Ubuntu下Oracle数据库如何安全加固

Ubuntu下Oracle数据库安全加固清单

一 系统与SSH加固

• 保持系统与Oracle补丁为最新：执行sudo apt update & & sudo apt upgrade，并配置unattended-upgrades仅自动安装安全更新，减少已知漏洞暴露面。
• 强化SSH访问：编辑**/etc/ssh/sshd_config**，设置PermitRootLogin no，使用SSH密钥替代密码登录，必要时改为非标准端口（如2222），并重启sshd。
• 最小化暴露面：仅开放必要端口（如SSH 2222、数据库监听端口1521），使用UFW启用防火墙并定期核查规则。
• 入侵防护：部署Fail2Ban监控暴力破解；按需部署ClamAV等反病毒并进行病毒库更新。
• 审计与备份：集中采集与轮转系统日志，建立定期备份与恢复演练机制，确保可快速回滚。

二 数据库账户与权限

• 关闭远程SYSDBA登录：在数据库参数中将REMOTE_LOGIN_PASSWORDFILE设为NONE，仅允许本地操作系统认证执行高权限操作。
• 限制DBA组操作系统账户：仅保留oracle安装用户属于DBA/oinstall相关组，清理多余账户，降低本地提权风险。
• 数据字典保护：设置O7_DICTIONARY_ACCESSIBILITY = FALSE，避免普通用户通过数据字典获取高权限对象元数据。
• 口令策略：创建或启用复杂度函数（如运行utlpwdmg.sql），在DEFAULT等profile中设置PASSWORD_VERIFY_FUNCTION、PASSWORD_LIFE_TIME ≤ 90天、FAILED_LOGIN_ATTEMPTS（如5次）与PASSWORD_LOCK_TIME（如1天）。
• 资源与连接控制：按硬件与业务设置processes（如200），防止资源被滥用。

三 监听器与网络访问控制

• 监听器口令与保护：在lsnrctl中执行change_password并save_config，防止未授权启停监听器。
• 可信IP白名单：在**$ORACLE_HOME/network/admin/sqlnet.ora中启用tcp.validnode_checking=yes**，配置tcp.invited_nodes=(信任IP列表)；必要时使用tcp.excluded_nodes排除恶意网段。
• 关闭未使用入口：删除或注释listener.ora中默认ExtProc/PLSExtProc条目，避免外部过程调用被滥用。
• 传输加密：在sqlnet.ora中启用sqlnet.encryption等参数，对客户端/中间件与数据库之间的通信进行加密。
• 空闲连接治理：设置SQLNET.EXPIRE_TIME=15（单位：分钟），自动断开长时间空闲会话，降低会话劫持风险。
• 端口与暴露面：必要时修改监听端口为非默认端口，并配合UFW/云安全组仅放行应用所在网段。

四 审计与日志管理

• 启用数据库审计：设置audit_trail=DB（或OS），并开启audit_sys_operations=true以审计SYSDBA等高权限操作；变更后按需要重启数据库。
• 审计记录落地与保护：审计日志写入audit_file_dest目录（OS审计）或数据字典（DB审计），确保目录权限最小化、定期归档与完整性校验。
• 运行日志与归档：启用ARCHIVELOG模式，配置log_archive_dest_1与命名格式，保障故障恢复与取证能力。
• 系统侧日志：集中收集与轮转alert日志、listener日志、trace/跟踪文件与系统安全日志，结合监控告警实现异常发现。

五 备份恢复与验证

• 备份策略：建立RMAN物理备份为主、Data Pump逻辑备份为辅的策略，覆盖全库、归档日志与控制文件；定期执行恢复演练验证可用性与恢复目标（RPO/RTO）。
• 变更与回滚：在加固前后保留变更记录与回滚方案，对关键参数（如audit_trail、processes、sqlnet.ora项）变更实施灰度与复核。
• 例行巡检：定期核查补丁级别、用户与权限、监听与网络ACL、审计与日志留存等关键项，形成安全基线与持续合规机制。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！