Oracle 11g 安全加固

1.安全加固的检查方向 2.安全加固检查safeCheck.sh 3.安全加固执行safeExec.sh

1.安全加固的检查方向

1.1.sysdba用户远程登录限制（查看Oracle登录认证方式）

检查： show parameter remote_login_passwordfile

整改： alter system set remote_login_passwordfile = NONE scope=spfile; 注：需要重启库生效。

1.2.是否开启了资源限制

show parameter resource_limit

alter system set resource_limit = true;

1.3.登录失败的帐号锁定策略

select * from dba_profiles order by 1; 关注FAILED_LOGIN_ATTEMPTS的设定值

1.4.数据库用户帐号检查

检查： select username,profile from dba_users where account_status='OPEN';

整改： 锁定用户：alter user <用户名> lock; 删除用户：drop user <用户名> cascade;

1.5.范例数据库帐号

是否存在默认的范例数据库账号scott等，可以考虑删除scott账号

1.6.dba权限账户检查

select * from dba_role_privs where granted_role='DBA';

1.7.数据库账户口令加密存储

11g数据里面的账户口令本来就是加密存储的。

1.8.数据库密码安全性校验函数

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

1.9.设定信任IP集

只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行：

1.10.超时的空闲远程连接是否自动断开

根据实际需要设置合适的数值。 在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数： SQLNET.EXPIRE_TIME=10

2.安全加固检查safeCheck.sh

3.安全加固执行safeExec.sh

针对第9和第10步骤中的sqlnet.ora配置文件示例：

注意如果是ASM实例，sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。