Oracle数据安全之检查配置篇

一、 密码策略

（1）加固目的

在Oracle数据库，我们可以通过修改用户概要文件来设置密码的安全策略，可以自定义密码的复杂度，在概要文件汇总有一下参数是和密码安全有关系的；

FAILED_LOGIN_ATTEMPTS:最大错误登录次数

PASSWORD_GRACE_TIME:口令失效后锁定时间

PASSWORD_LIFE_TIME:口令有效时间

PASSWORD_LOCK_TIME:登录超过有效次数锁定时间

PASSWORD_REUSE_MAX:当前口令被重用之前密码改变的次数

PASSWORD_REUSE_TIME:口令重用的最小间隔时间,单位是天

PASSWORD_VERIFY_FUNCTION:口令复杂度审计函数

（2）当前数据库密码安全策略的查看及推荐参数

新建查询，在查询界面输入如下命令：

SELECT USERNAME，PROFILE FROM DBA_USERS WHERE ACCOUNT_STATUS='OPEN'，SELECT * FROM DBA_PROFILES WHERE RESOURCE_TYPE='PASSWORD'；

核查使用中的PROFILE的l PASSWORD_LIFE_TIMEl PASSWORD_REUSE_TIMEl PASSWORD_REUSE_MAXl PASSWORD_VERIFY_FUNCTIONl PASSWORD_GRACE_TIME。

推荐值

? PASSWORD_LIFE_TIME=90

? PASSWORD_REUSE_TIME=90

? PASSWORD_REUSE_MAX=5

? PASSWORD_VERIFY_FUNCTION=VERIFY_FUNCTION

无锡数据恢复

? PASSWORD_GRACE_TIME=7。

二、 登录失败处理功能

新建查询，在查询界面输入如下命令：

盐城数据恢复

SELECT USERNAME，PROFILE FROM DBA_USERS WHERE ACCOUNT_STATUS='OPEN'， SELECT * FROM DBA_PROFILES WHERE RESOURCE_TYPE='PASSWORD'；

核查所有使用中的PROFILE的l FAILED_LOGIN_ATTEMPTSl PASSWORD_LOCK_TIME。

三、 登录超时自动退出功能

新建查询，在查询界面输入如下命令：

SELECT USERNAME，PROFILE FROM DBA_USERS WHERE ACCOUNT_STATUS='OPEN'， SELECT * FROM DBA_PROFILES WHERE RESOURCE_TYPE='KERNEL'；

核查所有使用中的PROFILE的l IDLE_TIMEl CONNECT_TIME。

推荐值

? FAILED_LOGIN_ATTEMPTS=5

? PASSWORD_LOCK_TIME=1。

? IDLE_TIME=10

扬州数据恢复

? CONNECT_TIME=1。

四、 数据库操作审计

（1） 加固目的

Oracle数据库具有对其内部所有发生的活动的审计能力，审计日志一般放在sys.aud$表中，也可以写入操作系统的审计跟踪文件中?？缮蠹频幕疃腥掷嘈停旱锹汲⑹?、数据库活动和对象存取，缺省情况下，数据库不启动审计，要求管理员配置数据库后才能启动审计。

（2） 加固方法

使用文本方式，打开数据库配置文件init.ora；更改以下参数配置

AUDIT_TRAIL=True。

Alter system set audit_trail=’OS’ scope=spfile。

Alter system set audit_sys_operations=true scope=spfile。

默认为false，当设置未true时，所有sys用户的操作都会被记录。

五、 总结

对于一个数据库管理员来说，安全性就意味着必须保证那些具有特定数据访问权限的用户能够登录到Oracle，并且能够访问数据以及对数据库对象实施各种权限范围内的操作；同时，他还要防止所有的非授权用户的非法操作。