系统安全策略篇－ORACLE数据库安全建议

作用：设置密码有效期强制用户在指定天数内修改密码，否则进行警告后，锁定用户。

注：开启密码有效期，需要建立在相应间隔期限内关注修改密码的策略，否则会引起锁定后系统无法访问的风险，若无法做到则建议关闭。

设置：

（1）检查现有策略语句：Select * FROM dba_profiles s Where s.profile='DEFAULT' AND

 resource_name='PASSWORD_LIFE_TIME'; 

--若结果为某个天数如180天，说明在180天内需要修改一次数据库用户密码，若为UNLIMITED则没有限制

（2）设置策略（以设置无限制为例）：ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED

作用：设定用户登录时密码输错多少次后进行锁定，不能再登录，以及锁定多久后解锁。

设置：用DBA权限身份登录，执行以下操作

sqlplus "/ as sysdba"

SQL> @utlpwdmg.sql

SQL>ALTER PROFILE "DEFAULT" LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LOCK_TIME 1 PASSWORD_VERIFY_FUNCTION DEFAULT；

-- FAILED_LOGIN_ATTEMPTS 登录失败尝试次数

-- PASSWORD_LOCK_TIME 登录失败锁定天数

作用：可以设置数据库操作是否记录，记录在数据库表中还是操作系统文件中。

注：开启审计后，需要配套定期截断清理的策略，否则在数据库中会造成SYSTEM表空间不断增长，无法自动扩展或撑爆了数据文件、磁盘限制；在操作系统中则造成LINUX结点数量超过限制；均容易引起数据库无法正常访问。

设置：

SQL> sqlplus as sysdba

SQL> alter system set audit_sys_operations=TRUE scope=spfile

SQL> alter system set audit_trail=db scope=spfile;

SQL> shutdown immediate

SQL> startup

--audit_trail参数值的简化说明

DB：默认值，表示启动审计，信息写入SYS.AUD$数据字典中

OS：表示启动审计功能，审计信息写入操作系统文件。

NONE：表示不启动审计功能。