百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 优雅编程 > 正文

等保2.0 数据库Oracle测评(等保2.0数据安全要求)

sinye56 2024-09-29 22:10 5 浏览 0 评论

等级保护【数据库Oracle】测评:

详解【数据库Oracle】(三级):身份鉴别、访问控制、安全审计、资源控制四个控制点的测评要求项、测评方法及测评步骤!

身份鉴别

a)应对数据库系统的用户进行身份标识和鉴别;

测评方法及步骤:

1)以默认口令或者常见口令尝试登录数据库,查看是否成功,查看是否需要口令以及是否存在空口令

$ sqlplus/nolog

SQL>connuser/password as sysdba

2)或者使用Oracle客户端管理控制台(Enterprise Manager Console)进行登录

3)默认口令包括sys/change_on_install;system/manager,scott/tiger,常用口令包括oracle:admin/oracle;sys:admin:oracle等。(更改用户口令alter user user_name identified by password),或者用select * from dba_users;查看账号口令;

b)数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

测评方法及步骤:

1)select username,profile fromdba_user;了解用户使用的profile

2)select * from dba_profiles whereprofile='default';查看系统本身的profile的配置参数都有哪些?

PASSWORD_VERIFY_FUNCTIONverify_function为密码复杂度验证函数已经开启。这个oracle默认verify_function()函数,要求口令密码最小长度4、不能和用户名相同、至少有一个字母、数字和特殊字母,旧密码和新密码至少有三位不同。如果你觉得这个要求还太低,那你就创建自己复杂的验证函数

3)检查utlpwdmg.sql中"-- Check for the minimum length of the password"部分中"length (password)<"后的值;

c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

测评方法及步骤:

1)select limitfrom dba_profiles where resource_name='FAILED_LOGIN_ATTEMPTS

FAILED_LOGIN_ATTEMPTS:最大错误登录次数

PASSWORD_GRACE_TIME:口令失效后锁定 时间

PASSWORD_LIFE_TIME:口令有效时间

PASSWORD_LOCK_TIME:登录超过有效次数锁定时间

查看有无对各项进行时间/次数上的设置和限制;

d)当对服务器进行远程管理时,应采取必要措施,防治鉴别信息在网络传输过程中被窃听;

测评方法及步骤:

1)询问管理员是否采取加密手段保证数据库的访问信息不被窃听

2)在9i中查看数据库安装目录下的\admin\DB_NAME\pfile\initSID.ora中REMOTE_OS_AUTHENT的赋值,确认是否允许管理员对数据库进行远程连接和管理,其他版本用命令“SHOW PARAMETERS AUTH;”记录是否允许远程访问

3)或者图形界面管理中查看打开Oracle客户端管理控制台(Enterprise Manager Console);添加被评估数据库的连接信息,使用sys或system用户登录数据库;在左侧菜单栏中打开“例程”,选中“配置”栏,再选择“一般信息”页面,点击“所有初始化参数”;在弹出的界面中,查看“remote_os_authent”参数行的设置,为是否允许远程连接,如实记录该原始数据或拷屏

4)查看lsnrctl status查看是否存在TCPS协议;

e)应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;

测评方法及步骤:

1)询问管理员,是否为不同的用户分配了不同的账户。可检索账户“selectusername,account_status from dba_users”,并询问是否建立制度,确保不同人员使用不同用户登录数据库系统;

f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;

测评方法及步骤:

1)询问管理员数据库是否采用了2种以上身份鉴别方式进行身份认证,如是否部署CA认证等第三方认证产品进行认证;

2)查看配置文件 db_1\NETWORK\ADMIN目录下或$TNS_ADMIN/sqlnet.ora的sqlnet.ora,查看SQLNET_AUTHENTICATION_SERVICES的值,确认数据库管理员指定的鉴别方式是否与管理员回答的一致,值为NTS时,则为使用windows系统认证,当为none时,则需要双重身份认证。但是不为双因子认证;

此条中判断以第一条为准,第二条仅做参考,不对结果造成影响;

访问控制

a)应启用访问控制功能,依据安全策略控制用户对资源的访问;

测评方法及步骤:

1)linux下在数据库的操作系统中打开$ORACLE_HOME\bin目录,并找到可执行程序Oracle;

在操作系统中运行命令:ls –al oracle;查看其运行、读写权限;

2)访谈管理员是否有其他方式(如防火墙、ACL、IPsec等方式)进行端口/IP级的访问限制,或者其他方式对数据库访问的控制,并进行验证;

判定依据主要参考第三条,第一二条为辅助依据;

b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

测评方法及步骤:

1)查看应用账户是否属于DBA组权限

2)select grantee from dba_role_privs where grante_role='DBA' and grante not in('SYS','SYSTEM','CTXSYS','WmSYS','SYSMAN');

c)应实现操作系统和数据库系统特权用户的权限分离;

测评方法及步骤:

询问管理员是否由不同员工分别担任操作系统管理员与数据库管理员

登录操作系统,查看是否能对数据库系统进行操作;

d)应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

测评方法及步骤:

询问管理员:应尽量重命名数据库系统的默认账户,如果部分账户无法重命名,则应加强这些账户的口令强度,确保这些账户不被授权使用;


e)应及时删除多余的、过期的帐户,避免共享帐户的存在;

测评方法及步骤:

1、在sqlplus中执行命令

desc dba_users

selectusername,account_status from dba_users where account_status='OPEN'

2、查看返回结果中是否存在scott、outln、ordsys等范例数据库账号,在windows中或者用图形用户界面找到安全性查看用户状态检查是否有过期、共享帐户存在;

f)应对重要信息资源设置敏感标记;

测评方法及步骤:

1)检查是否安装oracle label security模块(如无,下面步骤可省略)select username from dba_users;查看有无lbacsys的用户,如无,则无安装Oracle Label Security模块

2)查看是否创建策略:select policy_name,statusfrom DBA_SA_POLICIES

3)查看标签创建情况:select * fromdba_sa_lables;

g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;

测评方法及步骤:

登录sqlplus,查看用户的标签

select * fromdba_sa_lables

select * fromdba_sa_tables_policies;可让管理员演示选择特定的用户和表进行验证敏感标记功能是否正确;

安全审计

a)审计范围应覆盖到服务器和重要客户端上的每个数据库用户;

测评方法及步骤:

检查并记录数据库操作审计的配置策略

show parametersaudit;查看数据库审计的目录及审计是否开启,审计级别

1.windows中打开Oracle客户端管理控制台(Enterprise Manager Console)

2.添加被评估数据库的连接信息,使用sys或system用户登录数据库

3.在左侧菜单栏中打开“例程”,选中“配置”栏,再选择“一般信息”页面,点击“所有初始化参数”

4.在弹出的界面中,查看“audit_trail”参数行的设置,如实记录该原始数据或拷屏。如果为linux系统执行show parameters audit_trail;查看是否开启审计功能

5.进行管理员和一般用户登录登出,查看审计日志是否能正确记录

6.以上条件不满足时,询问管理员是否有第三方数据库审计软件;

b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

测评方法及步骤:

查看AUDIT_TRAIL的值为NONE为关闭审计功能,audit_sys_operations为YES审计系统重要操作;

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

测评方法及步骤:

select * fromsys.aud$,select * fromdba_audit_trail,记录审计记录中事件的日期、时间、类型、主体标识、客体标识和结果等记录情况;

d)应能根据记录数据进行分析,并生产审计报表;

测评方法及步骤:

询问管理员是否安装并使用了oracle audit vault等日志分析工具并查看相关报表,或者是否采用了第三方数据库审计软件以及具有报表功能并定期生成报表;

e)应保护审计进程,避免受到未预期的中断;

测评方法及步骤:

询问是否严格限制数据库管理员权限,系统管理员能否进行与审计相关的操作。用户可以通过alter system set audit_trail='NONE' scope=spfile;,查看是否成功;

f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;

测评方法及步骤:

询问数据库管理员,是否严格限制用户访问审计记录的权限,如采用audit vault等,或者第三方审计系统,并检查是否定期对审计日志做备份;

资源控制

a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;

测评方法及步骤:

方法一:人工审计

1.以文本文件的方式,打开操作系统中的数据库服务配置文件“SQLNET.ORA”(数据库目录下的NETWORK\ADMIN\)

查看是否存在如下内容

tcp.validnode_checking=YES

tcp.excluded_nodes={list of IP address}

tcp.invited_nodes={list of IP address},如存在则对IP地址进行了限制

3.如实记录该原始数据或拷屏

4.如果没有在数据库系统上进行配置,询问是否在防火墙或者其他网络设备/安全设备上进行了相关的配置;

方法一:人工审计

1.以文本文件的方式,打开操作系统中的数据库服务配置文件“listener.ora”;

2.查看“ADMIN_RESTRICTIONS_listener_name=”的设置(此项设置为防止对oracle listener的未经授权的管理,需要),如实记录该原始数据或拷屏,如为ON则符合,不存在则不符合;

b)应根据安全策略设置登录终端的操作超时锁定;

测评方法及步骤:

查看空闲超时设置,selectlimit from dba_profiles where resource_name='IDLE_TIME'.查看超时设置,并记录或查看系统概要文件;

c)应限制单个用户对系统资源的最大或最小使用限度;

测评方法及步骤:

执行命令,查看用户使用的profile,select username,profile fromdba_users,查看其限制,set lines 300

查看默认用户的并行会话数和CPU使用时间

select limitfrom dba_profiles where profile='DEFAULT';,或CPU_PER_SESSION,IDLE_TIME,'SESSIONS_PER_USER'等各设置

下面是全部可用的参数:

SESSIONS_PER_USER 每个用户名所允许的并行会话数

CPU_PER_SESSION 一个会话一共可以使用的CPU时间,单位是百分之一秒

CPU_PER_CALL 一次SQL调用(解析、执行和获取)允许使用的CPU时间

CONNECT_TIME 限制会话连接时间,单位是分钟

IDLE_TIME 允许空闲会话的时间,单位是分钟

LOGICAL_READS_PER_SESSION 限制会话对数据块的读取,单位是块

LOGICAL_READS_PER_CALL 限制SQL调用对数据块的读取,单位是块

COMPOSITE_LIMIT “组合打法”

PRIVATE_SGA 限制会话在SGA中Shared Pool中私有空间的分配;

相关推荐

RHEL8和CentOS8怎么重启网络

本文主要讲解如何重启RHEL8或者CentOS8网络以及如何解决RHEL8和CentOS8系统的网络管理服务报错,当我们安装好RHEL8或者CentOS8,重启启动网络时,会出现以下报错:...

Linux 内、外网双网卡路由配置

1.路由信息的影响Linux系统中如果有多张网卡的情况下,如果路由信息配置不正确,...

Linux——centos7修改网卡名

修改网卡名这个操作可能平时用不太上,可作为了解。修改网卡默认名从ens33改成eth01.首先修改网卡配置文件名(建议将原配置文件进行备份)...

CentOS7下修改网卡名称为ethX的操作方法

?Linux操作系统的网卡设备的传统命名方式是eth0、eth1、eth2等,而CentOS7提供了不同的命名规则,默认是基于固件、拓扑、位置信息来分配。这样做的优点是命名全自动的、可预知的...

Linux 网卡名称enss33修改为eth0

一、CentOS修改/etc/sysconfig/grub文件(修改前先备份)为GRUB_CMDLINE_LINUX变量增加2个参数(net.ifnames=0biosdevname=0),修改完成...

CentOS下双网卡绑定,实现带宽飞速

方式一1.新建/etc/sysconfig/network-scripts/ifcfg-bond0文件DEVICE=bond0IPADDR=191.3.60.1NETMASK=255.255.2...

linux 双网卡双网段设置路由转发

背景网络情况linux双网卡:网卡A(ens3)和网卡B(...

Linux-VMware设置网卡保持激活

Linux系统只有在激活网卡的状态下才能去连接网络,进行网络通讯。修改配置文件(永久激活网卡)...

VMware虚拟机三种网络模式

01.VMware虚拟机三种网络模式由于linux目前很热门,越来越多的人在学习linux,但是买一台服务放家里来学习,实在是很浪费。那么如何解决这个问题?虚拟机软件是很好的选择,常用的虚拟机软件有v...

Rocky Linux 9/CentOS Stream 9修改网卡配置/自动修改主机名(实操)

推荐...

2023年最新版 linux克隆虚拟机 解决网卡uuid重复问题

问题描述1、克隆了虚拟机,两台虚拟机里面的ip以及网卡的uuid都是一样的2、ip好改,但是uuid如何改呢?解决问题1、每台主机应该保证网卡的UUID是唯一的,避免后面网络通信有问题...

Linux网卡的Vlan配置,你可能不了解的玩法

如果服务器上连的交换机端口已经预先设置了TRUNK,并允许特定的VLAN可以通过,那么服务器的网卡在配置时就必须指定所属的VLAN,否则就不通了,这种情形在虚拟化部署时较常见。例如在一个办公环境中,办...

Centos7 网卡绑定

1、切换到指定目录#备份网卡数据cd/etc/sysconfig/network-scriptscpifcfg-enp5s0f0ifcfg-enp5s0f0.bak...

Linux搭建nginx+keepalived 高可用(主备+双主模式)

一:keepalived简介反向代理及负载均衡参考:...

Linux下Route 路由指令使用详解

linuxroute命令用于显示和操作IP路由表。要实现两个不同子网之间的通信,需要一台连接两个网络的路由器,或者同时位于两个网络的网关来实现。在Linux系统中,设置路由通常是为了解决以下问题:该...

取消回复欢迎 发表评论: