如何在Ubuntu上保障Oracle数据安全
oracle用户及oinstall(软件安装)、dba(数据库管理)等组,将Oracle目录所有权分配给oracle:oinstall(如chown -R oracle:oinstall /u01/app/oracle),避免使用root用户运行数据库服务。/u01/app/oracle/product/19.0.0/dbhome_1)权限设为750(所有者可读写执行,组可读执行,其他用户无权限);数据目录(如/u01/app/oracle/oradata)权限设为750,防止未授权修改。1521、SSH远程管理端口22),阻止非法IP访问。示例命令:sudo ufw allow 22/tcp、sudo ufw allow 1521/tcp、sudo ufw enable。sysctl命令禁用TCP SACK(易被DoS攻击利用),降低系统风险:echo 0 > /proc/sys/net/ipv4/tcp_sack;限制本地端口范围(减少攻击面):echo 'net.ipv4.ip_local_port_range = 1024 65000' >> /etc/sysctl.conf并执行sysctl -p。DEFAULT),设置强密码规则:密码长度≥12位、有效期90天、锁定时间1天、重用次数≤5次、启用中等强度校验。示例命令:ALTER PROFILE DEFAULT LIMIT
PASSWORD_LENGTH 12
PASSWORD_LIFE_TIME 90
PASSWORD_LOCK_TIME 1
PASSWORD_REUSE_MAX 5
PASSWORD_STRENGTH MEDIUM;
ALTER SYSTEM SET audit_trail = DB, EXTENDED SCOPE=SPFILE;,重启数据库生效;审计示例:AUDIT SELECT TABLE, INSERT TABLE, UPDATE TABLE BY ACCESS;。sqlnet.ora(添加SQLNET.AUTHENTICATION_SERVICES=(TCPS))、listener.ora(指定SSL端口,如1522)及客户端tnsnames.ora(指向SSL端口)。rman target / → BACKUP DATABASE PLUS ARCHIVELOG DELETE INPUT;;定期执行备份脚本,并将备份文件存储在异地(如NAS、云存储),避免单点故障。rman target / → RESTORE DATABASE → RECOVER DATABASE。SELECT、INSERT权限;管理员授予DBA角色但限制SYSDBA权限(仅在必要时使用);禁止直接使用SYS用户进行日常操作。listener.ora)限制远程连接的IP地址,仅允许可信网络访问。示例配置:ALLOWED_HOSTS = (192.168.1.0/24, 10.0.0.1);禁用默认的REMOTE_LOGIN_PASSWORDFILE(设为NONE),防止密码文件泄露。apt更新系统:sudo apt update && sudo apt upgrade;Oracle补丁通过My Oracle Support(MOS)下载并应用,注意备份数据库后再打补丁。/var/log/syslog、/var/log/auth.log)及Oracle告警日志(alert_<SID>.log)、监听日志(listener.log),识别异常行为(如频繁登录失败、未授权访问尝试);使用Oracle Enterprise Manager(OEM)实现集中监控,及时预警安全事件。
