Linux Oracle 安全设置怎么做

Linux Oracle 安全设置清单

一 操作系统与网络加固

• 保持系统与数据库补丁为最新，及时修复已知漏洞；仅启用必需服务，最小化攻击面。
• 启用并正确配置防火墙（如 firewalld/ufw），仅放通必要端口与来源，例如仅允许应用服务器与堡垒机访问数据库端口（默认 1521/TCP），严禁直接对公网开放数据库端口。
• 加固 SSH：禁用 root 登录、改用密钥登录、限制可登录用户与来源网段、修改默认端口、开启失败锁定。
• 文件系统与目录权限：确保 $ORACLE_HOME/bin、数据文件目录（如 $ORACLE_BASE/oradata）仅对 oracle 属主与必要组可读可执行，去除 world 写权限；对关键文件设置不可变位（chattr +i）以防篡改。
• 系统完整性：开启系统日志与审计（如 auditd），集中采集与长期留存；对 root 与 oracle 的 sudo 权限进行精细化授权与审计。

二 数据库账户与权限最小化

• 禁止或严格限制 SYSDBA 远程登录：将参数 REMOTE_LOGIN_PASSWORDFILE 设为 NONE（如需更高安全可结合外部口令文件与堡垒机策略）。
• 保护数据字典：设置 O7_DICTIONARY_ACCESSIBILITY = FALSE，避免普通用户通过数据字典基表直接访问元数据。
• 撤销不必要的 PUBLIC 执行权限，尤其是网络与文件 I/O 包（如 UTL_FILE、UTL_HTTP、UTL_TCP、UTL_SMTP 等），降低提权与数据外泄风险。
• 按“最小权限原则”分配账户与角色，避免授予 DBA 或带 ANY 的系统权限给应用账户；通过角色分层管理与定期审计回收过度授权。
• 使用“安全应用角色（Secure Application Roles）”与 SYS_CONTEXT 实现基于上下文（如客户端 IP、用户、时间）的按需授权，避免将高权限长期授予会话。

三 口令策略与资源限制

• 启用强密码策略：配置 PROFILE，设置 PASSWORD_LIFE_TIME ≤ 90 天、FAILED_LOGIN_ATTEMPTS、PASSWORD_LOCK_TIME、PASSWORD_REUSE_MAX/PASSWORD_REUSE_TIME、以及 PASSWORD_VERIFY_FUNCTION（自定义复杂度函数），并定期轮换关键账户口令。
• 限制 DBA 组中的操作系统账户数量，仅保留必要的 oracle 安装/运维账户，减少本地提权路径。
• 资源与会话控制：根据硬件与业务设置合理上限（如 PROCESSES/SESSIONS），防止连接耗尽与 DoS；为账户设置合理的 IDLE_TIME/SESSION_TIMEOUT。

四 网络访问控制与传输安全

• 监听器安全：为 LISTENER 设置管理密码并保存配置（lsnrctl change_password / save_config），禁止未授权本地/远程关停监听器。
• 来源 IP 白名单：在 $ORACLE_HOME/network/admin/sqlnet.ora 中启用 tcp.validnode_checking=yes 与 tcp.invited_nodes=(信任IP/网段)，仅允许受信主机连入。
• 空闲连接探测：设置 SQLNET.EXPIRE_TIME（如 15 分钟）以清理僵死连接并辅助检测半开连接。
• 传输加密：在 sqlnet.ora 中启用 SQLNET.ENCRYPTION=REQUIRED（或更高强度组合），确保客户端/中间件与数据库之间的网络数据加密。
• 架构侧优化：必要时修改默认监听端口、关闭未使用的 Extproc、关闭或限制 XDB（HTTP/FTP）服务，减少攻击面。

五 审计、加密与持续运维

• 启用数据库审计：设置 AUDIT_TRAIL=DB（或 OS），对登录/关键数据访问/权限变更等进行审计；审计表与目录受保护，定期归档与分析。
• 数据静态加密：对敏感列或表空间启用 TDE（透明数据加密），防止存储介质泄露导致的数据外泄。
• 备份与恢复演练：建立 RMAN 物理备份与 Data Pump 逻辑备份策略，定期恢复演练验证可用性与完整性。
• 纵深防御：在关键环境部署 Oracle Audit Vault and Database Firewall（AVDF），通过策略对来源 IP、时间、用户、程序名等进行细粒度控制与阻断；注意在“阻断模式”下数据库仅识别防火墙网桥 IP，需在 sqlnet.ora 的 TCP.INVITED_NODES 中加入网桥 IP，或改用 AVDF 的策略画像功能。
• 持续监控与基线：建立安全基线（账户、权限、监听、参数、补丁、开放端口等），结合日志与审计进行异常检测与告警，形成闭环整改。