oracle 安全基线配置

应更改数据库账号的默认口令，避免使用默认口令的账号登陆到数据库（Oracle数据库中的默认账号/默认密码如下：sys/change_on_install、system/manager、sysman/oem_temp、scott/tiger、aqadm/aqadm、dbsnmp/dbsnmp）

Oracle数据库中的默认账号/默认密码可能被攻击者尝试破解，给数据库安全带来威胁。

检查方法

使用sqlplus命令或者plsql工具等进入管理员账号：

sqlplus / as sysdba

conn sys/change_on_install

conn system/manager

conn sysman/oem_temp

conn scott/tiger

conn aqadm/aqadm

conn dbsnmp/dbsnmp

使用默认口令登录，查看是否可以登录成功。若可登录成功则不合规，否则合规。

配置方法

使用sqlplus命令或者plsql工具等进入管理员账号

两种合规方法（任选其一）：

1、修改密码：

alter user scott identified by password;

alter user aqadm identified by password;

2、锁定用户：

alter user scott account lock;

alter user aqadm account lock;

对于采用静态口令认证技术的数据库，应开启账号口令策略，口令长度应为8个字符及以上，口令应至少包含以下四种类别的字符中的三种：

1. 英语大写字母 A, B, C, … Z ；
2. 英语小写字母 a, b, c, … z ；
3. 西方阿拉伯数字 0, 1, 2, … 9 ；

特殊符号 @, #, $, %, &, *等。

如果账号口令不满足复杂度要求，会存在账号弱口令的风险，增加账号口令被暴力破解的概率，从而使得数据库受到安全威胁。

检查方法

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION'；

是 null则不合规，否则合规。

dba_profiles 视图
这是 Oracle 数据库里的一个数据字典视图，其中存储了各种配置文件所对应的资源限制信息。

PASSWORD_VERIFY_FUNCTION
它属于 Oracle 数据库的一种资源限制类型，其作用是设定密码复杂度验证函数。
要是将其限制值设为 NULL，那就意味着不会对密码复杂度进行验证。
若限制值为某个具体的函数名（例如 verify_function_11g），那么在创建或修改用户密码时，就会调用该函数来检验密码是否符合复杂度要求。

limit 列
在 dba_profiles 视图里，limit 列的作用是存储针对特定资源所设置的限制值。
就 PASSWORD_VERIFY_FUNCTION 这种资源限制类型来说，limit 列存储的就是密码验证函数的名称

开启密码复杂度验证：

sqlplus / as sysdba

@?/rdbms/admin/utlpwdmg.sql

? 代表 Oracle 的 ORACLE_HOME 环境变量。utlpwdmg.sql 是 Oracle 自带的一个脚本，存放在 $ORACLE_HOME/rdbms/admin/ 目录下，它的主要作用是管理密码复杂度策略。
utlpwdmg.sql的作用
创建密码验证函数：它会创建一个名为 VERIFY_FUNCTION_11G 的函数（在 Oracle 11g 及更高版本中），这个函数定义了密码必须满足的一系列规则，比如密码长度、是否包含数字和特殊字符等。
修改 DEFAULT 配置文件：该脚本会把 DEFAULT 配置文件中的 PASSWORD_VERIFY_FUNCTION 资源限制设置为 VERIFY_FUNCTION_11G，这样一来，新创建或者修改的用户密码就都需要通过复杂度检查了。

应启用数据字典保护，只有SYSDBA账号才能访问数据字典基础表。数据字典可能包含的信息如：数据库设计资料、储存的SQL程序、账号权限、账号统计、数据库的过程中的信息。

启用数据库字典保护达到保护数据库的目的，而普通dba登陆到数据库，不具备访问X$开头的表，以此来加强对数据库的保护。

数据字典中可能包含数据库设计资料、储存的SQL程序、账号权限、账号统计、数据库进程信息、数据库的增长统计、数据库性能统计等重要信息，未对数据字典进行安全防护会导致信息泄露风险提升。

检查O7_DICTIONARY_ACCESSIBILITY是否配置为FALSE，命令如下：

SQL>show parameter O7_dictionary_accessibility;

若为FALSE则合规，否则不合规。

以下操作需DBA权限

1、通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。

SQL>alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile;

关闭、重新启动数据库。

解释

数据字典访问权限：
当设置为 TRUE 时，允许普通用户直接访问数据字典基表（如 SYS.OBJ$），这是 Oracle 7.x 时代的兼容行为。
当设置为 FALSE（默认值）时，强制用户通过视图（如 DBA_OBJECTS）访问数据字典，提高安全性。
安全风险：
TRUE 值会绕过 Oracle 的标准权限检查，可能导致未授权用户获取敏感信息或执行特权操作。因此，生产环境中强烈建议保持默认值 FALSE。

应配置数据库管理账号远程连接超时策略，超时等待时间应不超过10分钟。

长时间远程连接可能被攻击者窃听到敏感信息。远程人员在离开时可能未锁屏或未采取有效保护措施，存在恶意人员借助此时间空闲进行违规操作的风险。

select limit from dba_profiles where profile='DEFAULT' and resource_name='IDLE_TIME';

查询结果值小于等于10合规，否则不合规

profile = 'DEFAULT'：指定查询默认配置文件（所有新创建用户默认继承此配置）。
resource_name = 'IDLE_TIME'：查询与 会话空闲时间相关的限制。
limit：返回具体的限制值（以分钟为单位）。

使用sqlplus命令或者plsql工具等进入管理员账号

修改超时时间（分钟）：

ALTER PROFILE DEFAULT LIMIT IDLE_TIME 10;

应设置单独账号，用于启动并运行oracle数据库，只授予该账号为完成操作所需的最小权限，禁止以操作系统超级管理员账号运行oracle；

应设置单独账号，用于启动并运行oracle数据库，只授予该账号为完成操作所需的最小权限，禁止以操作系统超级管理员账号运行oracle；

linux:

切换到oracle用户启动服务

监听：lsnrctl start

实例：sqlplus / as sysdba → startup

windows：

1、新建oracle管理账号

2、使用services.msc 进入服务管理，找到Oracle(OracleServiceORCL)服务和tnslistener(xxxTNSListener)服务服务 右键属性→登录→此账号 更改成oracle

Linux应设置软件安装目录权限不高于755，配置文件及数据文件权限不高于644。Windows的软件目录及数据文件等权限仅限管理员账号完全控制，其他账号如有需求仅限读取和执行权限。