Waters 对于确保 NuGenesis 数据库服务器安全有什么建议?- WKB206780
文章编号: 206780点击此处访问英文版本文章
环境
- NuGenesis 9.3
- RHEL 8.4 或 Windows Server 2016/2019 上的 Oracle 19c
- NuGenesis 9.2 / Empower LMS 1.0
- RHEL 7.7 或 Windows Server 2016/2019 上的 Oracle 19c
- NuGenesis 9.1
- RHEL 7.7 或 Windows Server 2016/2019 上的 Oracle 19c
- NuGenesis 9.0.x
- RHEL 7.5 或 Windows Server 2012/2016 上的 Oracle 12c
- RHEL 7.7 上的 Oracle 19c
- NuGenesis 8 SR2
- RHEL 5.6 或 6.2 或 Windows Server 2012 上的 Oracle 11.2
答案
- 操作系统:
- 将通过 SSH/RDP 等进行的操作系统登录限制为少数需要访问系统的 DBA
- 将操作系统防火墙配置为仅允许通过端口 1521 或 TNS 侦听程序端口(如果从缺省值修改)和通过远程访问协议进行连接
- 将 Oracle 软件所有者帐户的 sudo 访问权限限制为仅需要它的帐户访问 (Linux)
- 仅配置 Oracle (Linux) 挂载所需的所有权和权限
- 使用具有有限权限的本地或域帐户运行 OracleService 和 TNS 监听器服务,而不是 LocalSystem(Oracle 的缺省服务帐户)。该帐户必须包含在 ORA_DBA 组 (Windows) 中;对 Oracle 主目录路径、数据文件路径、控制文件和恢复/存档日志中的所有文件/文件夹具有“读取/写入/修改”权限;在 Windows 中,必须具有 Log on as a service(作为服务登录)和 Log on as a batch job(作为批处理作业登录)权限
- Oracle:
- 根据 Waters 的建议,管理 NuGenesis 架构帐户
- 如果将使用 NuGenesis Stability 模块,请在配置文件“slimprofile”上设置登录尝试失败的限制:
- ALTER PROFILE slimprofile LIMIT failed_login_attempts 5;
- 在 Oracle 数据库和客户端上的 sqlnet.ora 文件中使用 SQLNet 加密。缺省情况下,在 NG 9.x 中,sqlnet.ora 将 sqlnet.encryption_server 和 sqlnet.encryption_client 设置为 Requested(已请求),将 sqlnet.encryption_types_server/sqlnet.encryption_types_client 设置为 AES256
- 评估已安装的 Oracle 数据库组件或选件是否对应于链接文章中的列表。NuGenesis 未使用的数据库组件/选件中的漏洞预计不会影响 NuGenesis 数据库;但是,如果数据库具有超出 NuGenesis 所需的组件/选件,则这些多余的组件/选件可能会带来安全风险,应将其删除。Windows 平台的 NuGenesis 数据库安装程序只安装需要的组件/选件,内嵌的许可协议不允许客户直接修改数据库,所以对于 Windows 来说,数据库组件过多的风险很低。在 Linux 平台上,客户根据自己与 Oracle 的许可条款提供 Oracle Binaries 安装,并为 NuGenesis 创建实例/PDB,因此可能安装了过多的组件/选件
- 在 NuGenesis SDMS 和 LMS 中使用 LDAP 验证(TLS 加密),应用用户无需 Oracle 数据库帐户
- 锁定或删除任何不需要的非 NuGenesis 架构帐户
- 将“最低权限”原则应用于必须保持活动状态的帐户。将 SYSDBA 访问权限限制在少数需要该权限的用户中
- 在 Oracle 12c 和 19c 数据库中,至少启用缺省的 Unified Audit Trail(统一审计追踪)策略 ORA_SECURECONFIG 和 ORA_LOGON_FAILURES。这两个缺省策略允许系统管理员检查过多的登录失败