【愚公系列】《网络安全应急管理与技术实践》 028-网络安全应急技术与实践（数据库层-Oracle 主机检查演练）

🚀前言

Oracle主机检查演练是一种测试和评估Oracle主机系统的安全性和健壮性的过程。演练旨在验证Oracle主机系统在面对攻击、故障和异常情况时的响应能力和恢复能力。

在Oracle主机检查演练中，安全专家和系统管理员通常会模拟各种攻击场景和故障情况，以评估Oracle主机系统的弱点和漏洞，并采取相应的措施来增强系统的安全性和稳定性。

演练的具体步骤包括制定计划、准备环境、运行演练、监测和记录演练过程、评估结果，并撰写演练报告。通过这些步骤，组织可以发现和修复Oracle主机系统中的潜在问题，并提高系统的安全性和可靠性。

Oracle主机检查演练对于提升系统的安全性、应对潜在风险和应急响应能力非常重要。定期进行演练可以帮助组织预防和应对各种安全威胁，并提前发现和解决系统中的漏洞和问题。

🚀一、Oracle 主机检查演练

🔎1.身份鉴别

【检查重点】

检查身份验证机制和策略。

【检查方法】

1. 检查是否采用用户名、密码等身份认证方式。
2. 检查是否启用密码函数PASSWORD_VERIFY_FUNCTION，并在$ORACLE _HOME\DB_I\RDBMS\ADMIN\UTLPWDMG.SQL 文件中进行相关配置。
3. 管理员账号口令至少为8位，两种组合。普通用户账号口令至少为6位，由非纯数字或字母组成，不能使用容易猜解的口令。
   • password_Ilock_Itime=1
   • password_Ireuse_Imax #应为5以上
   • password_Ilife_Itime= 180
4. 口令加密。
   • Sqlnet.ora 文件中的ORA_IENCRYPT_ILOGIN参数应设为 TRUE，保证客户端口令加密。
   • init.ora 文件中的 dblink_Iencrypt_Ilong参数应设为 TRUE，保证服务器口令加密。
5. 在 SQL*Plus 输入如下命令。
   • select * from dba_profiles where resource_name = 'FAILED LOGIN ATTEMPTS'，查看相关参数是否符合以下要求。
     • 应限制非法登录失败次数。FAILED_LOGIN_ATTEMPTS参数值应为5以内的数字。
     • 如果采取远程管理，应采用加密的方式，例如，应通过Oracle Net Manager(网络管理器)工具实现(可选)。
6. 为操作系统和数据库系统的不同用户分配不同的用户名，禁止多人共用一个管理员账号。
7. 应采用两种组合的认证方式，如用户名密码+生物技术等。
8. 禁止使用oracle 或 administrator 作为数据库主机管理员账号。

🔎2.访问控制

【检查重点】

1. 检查数据库系统的权限管理策略。
2. 检查数据库重要的表是否添加敏感标签。

【检查方法】

1. 数据库系统的宿主操作系统除提供数据库服务外，不得提供其他网络服务，如 WWW、FTP、DNS 等。
2. 数据库安装、数据文件、备份等目录的权限应小于755，Windows 系统中 everyone 用户没有写权限。
3. 关闭 XDB 服务、禁止 PL/SQL 外部过程。
4. 去掉 Oracle 数据库中的 ExtProc 或 PLSExtProc 模块。
5. 禁止 SYS、SYSTEM、CTXSYS、WmSYS、SYSMAN 以外的 DBA 权限账号。应用系统账户按照最小权限的原则，不应具有 DBA 权限。
6. 在宿主操作系统中设置本地数据库专用账号，并赋予该账户除运行各种数据库服务外的最低权限。
7. 实现操作系统和数据库系统特权用户的权限分离，定期检查和调整用户访问数据库的权限（注意:此项要求仅针对非 Windows 系统）。
8. 限制默认账户的访问权限修改 SYS、SYSTEM、SYSMAN 等账户的默认口令。
9. 数据库 O7_DICTIONARY_ACCESSIBILITY 参数值应为 FALSE.
10. 禁用 TEST、HR、SCOTT、OE、PM、SH 等默认用户。
11. 删除无用账号。
12. 数据库重要的表添加敏感标签。

🔎3.安全审计

【检查重点】

1. 检查是否采用下列方式中的一种：开启数据库审计或通过第三方审计管理数据库，包括 PL/SQL 工具。
2. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

【检查方法】

1. 采用下列方式中的一种： a) 开启数据库审计。 b) 通过第三方审计管理数据库，包括PL/SOL 工具。
2. 审计日志应包括登录日志记录和数据库操作日志（可选）。
3. 日志审计策略应为操作系统级别。
4. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
5. 查看是否有审计日志报表（第三方）。
6. 查看普通用户是否能关闭审计进程。
7. 日志保存要求大于6个月。对于 Linux/UNIX 平台，日志文件权限应设置为小于644；对于 Windows 平台，要求其他用户没有写权限。

🔎4.剩余信息保护

【检查重点】

检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录。

【检查方法】

检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录在重新使用前会不会格式化。

🔎5.入侵防范

【检查重点】

使用 Oracle 提供的命令行客户端工具 SQLPLUS 检查数据库版本

【检查方法】

(1)使用SQLPLUS查看数据库是否为最新版本。

(2)数据库扫描工具扫描是否有补丁漏洞。