IT序号网

oracle基础安全配置知识解答

shasha 2021年09月18日 数据库 135 0
本文章主要介绍了oracle基础安全配置,具有不错的的参考价值,希望对您有所帮助,如解说有误或未考虑完全的地方,请您留言指出,谢谢!

1、oracle中用户密码复杂度配置

    1)查看参数 
    select limit from dba_profiles where resource_name='PASSWORD_VERIFY_FUNCTION' and profile in (select profile from dba_users where account_status='OPEN'); 
    ---取值不是verify_function代表此参数还没修改 
    2)修改resource_limit参数 
    alter system set resource_limit = true; 
    3)生成口令复杂度函数 
    @$ORACLE_HOME/rdbms/admin/utlpwdmg.sql 
    4)修改参数 
    alter profile default limit password_verify_function verify_function; 
    #取消Oracle密码复杂度检查: 
    alter profile default limit password_verify_function null;

2、Oracle 配置并启用账户登录失败处理策略

    “FAILED_LOGIN_ATTEMPTS”用于配置密码连续输入出错的最大次数,超过该值则锁定该帐号。  
    1. 执行如下命令,查询“FAILED_LOGIN_ATTEMPTS”的值。  
    SQL>alter profile default limit failed_login_attempts 10;  
    SQL> select * from dba_profiles s where s.profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS';  
    如果显示结果如下,则表明“FAILED_LOGIN_ATTEMPTS”配置为了10次。  
    PROFILE          RESOURCE_NAME           RESOURCE           LIMIT ------- - DEFAULT          FAILED_LOGIN_ATTEMPTS   PASSWORD           10  
    2. 执行如下命令,修改“FAILED_LOGIN_ATTEMPTS”的值为“UNLIMITED”。  
    SQL>alter profile default limit failed_login_attempts unlimited;  
    3. 重新执行如下命令,查看“FAILED_LOGIN_ATTEMPTS”的值。  
    SQL> select * from dba_profiles s where s.profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS';  
    如果显示结果如下,则表明“FAILED_LOGIN_ATTEMPTS”配置为了无限制。  
    PROFILE          RESOURCE_NAME           RESOURCE           LIMIT ---- - DEFAULT          FAILED_LOGIN_ATTEMPTS   PASSWORD           UNLIMITED  
    如果有用户已经被锁定,则以系统用户登录 数据库,执行如下命令,对锁定的帐户解除锁定。  
    SQL> alter user msgbox identified by password account unlock;  
    在上述命令中,msgbox表示锁定的用户名,password为锁定用户的密码。

3、数据库配置空闲超时(10分钟)

ALTER PROFILE DEFAULT LIMIT IDLE_TIME 10;
select resource_name,resource_type,limit from dba_profiles where profile='DEFAULT' ;

4、audit数据异地备份

rsync -avz /opt/app/oracle/admin/icdc/adump/icdc1* root@100.0.0.123:/backup/data/audit_log/

5、禁止root远程登录,普通账户秘钥登录

  1、sshd_config中将“permitrootlogin”设置为“no” 
   2、给普通账户配置账户密码加证书登录 
   3、在xshell工具上生成密钥对,将公钥发送到需要登录的主机上,如下操作:xshell工具(cmd窗口)-工具-新建用户秘钥生成向导-下一步-下一步-配置秘钥密码--完成【只能该window可以连接远程服务器】 
   su - appuser 
   mkdir .ssh 
   cd .ssh/ 
   上传公钥 
   cat id_rsa_2048.pub >> authorized_keys 
   chmod 700 /home/appuser/.ssh/ 
   chmod 600 authorized_keys 
    
   #禁用密码验证(等保前做) 
    PasswordAuthentication no  //修改为no  133行(最后一行) 
    PermitRootLogin no

发布评论
IT序号网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!

递归算法知识解答
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。