oracle基础安全配置

1、oracle中用户密码复杂度配置

    1)查看参数
    select limit from dba_profiles where resource_name='PASSWORD_VERIFY_FUNCTION' and profile in (select profile from dba_users where account_status='OPEN');
    ---取值不是verify_function代表此参数还没修改
    2)修改resource_limit参数
    alter system set resource_limit = true;
    3)生成口令复杂度函数
    @$ORACLE_HOME/rdbms/admin/utlpwdmg.sql
    4)修改参数
    alter profile default limit password_verify_function verify_function;
    #取消Oracle密码复杂度检查：
    alter profile default limit password_verify_function null;

2、Oracle 配置并启用账户登录失败处理策略

    “FAILED_LOGIN_ATTEMPTS”用于配置密码连续输入出错的最大次数，超过该值则锁定该帐号。
    1. 执行如下命令，查询“FAILED_LOGIN_ATTEMPTS”的值。
    SQL>alter profile default limit failed_login_attempts 10;
    SQL> select * from dba_profiles s where s.profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS';
    如果显示结果如下，则表明“FAILED_LOGIN_ATTEMPTS”配置为了10次。
    PROFILE          RESOURCE_NAME           RESOURCE           LIMIT ------- - DEFAULT          FAILED_LOGIN_ATTEMPTS   PASSWORD           10
    2. 执行如下命令，修改“FAILED_LOGIN_ATTEMPTS”的值为“UNLIMITED”。
    SQL>alter profile default limit failed_login_attempts unlimited;
    3. 重新执行如下命令，查看“FAILED_LOGIN_ATTEMPTS”的值。
    SQL> select * from dba_profiles s where s.profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS';
    如果显示结果如下，则表明“FAILED_LOGIN_ATTEMPTS”配置为了无限制。
    PROFILE          RESOURCE_NAME           RESOURCE           LIMIT ---- - DEFAULT          FAILED_LOGIN_ATTEMPTS   PASSWORD           UNLIMITED
    如果有用户已经被锁定，则以系统用户登录 数据库，执行如下命令，对锁定的帐户解除锁定。
    SQL> alter user msgbox identified by password account unlock;
    在上述命令中，msgbox表示锁定的用户名，password为锁定用户的密码。

3、数据库配置空闲超时(10分钟)

ALTER PROFILE DEFAULT LIMIT IDLE_TIME 10;
select resource_name,resource_type,limit from dba_profiles where profile='DEFAULT' ;

4、audit数据异地备份

rsync -avz /opt/app/oracle/admin/icdc/adump/icdc1* root@100.0.0.123:/backup/data/audit_log/

5、禁止root远程登录，普通账户秘钥登录

　　1、sshd_config中将“permitrootlogin”设置为“no”
   2、给普通账户配置账户密码加证书登录
   3、在xshell工具上生成密钥对，将公钥发送到需要登录的主机上，如下操作：xshell工具（cmd窗口）-工具-新建用户秘钥生成向导-下一步-下一步-配置秘钥密码--完成【只能该window可以连接远程服务器】
   su - appuser
   mkdir .ssh
   cd .ssh/
   上传公钥
   cat id_rsa_2048.pub >> authorized_keys
   chmod 700 /home/appuser/.ssh/
   chmod 600 authorized_keys

   #禁用密码验证(等保前做)
    PasswordAuthentication no  //修改为no  133行（最后一行）
    PermitRootLogin no