Oracle等保測評相關指令

標籤：會話   逾時   被鎖   password   硬碟   profile   管理員   oracle審計   root使用者   

Oracle使用者管理:
SQL*Plus
create user 使用者名稱 identified by 密碼; //建立使用者
grant 許可權(dba=管理員，resource=普通使用者，connect=訪客) to 使用者名稱; //授權
drop user 使用者名稱 cascade; //刪除使用者，加cascade會把使用者建立的所有東西刪除

Linux設定使用者逾時：
/etc/profile //主要控制全域變數等
TMOUT //設定使用者無操作時間，自動中斷連線，全域，單位為秒

Linux查看使用者賬戶限制：
/etc/login.defs //主要控制密碼有效期間
PASS_MAX_DAYS //使用者密碼最長使用周期
PASS_MIN_DAYS //使用者密碼最短使用周期
PASS_MIN_LEN //使用者密碼最短長度
PASS_WARN_AGE //密碼到期前提示
MD5_CRYPE_ENAB //對使用者密碼進行MD5加密

/etc/pam.d/system-auth //主要控制密碼複雜度等
password requisite pam_cracklib.so
retry //如果密碼強度不夠，允許重輸的次數
difok //允許新舊密碼相同字元的個數
minlen //最短密碼長度
dcredit //限制新密碼必須有多少個數字
ucredit //限制新密碼必須有多少個大寫字母
lcredit //限制新密碼必須有多少個小寫字母
ocredit //限制新密碼必須有多少個特殊字元

/etc/pam.d/login //主要控制登陸次數，如果限制所有方式，則修改system-auth
auth required pam_tally2.so //主要控制登入次數和鎖定使用者
even_deny_root //也限制root使用者的登陸次數
deny //設定普通使用者和root使用者連續錯誤登陸的最大次數
unlock_time //設定普通使用者鎖定後的解鎖時間，單位是秒
root_unlock_time //設定root使用者鎖定後的解鎖時間，單位是秒

Oracle查看使用者賬戶限制：
SQLPlus：select from dba_profiles; //控制密碼原則和系統資源
密碼原則：
PASSWORD_LOCK_TIME //登入失敗達到一定次數後的賬戶鎖定時間，單位為天
PASSWORD_VERYFY_FUNCTION //放置密碼驗證指令碼
FAILED_LOGIN_ATEMPTS //賬戶被鎖定前最大登入次數
PASSWORD_LIFE_TIME //密碼最大使用周期，單位為天
PASSWORD_REUSE_TIME //密碼重用前的最大天數
PASSWORD_REUSE_MAX //密碼被重用前改變的次數

系統資源：SESSION_PER_USER    //限制使用者並發會話數CPU_PER_SESSION     //會話的CPU時間限制，單位百分之一秒CPU_PER_CALL        //指定一次調用的CPU時間限制，單位百分之一秒CONNECT_TIME        //指定會話的總的串連世界，單位為分鐘IDLE_TIME       //指定會話逾時時間LOGICAL_READS_PER_SESSION //指定一個會話允許讀的資料區塊的數量，包括記憶體和硬碟LOGICAL_READ_PER_CALL   //指定一次SQL所允許讀的資料區塊的最大數量PRIVATE_SGA     //指定一個會話在共用池的最大分配空間，單位為位元組COMPOSITE_LIMIT     //指定一個會話的總的資源消耗，以service units單元表示

//Oracle預設密碼控制函數為不允許與使用者名稱相同、最小密碼長度為4、（密碼不允許包含welcome、user、account、database、password、computer、abcd）、（需要包含數字、字母和符號）、不能與上次的密碼有3個字元相同、登入失敗3次後鎖定一分鐘、密碼最長使用60天

Oracle遠端管理資料加密：
sqlnet.ora
sqlnet.encryption=true //對遠端管理資料進行加密

Oracle查看所有使用者狀態；
SQLPlus
select username,account_status from dba_users; //查看所有使用者名稱，使用者狀態
select from all_users; //查看所有使用者名稱，查看所有使用者ID和建立日期

Oracle查看特定使用者被授予的角色和系統特權1：
SQLPlus
select from dba_role_privs where grantee=‘使用者名稱‘; //查詢使用者的角色
select from dba_sys_privs where grantee=‘使用者名稱‘; //查詢使用者的系統特權
select from dba_tab_privs where grantee=‘使用者名稱‘; //查詢使用者包含的對象許可權

Oracle審計功能：
$ORACLE_HOME/dbs/init.ora
audit_trail //如果為true，啟用審計，記錄存放在sys.aud$表
audit_file_dest //如果上一條為os，需要指定該參數，審計記錄儲存在該參數指定的目錄
SQL*Plus
alter system set audit_trail=none scope=spfile;

Oracle禁用作業系統認證登入資料庫：
$ORACLE_HOME/network/admin/sqlnet.ora
SQLNET.AUTHENTICATION_SERVICES=(NONE)

Oracle等保測評相關指令