Linux Oracle安全防护怎么做

Linux系统Oracle安全防护是一个复杂而重要的任务，涉及到多个方面的配置和管理。以下是一些关键的安全防护措施：

数据字典保护

• 启用数据字典保护，仅允许SYSDBA用户访问数据字典基础表。
• 设置初始化参数 O7_DICTIONARY_ACCESSIBILITY = FALSE。

限制DBA组中的用户数量

• 使用 userdel命令删除多余的DBA组中的操作系统用户，仅保留一个Oracle安装用户。
• 限制在DBA组中的操作系统用户数量。

设置数据库口令复杂度

• 对采用静态口令进行认证的数据库，设置所有开启用户的口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
• 修改相关profile，设置 PASSWORD_VERIFY_FUNCTION，指定密码复杂度。

数据库用户口令生存周期

• 对于采用静态口令认证技术的数据库，设置账户口令的生存期不长于90天。
• 修改相关profile，将 PASSWORD_LIFE_TIME设置为小于等于90。

限制具有数据库超级管理员(SYSDBA)权限的用户远程登录

• 禁止具有数据库超级管理员(SYSDBA)权限的用户从远程登录。
• 修改spfile，将 REMOTE_LOGIN_PASSWORDFILE设置为 NONE。

开启数据库审计

• 根据业务要求制定数据库审计策略。
• 登录数据库，执行以下命令打开数据库审计，并重启数据库。

alter system set audit_trail='DB or OS' scope=spfile;

设置数据库监听器密码

• 为数据库监听器（LISTENER）的关闭和启动设置密码。

$ lsnrctl
LSNRCTL> set current_listener LISTENER
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=hostname)(PORT=1521)))
Password changed for LISTENER
The command completed successfully
LSNRCTL> save_config

配置可信IP地址访问控制

• 通过数据库所在操作系统或防火墙限制，只有信任的IP地址才能通过监听器访问数据库。
• 编辑 $ORACLE_HOME/network/admin/sqlnet.ora文件，添加或修改如下配置，重启数据库。

tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)

数据库连接超时

• 在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超过15分钟的空闲远程连接。
• 编辑 $ORACLE_HOME/network/admin/sqlnet.ora文件，设置 SQLNET.EXPIRE_TIME参数。

网络传输数据加密

• 使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。
• 编辑 $ORACLE_HOME/network/admin/sqlnet.ora文件，设置 sqlnet.encryption参数。

设置连接数

• 根据机器性能和业务需求，设置最大连接数。
• 以管理员权限登录数据库，执行下列命令修改连接数，如200，重启数据库。

SQL> alter system set processes=200 scope=spfile;

通过实施这些措施，可以显著提高Linux系统上Oracle数据库的安全性，保护数据免受未授权访问和攻击。