centos系统sqlplus安全设置

以下是CentOS系统下SQL*Plus的安全设置要点：

1. 用户权限管理

   • 创建用户并设置强密码：CREATE USER username IDENTIFIED BY strong_password;
   • 按需分配权限（如CREATE SESSION、SELECT等），避免过度授权：GRANT 权限 TO username;
   • 定期清理冗余用户，禁用或删除不必要账户。

2. 密码策略强化

   • 设置密码有效期（如90天）、最小长度（≥12位）、复杂度（含大小写字母、数字、特殊符号）：通过修改/etc/pam.d/system-auth配置pam_pwquality.so参数。
   • 启用密码失败锁定（如输错5次锁定300秒）：在/etc/pam.d/system-auth中添加pam_tally2.so规则。

3. 访问控制与网络隔离

   • 限制SQL*Plus远程访问：通过防火墙（firewall-cmd）仅允许特定IP访问数据库端口（默认1521）。
   • 禁用默认的SYS用户远程登录，或强制使用强密码认证。

4. 配置文件安全

   • 编辑SQL*Plus配置文件（如glogin.sql），避免记录敏感信息，启用连接名显示以区分不同用户会话。
   • 确保配置文件权限为600，仅允许所有者读写：chmod 600 ~/.sqlplusrc。

5. 审计与监控

   • 启用数据库审计功能，记录用户操作（如AUDIT CREATE TABLE BY username;）。
   • 定期查看数据库日志（如alert.log）和SQL*Plus操作历史，及时发现异常行为。

6. 其他安全措施

   • 禁用SELinux对数据库通信的拦截（若需远程访问）：setenforce 0或修改/etc/selinux/config。
   • 定期更新Oracle补丁，修复已知安全漏洞。

参考来源：[1,2,3,4,5,6,7,8,9,10]