHEDULER);是否还有PUbIie角色执行权限DBMS_L0B,DBMS_SYS_SQL,1.1.1.8.数据库角色管理要求内容使用数据库角色(ROLE)来管理对象的权限。操作指南参考配置操作:SQLrevokedbaf?omA;收回用户A的DBA权限说明:除了默认用户(sys、SyStem和SySman),其他用户都不应赋予dba角色权限。查看除默认用户(sys、SyStem和SySman)外有DBA权限的用户:SQLselecta.usemame
18、fromdbausersaleftjoindba_role_privsbona.usemame=b.granteewheregrantedrole=DBAanda.usemamenotin(SYS,SYSMAN,SYSTEM*);检测方法1、判定条件对应用用户不要赋予DBARoIe或不必要的权限。2、检测操作1 .以DBA用户登陆到SqlPIUS中。2 .通过查询dba_role_privsdba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。1.1.1.9.启庠日志审计要求内容数据库应配置日志功能,记录对与数据库相关的安全事件。操作指南1、参考配置
19、操作设置AUDrLTRAIL=OS,记录到系统日志中。SQLaltersystemsetaudit_trail=,0S,scope=spfile重启服务SQLshutdownnormalSQLstartup2、补充操作说明系统日志设置及保存要求见主机基线规范检测方法1、判定条件1、SQLshowparameteraudit2、SQLselectname,valuefromv$ParaIneterwherenamelike,audit%;2、补充说明AUDlT_TRAIL取值为:NONE(不审核),DB(记录到数据库),OS(记录到系统日志)。启用审核并设置审核级别,记录对数据库的操作,便于日后
20、检查。登陆审核:auditsession;只记录失败登陆:auditsessionwhenevernotsuccessful;只记录成动登陆:auditsessionwheneversuccessful;1.1.1.10.日志记录及保存要求内容数据库应配置日志功能,记录对与数据库相关的安全事件。1、参考配置操作创建ORACLE登录触发器,记录相关信息.1 .建表L0G0N_TABLE2 .建触发器CREATETRIGGERTRI_L0G0N操作指南AFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(,USERENV,
21、SESSIONJJSER),SYSDATE);END;2、补充操作说明检测方法1、判定条件做相关测试,检查是否记录成功2、检测操作3、补充说明触发器与AUDrr会有相应资源开消,请检查系统资源是否充足。特别是RAC环境,资源消耗较大。1.1.1.11.日志文件保护要求内容设置访问日志文件权限操作指南对于日志文件应删除任意可读写权限$chmodo-rwfilename$chmodu-sfilename检测方法以oracle身份执行:$findSORACLEBASE/-typef(-perm-o+w-a-perm-o+x)xargsIs-al1.1.1.12.开启监听器日志要求内容开启监听器日志功
22、能是为了捕获监听器命令和防止密码被暴力破解操作指南切换到oracle的管理员,执行下列命令$ORACLEJIOME/binlsnrctl1.SNRCTLsetlog_directorynelworkadmin1.SNRCTLsetlog_file.1Og1.SNRCTLsetlog_statuson1.SNRCTLsave_config检测方法查看$0RACLE_HOME/network/admin/listener.ora中是否设置日志监听,例如1.OGGING_LISTENER=ON1.OG_FILE_LISTENER=1.log1.OG_DIRECTORY_LISTENER=u01apo
23、racleproduct10.1.O/Db_1/network/admin1.1.1.13.数据字典保护要求内容启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。操作指南1、参考配置操作通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。07_DICTI0NARY_ACCESSIBILITY=FALSE2、补充操作说明检测方法1、判定条件以普通dba用户登陆到数据库,不能查看乂$开头的表,比如:select*fromsys.xSksppi;2、检测操作1 .以Oraele用户登陆到系统中。2 .以SqlPlUSVassysdba,登陆到SqlPIUS环境中。3
24、.使用showparameter命令来检查参数07_DICTI0NARY_ACCESSIBILITY是否设置为FALSEoShowparameter07J)ICTlONARY.ACCESSIBILITY3、补充说明1.1.1.14.监听器口令要求内容为数据库监听器(LISTENER)的关闭和启动设置密码。操作指南1、参考配置操作通过下面命令设置密码:$IsnrctlLSNRCTLChangC.passwordOldpassword:NotdisplayedNewpassword:NotdisplayedReenternewpassword:NotdisplayedConnectingto(DE
25、SCRIPTION=(ADDRESS=(PROTOCOL=TCP)(IIOST=prolinl)(P0RT=1521)(IP=FIRST)PasswordchangedforLISTENERThecommandcompletedsuccessfullyLSNRCTLsave_config2、补充操作说明检测方法1、判定条件使用ISnrCtIstart或Isnrctlstop命令起停listener需要密码2、检测操作检查$ORACLE_HOME/network/admin/1istener.ora文件中是否设置参数PASSWORDS_LISTENERo3、补充说明1.1.1.15.监听服务连接
26、超时要求内容设置监听器连接超时。操作指南1、参考配置操作编辑$0RACLEHOME/network/admin/IiStener.ora在IiStener.ora文件中手动加入下面这样一行:connect_timeout_listener=102、补充操作说明检测方法1、判定条件检查$ORACLE_HOME/network/admin/1istener.ora文件中是否设置参数connect_timeout_liStener=1O1.1.1.16.监听器管理限制要求内容检查是否设置关闭监听器管理功能。如果不设置监听器管理限制,攻击者可能远程非法配置和攻击监听器,危胁系统安全。操作指南1、参考配
27、置操作编辑$0RACLEHOMEnetvorkadmin/IiStener.ora在IiStener.ora文件中手动加入下面这样一行:ADMINRESTRICTIONS.listener_name=ON检测方法1、判定条件查看$0RACLE_HOME/network/admin/listener.ora中是否设置管理限制,应包含如下参数设置:ADMIN_RESTRICTIONS_listener_name=ON1.1.1.17.禁止远程操作系统认证要求内容设置登陆认证方式禁止远程操作系统认证。攻击者可能利用数据库对远程操作系统的信任关系危胁系统安全。操作指南1、参考配置操作设置REMoTEJ
28、)S-Authent=FAlse在数据库初始化文件init一实例.ora中修改:SQLaltersystemsetREMOTE_OS_AUTHENT=FALSEscope=spfileSQLshutdownnormalSQLstartup检测方法1、判定条件SQLshowparameterREMOTE_OS_AUTHENT1.1.1.18.IP访问限制要求内容设置网络连接限制,只允许安全的IP地址连接数据库进行操作。不必要的网络连接增加了攻击者入侵系统的机会,可能危胁系统安全。操作指南1、参考配置操作修改$0RACLEHOMEnetworkadmin目录下面的sqlnet.ora文件,类似设置
29、如下:visqlnet.ora# 开启ip限制功能tcp.validnode_checking=yes# 允许访问数据库的IP地址列表,多个IP地址使用逗号分开tcp.invited_nodes=(192.168.0.1,ip2,ip3.)# 禁止访问数据库的IP地址列表,多个IP地址使用逗号分开tcp.excludednodes=(192.168.0.2,ip2,ip3.)检测方法1、判定条件测试tcpinvitednodes=(192.168.0.1,ip2,ip3.)中的IP才能连接数据库进行操作。在非信任的客户端以数据库账户登陆被提示拒绝。2、检测操作检查$OR/CLE_HOME/ne
30、twork/admin/sqlnet.ora文件中是否设置参数tcp.valIdnodechecking和tcp.invited_nodeso1.1.2.WindoWS版本1.1.2.1.数据库主机管理员帐号要求内容控制默认主机管理员账号,禁止使用oracle或administrator作为数据库主机管理员帐号操作指南1.参考配置操作建立新的系统用户分配用户权限,把该新建用户作为数据库主机管理员帐号,设置新建用户为。racle相关执行文件配置文件的所有者,以WINDOWS系统为例进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:新用户-创建隶属于-管理员组OraCle安装目
31、录-属性安全-高级-所有者更改为新的系统用户检测方法检查oracle安装目录相关执行文件配置文件的所有者,是否为oracle或administrator以外的用户。1.1.2.2.删除无用帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作方法一:锁定用户SQLalteruseraccountlock;方法二:删除用户SQLdropusercascade;补充说明:应删除常用账号外的其他帐号,消除潜在危险帐号,可到附录检查项中查看当前开放的所有数据库帐号。检测方法1、判定条件首先锁定不需要的用户在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。1.1.2
32、.3.默认帐号修改口令要求内容修改默认帐户和密码,攻击者可能利用系统帐户默认密码和弱密码侵入系统,危胁系统安全。操作指南修改默认帐户和密码,执行如下命令:SQLalteruserusernameidentifiedbynewpassword;修改密码:SQLalteruseridentifiedby;锁定帐号:检测方法用户名默认口令口令内部存储值dbsnmpdbsnmpE066D214D5421CCCctxsysctxsys24BB8B06281B4Cmdsysmdsys72979A94BAD2AF80odmodmC252E8FA117AF049odm_mtrmtrpwA7A32CD03D3C
33、E8D5ordpluginsordplugins882B2C183431F00ordssordsys7EFA02EC7EA6B86Foutlnoutln4A3BA55E08595C81SCOtttigerF894844C34402B67wk_proxyunknown3F9FBD883D787341wk_sysunknown79DF7A1BD138CF11wmsyswmsys7C9B362F8314299xdbchange_on_instal188D8364765FCE6AFtracesvrtraceF9DA8977092B7B81oas_publicoas_public9300C0977D7D
34、C75EwebsysmanagerA97282CE3D94E29EIbacsysIbacsysAC9700FD3F1410EBrmanrmanE7B5D92911C831E1perfstatperfstatAC98877DE1297365exfsysexfsys66F4EF5650C20355si_informtn_schemsi_informtn_sche84B8CBCA4D477F3amasyschange_on_instal1D4C5016086B2DC6ASystemManagerD4DF7931AB130E37SQLalteruseraccountlock;OraCIe10以内版本查
35、看默认帐户和密码SQLselectusername,password,account_status,profilefromdbausers;可以获取到用户名,密码散列值,用户状态,策略文件。确保系统不存在脆弱密码Oracle11通过以上方法查看不到密码,可以使用以下方法检查默认密码:方法一:从SYS.USER$基表中检查,在基表的PaSSWord字段中仍然可以查到HASH后的值。SQLSELECTname,passwordFROMUSer$WHEREname三,SCOTT,;NAMEPASSWORDSC011F894844C34402B67方法二:这是推荐的方法,最简单的方法,IIg中可以使用
36、的方法,IIg提供了新的DBA_USERS_WITH_DEFPWD视图,该视图中包含了所有还在使用默认密码的用户名。SQLSELECT*FROMDBA_USERS_WITH_DEFPWDWHEREUSername=SCOTT;USERNAMEscon存在默认密码SQLALTERuserscottIDENTIFIEDBYtigerl;Useraltered.SQLSELECT*FROMDBAJJSERSJVlTILDEFPWDWHEREusername=*SCOTT,;norowsselected密码已修改1.1.2.4.限制数据库SYSDBA帐号要求内容限制具备数据库超级管理员(SYSDBA)
37、权限的用户远程登录及自动登录。操作指南2、参考配置操作1、在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。altersystemsetremote_login_passwordfi1e=NONEscoe=spfile2、在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。检测方法1、判定条件1 .以OraCIe用户登陆到系统中。2 .以SqIPIUSVassysdba,登陆到SqIPIUS环境中。3 .使用showparameter命令来检查参数RE
38、MOTE_LOGIN_PASSWORDFILE是否设置为NONE.ShowparameterREMOTE_LOGIN_PASSWORDFILE4 .检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONEdbasysprivs和dbatabprivs等视图来检查是否使用ROLE来管理对象权限。对应用用户不要赋予DBAROIe或不必要的权限1.1.2.8.PUbLic权限要求内容清理public各种默认权限,攻击者可能利用程序包的public角色执行权限获得非法访问,危胁系统安全。操
39、作指南SQLrevokeexecuteonrevokedbafromA;收回用户A的DBA权限说明:除了默认用户(sys、SyStem和SySman),其他用户都不应赋予dba角色权限。查看除默认用户(sys、SyStem和SySman)外有DBA权限的用户:SQLselecta.usernamefromdbausersaleftjoindba_role_privsbona.username=b.granteewheregrantcd_rolc=,DBAanda.uscmamcnotin(SYS,SYSMAN,SYSTEM);检测方法1、判定条件对应用用户不要赋予DBARolc或不必要的权限。
40、2、检测操作1 .以DBA用户登陆到SqIPIUS中。2 .通过查询dba_role_privs,dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。1.1.2.10.启用日志审计要求内容数据库应配置日志功能,记录对与数据库相关的安全事件。操作指南3、参考配置操作设置AUDrLTRAlL=OS,记录到系统日志中。SQLaltersystemsetaudittrail=OSscope=spfile重启服务SQLshutdownnormalSQLstartup4、补充操作说明系统日志设置及保存要求见主机基线规范检测方法1、判定条件1、SQLshowparameteraudit2SQLselectname,valuefromv$Parameterwherenamelike,audit%,;2、补充说明AUDITTRAIL取值为:NONE(不审核),DB(记录到数据库),OS(记录到系统日志)。启用审核并设置审核级别,记录对数据库的操作,便于日后检查。登陆审核:auditsession;只记录失败登陆:auditsessionw
