oracle基础安全配置
时间:2021-06-24 17:35:08
收藏:0
阅读:0
1、oracle中用户密码复杂度配置
1)查看参数 select limit from dba_profiles where resource_name=‘PASSWORD_VERIFY_FUNCTION‘ and profile in (select profile from dba_users where account_status=‘OPEN‘); ---取值不是verify_function代表此参数还没修改 2)修改resource_limit参数 alter system set resource_limit = true; 3)生成口令复杂度函数 @$ORACLE_HOME/rdbms/admin/utlpwdmg.sql 4)修改参数 alter profile default limit password_verify_function verify_function; #取消Oracle密码复杂度检查: alter profile default limit password_verify_function null;
2、Oracle 配置并启用账户登录失败处理策略
“FAILED_LOGIN_ATTEMPTS”用于配置密码连续输入出错的最大次数,超过该值则锁定该帐号。 1. 执行如下命令,查询“FAILED_LOGIN_ATTEMPTS”的值。 SQL>alter profile default limit failed_login_attempts 10; SQL> select * from dba_profiles s where s.profile=‘DEFAULT‘ and resource_name=‘FAILED_LOGIN_ATTEMPTS‘; 如果显示结果如下,则表明“FAILED_LOGIN_ATTEMPTS”配置为了10次。 PROFILE RESOURCE_NAME RESOURCE LIMIT ------- - DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10 2. 执行如下命令,修改“FAILED_LOGIN_ATTEMPTS”的值为“UNLIMITED”。 SQL>alter profile default limit failed_login_attempts unlimited; 3. 重新执行如下命令,查看“FAILED_LOGIN_ATTEMPTS”的值。 SQL> select * from dba_profiles s where s.profile=‘DEFAULT‘ and resource_name=‘FAILED_LOGIN_ATTEMPTS‘; 如果显示结果如下,则表明“FAILED_LOGIN_ATTEMPTS”配置为了无限制。 PROFILE RESOURCE_NAME RESOURCE LIMIT ---- - DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD UNLIMITED 如果有用户已经被锁定,则以系统用户登录 数据库,执行如下命令,对锁定的帐户解除锁定。 SQL> alter user msgbox identified by password account unlock; 在上述命令中,msgbox表示锁定的用户名,password为锁定用户的密码。
3、数据库配置空闲超时(10分钟)
ALTER PROFILE DEFAULT LIMIT IDLE_TIME 10;
select resource_name,resource_type,limit from dba_profiles where profile=‘DEFAULT‘ ;
4、audit数据异地备份
rsync -avz /opt/app/oracle/admin/icdc/adump/icdc1* root@100.0.0.123:/backup/data/audit_log/
5、禁止root远程登录,普通账户秘钥登录
1、sshd_config中将“permitrootlogin”设置为“no” 2、给普通账户配置账户密码加证书登录 3、在xshell工具上生成密钥对,将公钥发送到需要登录的主机上,如下操作:xshell工具(cmd窗口)-工具-新建用户秘钥生成向导-下一步-下一步-配置秘钥密码--完成【只能该window可以连接远程服务器】 su - appuser mkdir .ssh cd .ssh/ 上传公钥 cat id_rsa_2048.pub >> authorized_keys chmod 700 /home/appuser/.ssh/ chmod 600 authorized_keys #禁用密码验证(等保前做) PasswordAuthentication no //修改为no 133行(最后一行) PermitRootLogin no
评论(0)