1 账号管理、认证授权1.1 账号1.1.1 SHG-Oracle-01-01-01
[td=139]编号[td=428]SHG-Oracle-01-01-01
[td=139]名称[td=428]为不同的管理员分配不同的账号
[td=139]实施目的[td=428]应按照用户分配账号，避免不同用户间共享账号,提高安全性。
[td=139]问题影响[td=428]账号混淆，权限不明确，存在用户越权使用的可能。
[td=139]系统当前状态[td=428]select * from all_users; select * from dba_users;记录用户列表
[td=139]实施步骤[td=428]1、参考配置操作create user abc1 identified by password1;create user abc2 identified by password2;建立role，并给role授权，把role赋给不同的用户2、 补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；
[td=139]回退方案[td=428]删除用户：例如创建了一个用户 A，要删除它可以这样做connect sys/密码 as sysdba;drop user A cascade;//就这样用户就被删除了
[td=139]判断依据[td=428]标记用户用途，定期建立用户列表，比较是否有非法用户
[td=139]实施风险[td=428]高
[td=139]重要等级[td=428]★★★
[td=139]备注[td=428]
1.1.2 SHG-Oracle-01-01-02
[td=139]编号[td=428]SHG-Oracle-01-01-02
[td=139]名称[td=428]删除或锁定无效账号
[td=139]实施目的[td=428]删除或锁定无效的账号，减少系统安全隐患。
[td=139]问题影响[td=428]允许非法利用系统默认账号
[td=139]系统当前状态[td=428]select * from all_users; select * from dba_users;记录用户列表
[td=139]实施步骤[td=428]1、参考配置操作alter user username lock;//锁定用户drop user username cascade;//删除用户
[td=139]回退方案[td=428]删除新增加的帐户
[td=139]判断依据[td=428]首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除
[td=139]实施风险[td=428]高
[td=139]重要等级[td=428]★★★
[td=139]备注[td=428]
1.1.3 SHG-Oracle-01-01-03
[td=139]编号[td=428]SHG-Oracle-01-01-03
[td=139]名称[td=428]限制超级管理员远程登录
[td=139]实施目的[td=428]限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。。
[td=139]问题影响[td=428]允许数据库超级管理员远程非法登陆
[td=139]系统当前状态[td=428]查看spfile,sqlnet.ora内容
[td=139]实施步骤[td=428]1、参考配置操作在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。
[td=139]回退方案[td=428]还原spfile,sqlnet.ora文件配置
[td=139]判断依据[td=428]判定条件1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库。2. 在数据库主机上以sqlplus ‘/as sysdba’连接到数据库需要输入口令。检测操作1. 以Oracle用户登陆到系统中。2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
[td=139]实施风险[td=428]高