oracle基础安全配置

时间:2021-06-24 17:35:08   收藏:0   阅读:0

1、oracle中用户密码复杂度配置

    1)查看参数
    select limit from dba_profiles where resource_name=PASSWORD_VERIFY_FUNCTION and profile in (select profile from dba_users where account_status=OPEN);
    ---取值不是verify_function代表此参数还没修改
    2)修改resource_limit参数
    alter system set resource_limit = true;
    3)生成口令复杂度函数
    @$ORACLE_HOME/rdbms/admin/utlpwdmg.sql
    4)修改参数
    alter profile default limit password_verify_function verify_function;
    #取消Oracle密码复杂度检查:
    alter profile default limit password_verify_function null;

2、Oracle 配置并启用账户登录失败处理策略

    “FAILED_LOGIN_ATTEMPTS”用于配置密码连续输入出错的最大次数,超过该值则锁定该帐号。 
    1. 执行如下命令,查询“FAILED_LOGIN_ATTEMPTS”的值。 
    SQL>alter profile default limit failed_login_attempts 10; 
    SQL> select * from dba_profiles s where s.profile=DEFAULT and resource_name=FAILED_LOGIN_ATTEMPTS; 
    如果显示结果如下,则表明“FAILED_LOGIN_ATTEMPTS”配置为了10次。 
    PROFILE          RESOURCE_NAME           RESOURCE           LIMIT ------- - DEFAULT          FAILED_LOGIN_ATTEMPTS   PASSWORD           10 
    2. 执行如下命令,修改“FAILED_LOGIN_ATTEMPTS”的值为“UNLIMITED”。 
    SQL>alter profile default limit failed_login_attempts unlimited; 
    3. 重新执行如下命令,查看“FAILED_LOGIN_ATTEMPTS”的值。 
    SQL> select * from dba_profiles s where s.profile=DEFAULT and resource_name=FAILED_LOGIN_ATTEMPTS; 
    如果显示结果如下,则表明“FAILED_LOGIN_ATTEMPTS”配置为了无限制。 
    PROFILE          RESOURCE_NAME           RESOURCE           LIMIT ---- - DEFAULT          FAILED_LOGIN_ATTEMPTS   PASSWORD           UNLIMITED 
    如果有用户已经被锁定,则以系统用户登录 数据库,执行如下命令,对锁定的帐户解除锁定。 
    SQL> alter user msgbox identified by password account unlock; 
    在上述命令中,msgbox表示锁定的用户名,password为锁定用户的密码。

3、数据库配置空闲超时(10分钟)

ALTER PROFILE DEFAULT LIMIT IDLE_TIME 10;
select resource_name,resource_type,limit from dba_profiles where profile=‘DEFAULT‘ ;

4、audit数据异地备份

rsync -avz /opt/app/oracle/admin/icdc/adump/icdc1* root@100.0.0.123:/backup/data/audit_log/

5、禁止root远程登录,普通账户秘钥登录

  1、sshd_config中将“permitrootlogin”设置为“no”
   2、给普通账户配置账户密码加证书登录
   3、在xshell工具上生成密钥对,将公钥发送到需要登录的主机上,如下操作:xshell工具(cmd窗口)-工具-新建用户秘钥生成向导-下一步-下一步-配置秘钥密码--完成【只能该window可以连接远程服务器】
   su - appuser
   mkdir .ssh
   cd .ssh/
   上传公钥
   cat id_rsa_2048.pub >> authorized_keys
   chmod 700 /home/appuser/.ssh/
   chmod 600 authorized_keys
   
   #禁用密码验证(等保前做)
    PasswordAuthentication no  //修改为no  133行(最后一行)
    PermitRootLogin no

 

评论(0
© 2014 mamicode.com 版权所有 京ICP备13008772号-2  联系我们:gaon5@hotmail.com
迷上了代码!