Debian上Oracle安全设置指南

Debian上Oracle安全设置指南

一 系统加固与访问控制

• 保持系统与软件包为最新：执行apt update & & apt upgrade，及时修补漏洞；仅启用必需服务，减少攻击面。
• 强化账户口令：安装libpam-pwquality，在**/etc/security/pwquality.conf设置如minlen=12、minclass=3**，并在PAM中启用质量检查，强制使用强密码。
• 加固SSH：优先使用SSH密钥登录，禁用root远程登录，必要时更改默认端口，仅开放必要来源IP。
• 配置防火墙：使用UFW仅放行SSH与数据库访问（默认监听端口1521/TCP），示例：ufw allow OpenSSH；ufw allow from 192.168.1.0/24 to any port 1521；ufw enable。
• 目录与权限：Oracle软件与数据目录（如**/u01**）属主设为oracle:oinstall，权限775，确保最小权限原则。

二 内核与资源限制

• 资源限制（/etc/security/limits.d/30-oracle.conf）：为oracle设置文件句柄、进程数、栈与内存锁定等上限，示例：
  oracle soft nofile 1024；oracle hard nofile 65536；oracle soft/hard nproc 16384；oracle soft stack 10240；oracle hard stack 32768；oracle soft/hard memlock 134217728。
• 内核参数（/etc/sysctl.d/98-oracle.conf）：优化网络、共享内存与AIO等，示例：
  fs.file-max=6815744；kernel.sem=250 32000 100 128；kernel.shmmni=4096；kernel.shmall=1073741824；kernel.shmmax=4398046511104；fs.aio-max-nr=1048576；net.core.rmem_default=262144；net.core.rmem_max=4194304；net.core.wmem_default=262144；net.core.wmem_max=1048576；net.ipv4.conf.all.rp_filter=2；net.ipv4.conf.default.rp_filter=2；net.ipv4.ip_local_port_range=9000 65500；执行sysctl --system使生效。
• 会话级限制：在**/etc/pam.d/login**确保包含“session required pam_limits.so”，以应用limits配置。

三 Oracle监听与网络加密

• 监听安全：仅监听必要接口与端口（默认1521/TCP），通过listener.ora配置监听地址；以oracle用户运行监听，避免使用root。
• 访问控制：在UFW/iptables层限制来源网段访问监听端口，仅放行业务需要的主机或网段。
• 加密与认证：在listener.ora启用传输加密（如“ENCRYPTION_CLIENT = REQUIRED”与指定加密套件），并使用SSL/TLS（配置“SSL_VERSION=1.2”等），证书与密钥妥善保管。
• 日志与监控：提升监听日志级别（如“LOG_LEVEL_LISTENER=16”），定期审计listener.log与trace，及时发现异常连接与暴力探测。

四 数据库账户与权限治理

• 最小权限原则：按业务最小集授予权限，避免使用SYS/SYSTEM进行日常操作；按需创建角色并授予对象权限。
• 口令策略：运行**$ORACLE_HOME/rdbms/admin/utlpwdmg.sql启用复杂度校验（如长度、字符类别），或自定义PROFILE**设置策略，示例：
  ALTER PROFILE DEFAULT LIMIT
  PASSWORD_LIFE_TIME 30
  FAILED_LOGIN_ATTEMPTS 5
  PASSWORD_LOCK_TIME 1/1440
  PASSWORD_VERIFY_FUNCTION verify_function_11G;
  查询与分配：SELECT profile, resource_name, limit FROM dba_profiles WHERE resource_name IN (‘PASSWORD_LIFE_TIME’,‘FAILED_LOGIN_ATTEMPTS’,‘PASSWORD_LOCK_TIME’);
  ALTER USER scott PROFILE my_profile;
• 会话审计：启用基础会话审计（如“AUDIT SESSION; ”），并定期分析审计记录与告警。

五 运行维护与监控

• 持续更新：定期执行apt update/upgrade与Oracle补丁，降低已知漏洞风险。
• 日志集中与告警：集中收集与分析**/var/log/与$ORACLE_HOME/diag/**下的数据库与监听日志，设置关键错误与暴力登录告警。
• 备份与恢复演练：定期执行全量/增量备份与恢复演练，验证RMAN脚本与保留策略有效性。
• 基线核查：对内核参数、资源限制、监听与防火墙策略、用户权限与口令策略进行周期性基线核查与加固复核。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！