在Debian上使用SQL*Plus时,可采取以下安全设置:
-
用户权限管理
- 为运行SQL*Plus的用户分配最小必要权限,避免使用
root或dba组权限运行(除非必要)。
- 定期清理无用用户,禁用默认账号(如
SYS、SYSTEM)的远程登录权限。
-
密码策略
- 强制使用复杂密码(长度≥12位,包含大小写字母、数字、特殊符号),避免默认密码。
- 设置密码有效期(如90天),过期后强制修改,并限制密码重用周期。
- 配置失败登录锁定策略(如连续5次失败后锁定300秒)。
-
访问控制
- 通过
sqlplus的PRODUCT_USER_PROFILE表限制用户可执行的命令(如禁止GRANT、SHUTDOWN等)。
- 限制远程访问,仅允许可信IP连接数据库,关闭不必要的监听端口(如1521)。
-
环境与配置安全
- 避免在命令行中直接输入密码,使用
-w参数或配置文件隐藏密码。
- 启用SSL加密传输(需配置Oracle Wallet或SSL证书)。
- 定期更新SQL*Plus和Oracle客户端到最新版本,修复安全漏洞。
-
日志与审计
- 启用SQL*Plus操作日志,记录用户执行的命令及时间。
- 结合Linux系统日志(如
/var/log/auth.log)监控异常登录行为。
参考来源: