国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

在CentOs8上安裝并配置符合等保2.0要求的Oracle 19c

IT那活兒 / 3250人閱讀
在CentOs8上安裝并配置符合等保2.0要求的Oracle 19c

點擊上方“IT那活兒”,關注后了解更多內(nèi)容,不管IT什么活兒,干就完了!!!





前  言




《中華人民共和國網(wǎng)絡安全法》于2017年6月1日正式實施,其中明確了“國家實行網(wǎng)絡安全等級保護制度”、“關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護”等內(nèi)容。網(wǎng)絡安全法為網(wǎng)絡安全等級保護制度賦予了新的含義和內(nèi)容,網(wǎng)絡安全等級保護制度進入2.0時代。

作為曾經(jīng)從事等保行業(yè)的等保測評師,深知網(wǎng)絡安全等級測評的重要性,所以現(xiàn)在把我所了解的如何配置一個符合等保2.0要求的oracle數(shù)據(jù)庫的方法分享出來,給大家提供一個參考。
在本文中我將通過從0開始安裝oracle數(shù)據(jù)庫,并對照《GBT 22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求》文件中的規(guī)定對服務器和數(shù)據(jù)庫進行安全配置。





安裝Oracle Database 19c



安裝環(huán)境:
  • 服務器:4核4G,40G硬盤 vmware虛擬機
  • 操作系統(tǒng):CentOS Linux release 8.5.2111
  • Oracle版本:19.3.0.0.0

1. 下載安裝包和預安裝包

oracle-database-ee-19c-1.0-1.x86_64.rpm
oracle-database-preinstall-19c-1.0-1.el7.x86_64.rpm

2. 上傳至centos主機

這里使用scp命令利用ssh上傳本地文件至主機:
檢查主機上的文件:

3. 安裝預安裝包

直接安裝預安裝包失敗報錯信息為依賴檢測失敗,需要首先安裝依賴。

4. 安裝依賴

如果主機可以直接連接互聯(lián)網(wǎng),可以使用dnf或yum直接搜索安裝依賴;如果主機在內(nèi)網(wǎng)環(huán)境中無法連接互聯(lián)網(wǎng),需要提前下載好依賴包上傳并提前安裝。
這里直接使用dnf搜索依賴并安裝。
由于需要的依賴中compat-libcap1和compat-libstdc++-33包通過dnf或tyum搜索不到,需要自行下載上傳安裝。
安裝:

5. 再次安裝預安裝包

成功。

6. 安裝oracle數(shù)據(jù)庫

/etc/init.d/oracledb_ORCLCDB-19c configure
安裝并啟動成功。

7. 添加環(huán)境變量

在/etc/profile.d目錄中新增文件oracle.sh,并修改內(nèi)容如下:
使修改的內(nèi)容生效source /etc/profile。
嘗試登錄數(shù)據(jù)庫成功。
在未配置防火墻的前提下,僅允許本地登錄。
如果需要網(wǎng)絡訪問,可以使用firewall-cmd --add-port={端口號}/tcp –permanent來永久開放Oracle監(jiān)聽的端口,不建議關閉防火墻。





安全配置



首先需要明確等級保護對象的安全保護等級,本次的等級保護對象是oracle數(shù)據(jù)庫系統(tǒng),為了更好的展示如何進行安全配置達到更高的要求,根據(jù)《GBT 22240-2020 信息安全技術 網(wǎng)絡安全等級保護定級指南》文件本次oracle數(shù)據(jù)庫系統(tǒng)的安全保護等級設立為三級。
明確等級保護對象的安全保護等級后就可以依照《GBT 22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求》文件中給定的要求去進行安全配置了。

1. 服務器

首先我們來對承載oracle數(shù)據(jù)庫的服務器進行安全配置。

1.1 身份鑒別

1)應對登錄的用戶進行身份標識和鑒別。身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
  • 保證系統(tǒng)中不存在空口令或者弱口令用戶;
  • 所有用戶的密碼有效期不超過90天;
    這里可以通過配置/etc/login.defs修改模板策略來保證新增用戶使用該模板策略。對于已經(jīng)存在的用戶,可以使用chage -M 90 username來配置。
  • 所有用戶配置了口令長度和復雜度要求。
    這里對于redhat系linux來說,可以修改/etc/pam.d/system-auth文件配置實現(xiàn),參考配置如下:password requisite pam_cracklib.so try_first_pass minlen=8 ucredit=-2 lcredit=-4 dcredit=-1 ocredit=-1(密碼最小長度8;至少包含2個大寫字母;至少包含4個小寫字母;至少包含一個數(shù)字;至少包含一個特殊字符)。對于其他的linux發(fā)行版,可能文件位置和文件名有所不同,但應該都大同小異。
2)應具有登錄失敗處理功能,應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。
  • 設置了登錄失敗鎖定次數(shù)。
    這里對于redhat系linux來說,可以通過修改/etc/pam.d/system-auth文件配置實現(xiàn),如配置pam_tally.so、pam_tally2.so模塊并配置deny=3(這里配置的鎖定次數(shù)不大于20即可),even_deny_root(配置對root賬號生效)。
  • 設置了超時鎖定參數(shù)。
    修改/etc/profile文件,添加export TMOUT=600(該參數(shù)值不大于1800即可)。
3)當進行遠程管理時,應采取必要措施、防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。
這里我們采取僅通過本地登錄或ssh登錄的方式進行遠程管理,保證關掉telnet等連接方式即可。
4)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
這里保證除用戶名密碼以外,采用了另外一種鑒別機制,此機制要求采用密碼技術,如調(diào)用了密碼機或采取sm1-sm4等算法。這一條一般是通過配置僅堡壘機可以登錄服務器,然后再堡壘上配置手機驗證等方式實現(xiàn)。

1.2 訪問控制

1)應對登錄的用戶分配賬戶和權限。
  • root組內(nèi)僅包括系統(tǒng)管理員的賬號,如root用戶;
  • linux文件和目錄權限設置合理。
    這里配置文件的權限不能大于644;可執(zhí)行文件不能大于755;日志文件權限,除root和審計賬戶外不可讀寫。系統(tǒng)配置文件默認權限合理。敏感文件權限值不能大于640,如數(shù)據(jù)庫連接的配置文件保存有數(shù)據(jù)庫的明文密碼。
2)應重命名或刪除默認賬號,修改默認賬戶的默認口令。
  • 默認無用的賬號不存在或已禁用或無法登錄;
  • 已重命名root;
  • 已修改root的默認口令。
3)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。
  • 無用的、過期的賬戶不存在或已禁用或無法登錄;
  • 各類管理員均使用自己分配的特定權限賬戶登錄,不存在多人使用同一賬戶的現(xiàn)象。
4)應授予管理用戶所需的最小權限,實現(xiàn)管理用戶的權限分離。
  • 除系統(tǒng)管理員外,其他賬戶均不屬于root組,無系統(tǒng)管理權限,同時UID為0的賬戶只有一個,sudoers文件不存在除root以外的用戶設置sudo權限為ALL=(ALL)ALL。僅審計賬戶具有管理日志的權限;
  • 設置了系統(tǒng)管理員,審計管理員,安全管理員賬戶(至少有系統(tǒng)管理員和審計管理員兩個角色),并合理分配了賬戶的權限,這個賬戶應由不同的人使用。
5)應由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。
  • 指定系統(tǒng)管理員或安全管理員負責權限的分配,僅指定的管理員賬號可以分配權限;
  • 各個賬戶權限的配置,均是基于安全員的安全策略配置進行的訪問控制。
6)訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級。
這里的要求linux已經(jīng)默認滿足了。
7)應對重要主體和客體設置安全標記.并控制主體對有安全標記信息資源的訪問。
這一項的要求實際上對于linux來說就是不能關閉selinux并且要求模式在enforcing強制模式下,我們在安裝oracle時并未關閉selinux,并且模式默認為enforcing強制模式,同時oracle Database 19c是支持selinux的,因此這一項實際上也是默認滿足了。

1.3 安全審計

1)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
  • 啟用syslogd或rsyslog服務,這個直接使用systemctl或者service命令開啟即可;
  • 啟用auditd服務,這個同樣使用systemctl或者service命令開啟即可。
2)審計記錄應包括事件的日期和時間,用戶、事件類型,事件是否成功及其他與審計相關的信息。
這里啟用了rsyslog和auditd服務已經(jīng)默認符合了。
3)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
這里就是要求保證日志保留六個月并且備份,可以通過各種方式實現(xiàn)。
4)應對審計進程進行保護,防止未經(jīng)授權的中斷。
權限設置合理即可,非審計管理員無法結(jié)束審計進程。

1.4 入侵檢測

1)應遵循最小安裝的原則僅安裝需要的組件和應用程序。
本次僅安裝了oracle和其他一些系統(tǒng)需要的組件和程序,并未安裝其他組件和程序,符合最小安裝原則。
2)應關閉不需要的系統(tǒng)服務、默認共享和高危端口。
本次僅開啟了22ssh端口和1251數(shù)據(jù)庫端口,并未開啟其他端口。
關閉多余的服務,如cupsd,portmap,rpc等。
3)應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制。
這里提供一個方法,實際上方法有很多種。可以通過配置/etc/hosts.allow和/etc/hosts.deny對SSH等的地址進行限制,如:sshd:192.168.0.1:allow等。
4)應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求。
不涉及。
5)應能發(fā)現(xiàn)可能存在的已知漏洞.并在經(jīng)過充分測試評估后,及時修補漏洞。
定期對服務器進行漏洞掃描即可。
6)應能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警。
這里只要安裝主機入侵檢測軟件即可,但由于linux上此類軟件大多付費且不像windows系統(tǒng)上那么多,這里就選擇第二項,在網(wǎng)絡中部署網(wǎng)絡入侵檢測系統(tǒng)。

1.5 惡意代碼防范

1)應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
安裝殺毒軟件即可。

1.6 可信驗證

可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證,并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。
這里由于我是在虛擬機中進行的操作,所以只需要在虛擬機上配置可信平臺模塊即可。

1.7 數(shù)據(jù)完整性

1)應采用校驗技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
不涉及。
2)應采用校驗技術或密碼技術保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
不涉及。

1.8 數(shù)據(jù)保密性

1)應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性.包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。
不涉及。
2)應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性.包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。
不涉及。

1.9 數(shù)據(jù)備份恢復

1)應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份和恢復功能。
不涉及。
2)應提供異地實時備份功能,利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。
不涉及。
3)應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。
服務器采用熱備或集群等方式實現(xiàn)高可用。

1.10 剩余信息保護

1)應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
不涉及。
2)應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清際。
不涉及。

1.11 個人信息保護

1)應僅采集和保存業(yè)務必需的用戶個人信懇。
不涉及。
2)應禁止未授權訪問和非法使用用戶個人信忌。
不涉及。

2. 數(shù)據(jù)庫

完成了服務器的安全配置之后,我們再來對oracle數(shù)據(jù)庫進行安全配置。

2.1 身份鑒別

1)應對登錄的用戶進行身份標識和鑒別.身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
  • 登錄數(shù)據(jù)庫需要密碼,不存在空口令、弱口令賬戶;
  • 口令復雜度策略設置如下:
    dba_profiles策略中”PASSWORD_VERIFY_FUNCTION“的值部位為NULL;
    utlpwdmg.sql中“—Check for the minimum length of the password”部分中“l(fā)ength(password)<”后面的值為8或以上。
  • 口令定期更換情況滿足如下要求
    dba_profiles策略中PASSWORD_LIFE_TIME不為UNLIMITED。
2)應具有登錄失敗處理功能,應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。
  • dba_profiles策略中FAILED_LOGIN_ATTEMPTS不為UNLIMITED且不大于100;
  • dba_profiles策略中IDLE_TIME不為UNLIMITED且不大于1800。
3)當進行遠程管理時,應采取必要措施、防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。
允許遠程管理的話,此項Oracle默認符合。因為均會采用oralce提供的文件進行連接。
4)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別.且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
這里保證除用戶名密碼以外,采用了另外一種鑒別機制,此機制要求采用密碼技術,如調(diào)用了密碼機或采取sm1-sm4等算法。這一條一般是通過配置僅堡壘機可以登錄服務器,然后再堡壘上配置手機驗證等方式實現(xiàn)。

2.2 訪問控制

1)應對登錄的用戶分配賬戶和權限。
  • 根據(jù)崗位為用戶分配賬戶和權限即可。
2)應重命名或刪除默認賬號,修改默認賬戶的默認口令。
  • 已修改默認口令,上線前口令。
3)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。
  • 保證不存在account status為“expired“的賬戶即可;
  • 刪除scott、out1n、ordsys等示例賬戶,所有賬戶均為必要的管理賬戶或者數(shù)據(jù)庫應用程序賬戶;
  • 每一個數(shù)據(jù)庫賬戶與實際用戶應為一一對應關系,不存在多人共享賬戶的情況。
4)應授予管理用戶所需的最小權限,實現(xiàn)管理用戶的權限分離。
  • 根據(jù)實際需要分配賬戶權限,權限設置滿足以下要求:
    數(shù)據(jù)庫管理員:具有DBA角色;
    其他管理員:不能有DBA角色;
    應用程序使用的賬戶:僅分配connect角色;
    開發(fā)人員:僅分配connect、Resoure角色。
  • 分配了網(wǎng)絡管理員,安全管理員,審計管理員,分別由不同管理員使用,權限之間具有相互制約的關系,sys賬戶的使用受到控制、需要申請審批。
5)應由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。
  • 指定系統(tǒng)管理員或安全管理員負責權限的分配,僅指定的管理員賬號可以分配權限;
  • 各個賬戶權限的配置,均是基于安全員的安全策略配置進行的訪問控制。
6)訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級。
這里的要求oracle已經(jīng)默認滿足了。
7)應對重要主體和客體設置安全標記.并控制主體對有安全標記信息資源的訪問。
安裝Oracle Lable Security模塊,并且配置好標簽和策略。

2.3 安全審計

1)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
  • Audit_trail結(jié)果不未none;audit_sys_operations應為true;
  • 開啟redo log重做日志。
2)審計記錄應包括事件的日期和時間,用戶、事件類型,事件是否成功及其他與審計相關的信息。
這里啟用了審計服務已經(jīng)默認符合了。
3)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
這里就是要求保證日志保留六個月并且備份,可以通過各種方式實現(xiàn)。
4)應對審計進程進行保護,防止未經(jīng)授權的中斷。
權限設置合理即可,非審計管理員無法結(jié)束審計進程。

2.4 入侵檢測

1)應遵循最小安裝的原則僅安裝需要的組件和應用程序。
不涉及。
2)應關閉不需要的系統(tǒng)服務、默認共享和高危端口。
不涉及。
3)應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制。
這里提供一個方法,實際上方法有很多種。可以通過配置sqlnet.ora或操作系統(tǒng)或網(wǎng)絡層配置數(shù)據(jù)庫遠程登錄地址限制。
4)應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求。
不涉及。
5)應能發(fā)現(xiàn)可能存在的已知漏洞.并在經(jīng)過充分測試評估后,及時修補漏洞。
定期對數(shù)據(jù)庫進行漏洞掃描即可。
6)應能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警。
這里只要主機安裝了入侵檢測軟件或在網(wǎng)絡中部署網(wǎng)絡入侵檢測系統(tǒng)即可。

2.5 惡意代碼防范

應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
不涉及。

2.6 可信驗證

可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證,并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。
不涉及。

2.7 數(shù)據(jù)完整性

1)應采用校驗技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
不涉及。
2)應采用校驗技術或密碼技術保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
不涉及。

2.8 數(shù)據(jù)保密性

1)應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性.包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。
不涉及。
2)應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性.包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。
不涉及。

2.9 數(shù)據(jù)備份恢復

1)應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份和恢復功能。
不涉及。
2)應提供異地實時備份功能,利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。
不涉及。
3)應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。
不涉及。

2.10 剩余信息保護

1)應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
不涉及。
2)應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清際。
不涉及。

2.11 個人信息保護

1)應僅采集和保存業(yè)務必需的用戶個人信懇。
采集和保存?zhèn)€人信息時需要通過正式渠道獲得用戶的同意和授權。一般會在應用程序內(nèi)部進行授權。
2)應禁止未授權訪問和非法使用用戶個人信忌。
要采取措施控制系統(tǒng)賬戶對個人信息的訪問,例如權限控制,脫敏等。


本文作者:李雙修

本文來源:IT那活兒(上海新炬王翦團隊)

文章版權歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/129602.html

相關文章

  • 19C?DG?Broker配置和測試

    19C?DG?Broker配置和測試 img{ display:block; margin:0 auto !important; width:100%; } body{ width:75%; ...

    IT那活兒 評論0 收藏2941
  • 企業(yè)數(shù)字化轉(zhuǎn)型,數(shù)據(jù)如何保護

    摘要:在企業(yè)這場數(shù)字化轉(zhuǎn)型的馬拉松賽跑中,聰明的正在尋求新的技術方案以保護企業(yè)的數(shù)據(jù)和業(yè)務安全,而英方不管在技術方案還是在實踐案例方面,都以全新的奔跑姿態(tài)與們在同一條跑道的同一水平上。企業(yè)數(shù)字化轉(zhuǎn)型就像一場馬拉松賽跑,在漫長的賽道上,哪怕最頂級的選手,也有可能會被后來者趕超。因為在數(shù)字化進程中,除了業(yè)務方向跑對之外,企業(yè)的信息安全是會影響企業(yè)戰(zhàn)略大局的關鍵。這絕非危言聳聽,而是有事實依據(jù)。美國德克...

    bovenson 評論0 收藏0

發(fā)表評論

0條評論

IT那活兒

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<