温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

Debian系统Oracle安全设置有哪些

小樊
38
2026-01-05 17:53:14
栏目: 云计算

Debian 上 Oracle 安全设置清单

一 系统加固

  • 保持系统与软件包为最新:执行 apt update && apt upgrade,及时修补漏洞。
  • 强化 OS 账户口令:安装 libpam-pwquality,在 /etc/pam.d/common-password 配置如 minlen=12、ucredit=-1、lcredit=-1、dcredit=-1、ocredit=-1、difok=4、reject_username、enforce_for_root,并在 /etc/login.defsPASS_MAX_DAYS 设为 30 等,统一系统口令强度与周期。
  • 最小化服务与端口:关闭不必要的网络服务与端口,降低攻击面。
  • 主机加固:设置 /etc/hosts 正确解析,必要时配置 FQDN;仅使用必要内核模块与启动项。

二 用户与权限

  • 专用账户与组:创建 oracle 用户及 oinstall、dba 等组,遵循最小权限原则,禁止共享账户与 root 直连数据库。
  • 资源限制:在 /etc/security/limits.d/30-oracle.conf 为 oracle 设置 nofile、nproc、stack、memlock 等上限,防止资源耗尽与 fork 炸弹。
  • 目录与权限:软件与数据目录(如 /u01)属主 oracle:oinstall,权限 775,分离软件、数据、归档与备份目录。
  • 环境变量:在 /home/oracle/.bash_profile/etc/profile.d/oracle.sh 设置 ORACLE_HOME、ORACLE_SID、PATH、LD_LIBRARY_PATH 等,避免明文密码写入脚本。

三 内核与网络

  • 内核参数:在 /etc/sysctl.d/98-oracle.conf 配置 fs.file-max、kernel.sem、kernel.shmmni、kernel.shmall、kernel.shmmax、fs.aio-max-nr、net.core.rmem_default/max、net.core.wmem_default/max、net.ipv4.ip_local_port_range、net.ipv4.conf.all.rp_filter 等,满足 Oracle 并发与网络需求并提升稳定性。
  • 生效与验证:执行 sysctl --system 使参数生效,使用 sysctl -p 或检查 /proc/sys/ 对应项。
  • 防火墙:使用 UFWiptables 仅放行必要流量(如 SSH 22/TCP 与数据库监听端口 1521/TCP),默认拒绝。
  • SSH 安全:启用 SSH 密钥登录、禁用 root 远程登录、可更改默认端口、限制可登录用户组。

四 Oracle 数据库侧安全

  • 口令策略(Profile):创建或调整 PROFILE,设置 PASSWORD_LIFE_TIME、FAILED_LOGIN_ATTEMPTS、PASSWORD_LOCK_TIME、PASSWORD_REUSE_MAX/PASSWORD_REUSE_TIME 等,例如:
    • CREATE PROFILE sec_profile LIMIT PASSWORD_LIFE_TIME 30 FAILED_LOGIN_ATTEMPTS 5 PASSWORD_LOCK_TIME 1;
    • ALTER USER scott PROFILE sec_profile;
    • 查询:SELECT * FROM dba_profiles WHERE profile=‘SEC_PROFILE’;
  • 账户与权限最小化:仅授予 CREATE SESSION、CREATE TABLE 等业务必需权限,避免 DBA 角色滥用;按需创建角色统一授权与回收。
  • 监听器安全(lsnrctl):在 $ORACLE_HOME/network/admin/listener.ora 中仅监听必要地址(如 HOST=127.0.0.1 或内网地址)、限制 PORT,避免使用默认 1521 直曝公网;必要时设置 ADMIN_RESTRICTIONS=ON 并采用强口令保护 listener.ora/tnsnames.ora

五 运维与审计

  • 持续更新与补丁:定期 apt 升级与 Oracle PSU/CPU 应用,关注安全公告。
  • 日志与监控:集中收集 /var/log/(如 syslog、auth.log)、数据库 alert.log、listener.log,使用 Logwatch/Fail2ban 检测暴力登录与异常行为。
  • 备份与恢复:定期全备+归档,验证可恢复性;对备份与传输链路加密与校验。
  • 基线核查:定期复核 用户与权限、开放端口、口令策略、内核参数、补丁级别监听器配置

0

最新问答

相关问答

相关标签

云服务器 mysql python3 windows linux nginx ubuntu centos openssl docker vscode nvidia virtualbox debian FreeBSD Systemd AppArmor Python递归函数 香港cn2站群服务器 境外cn2云服务器
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529