centos系统sqlplus安全策略

CentOS 上 SQL*Plus 的安全策略清单

一 系统层账户与登录安全

• 最小权限与专用账户：为数据库运维创建专用系统用户（如 oracle），禁止 root 直连；通过 sudo 精细化授权，仅允许执行 sqlplus、rman、lsnrctl 等必要命令；限制可登录用户清单，确保 /etc/passwd 中不可登录账户使用 /sbin/nologin 或 /bin/false。
• 密码策略与复杂度：在 /etc/login.defs 设置全局策略（如 PASS_MAX_DAYS 90、PASS_MIN_DAYS 7、PASS_WARN_AGE 10），对已有用户用 chage -M 90 -m 7 -W 10 username 调整；在 /etc/pam.d/system-auth 与 /etc/pam.d/password-auth 启用 pam_pwquality.so（如 minlen=12、ucredit=-1、lcredit=-1、dcredit=-1、ocredit=-1、remember=5），并创建 /etc/security/opasswd 记录旧密码（权限 600）。
• 登录失败锁定：在 /etc/pam.d/system-auth 与 /etc/pam.d/password-auth 增加 pam_tally2.so（如 deny=5、unlock_time=300），支持查看与解锁：pam_tally2、pam_tally2 -u username、pam_tally2 -r -u username。
• 会话与超时：在 /etc/profile 或用户 ~/.bash_profile 设置 TMOUT=600（10 分钟无操作自动退出）；对 SSH 会话设置 ClientAliveInterval 300 减少闲置风险。

二 SQL*Plus 使用与凭据保护

• 禁止在命令行暴露密码：避免使用 sqlplus user/pass@tns 形式，改用 sqlplus /nolog 后执行 conn user/pass 或 connect / as sysdba，可避免 ps 与 history 泄露凭据。
• 连接串与 TNS 管理：优先使用 EZCONNECT 直连（如 sqlplus user/pass@//host:1521/service），减少在 tnsnames.ora 中存放明文连接串；若使用 TNS_ADMIN，确保 $TNS_ADMIN/network/admin 目录与文件权限最小化（仅 oracle 用户可读写）。
• 客户端环境与库路径：为 Oracle Instant Client 设置 ORACLE_HOME、PATH、LD_LIBRARY_PATH、TNS_ADMIN、NLS_LANG，避免加载不受控库文件；必要时执行 ldconfig $ORACLE_HOME/lib 校验库缓存。

三 传输加密与访问控制

• 强制网络加密：在 $TNS_ADMIN/sqlnet.ora 启用 SQLNET.ENCRYPTION_SERVER=required 与 SQLNET.ENCRYPTION_TYPES_SERVER=(AES256)，确保客户端与服务器之间数据链路加密。
• 防火墙与监听：仅开放 1521/TCP，如 firewall-cmd --zone=public --add-port=1521/tcp --permanent & & firewall-cmd --reload；在数据库侧通过 listener.ora 限制可接受的来源网段与协议，最小化暴露面。

四 审计与合规要点

• 账户状态核查：定期审计 /etc/shadow 与账户状态（如 passwd -S username、chage -l username），关注 LK/NP 标记、Password expires/Account expires 与 Inactive 字段，及时处置过期与锁定账户。
• 登录失败审计：结合 pam_tally2 输出与系统日志，识别暴力破解迹象；对异常账户执行临时禁用与溯源分析。
• 等保与基线对齐：围绕“身份鉴别、访问控制、安全审计、入侵防范、可信验证”等要求，形成台账与定期复核机制（如季度复核一次），对变更留痕。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！