Ubuntu Oracle数据库安全设置有哪些

时间2025-11-19 11:16:03发布访客分类主机资讯浏览525

导读：Ubuntu 上 Oracle 数据库的安全设置清单一系统层加固限制具备 DBA 组权限的操作系统账户数量，仅保留必要的 oracle 安装用户，避免多人共享高权限 OS 账户。保护安装目录权限：确保 $ORACLE_HOME/...

Ubuntu 上 Oracle 数据库的安全设置清单

一系统层加固

二监听与网络传输安全

为 LISTENER 设置管理口令并保存配置，防止未授权本地/远程管理：
- 执行：lsnrctl → set current_listener LISTENER → change_password → save_config。
启用主机访问控制：在 $ORACLE_HOME/network/admin/sqlnet.ora 中配置
- tcp.validnode_checking = yes
- tcp.invited_nodes = (127.0.0.1, 应用IP1, 管理IP…)
开启空闲连接检测，自动断开长时间空闲会话（如 15 分钟）：
- 在 sqlnet.ora 中设置 SQLNET.EXPIRE_TIME=15。
启用传输加密（Oracle Advanced Security）：在客户端/服务端配置 sqlnet.encryption，选择如 AES128/3DES168 等强加密套件，禁用 DES/RC4_40/DES40 等弱算法。
关闭远程操作系统认证，避免以 OS 账户直通数据库：设置初始化参数 REMOTE_OS_AUTHENT=FALSE。

三数据库账户与权限管理

执行最小权限原则：仅授予完成工作所需的最小 系统权限/对象权限/角色；避免将 CREATE ANY TABLE、CREATE DATABASE LINK 等高危权限授予普通用户；优先使用自定义角色承载权限。
保护 SYS 等高权账户：限制可发起 SYS-privileged 连接的用户数量；必要时通过 Oracle Database Vault 进一步约束。
清理默认与样例账户：修改 SYS/SYSTEM 等默认账户口令，锁定或删除不再使用的样例/内置账户（如 SCOTT 等）。
使用 Secure Application Role 控制角色启用时机（例如仅允许来自特定 IP 的会话启用关键角色），将权限启用与应用上下文绑定。

四口令策略与账户锁定

通过 Profile 管理口令策略：数据库默认策略为口令 180 天 后过期、7 天 宽限期、10 次 失败登录后锁定 1 天。可按需收紧，例如：
- 将有效期缩短至 70–90 天；
- 将失败锁定阈值降至 3–5 次；
- 启用口令复杂度校验函数（如 PASSWORD_VERIFY_FUNCTION），要求包含数字、大小写字母与特殊字符。
使密码策略生效需启用参数：ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;，再在目标 PROFILE 上设置各项限制。
查询与调整示例：
- 查看：SELECT * FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_TYPE='PASSWORD';
- 调整：ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 70 FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1/144 PASSWORD_VERIFY_FUNCTION < your_function> ;
- 解锁：ALTER USER < username> ACCOUNT UNLOCK;

五审计与监控

启用数据库审计，记录关键操作（登录/登出、权限变更、DDL 等）：
- 动态设置：ALTER SYSTEM SET AUDIT_TRAIL='DB,EXTENDED' SCOPE=SPFILE;（或 'OS' 结合 OS 审计），重启实例生效。
配置异常网络包处置：在初始化参数中设置
- SEC_PROTOCOL_ERROR_TRACE_ACTION=TRACE（记录详细信息）
- SEC_PROTOCOL_ERROR_FURTHER_ACTION=DROP,3（丢弃恶意包并延迟后续连接），降低协议攻击风险。
定期审阅审计日志与告警，结合应用与网络层日志进行关联分析。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！