Oracle等保測(cè)評(píng)相關(guān)指令

1. Oracle用戶管理:
   SQL*Plus
   create user 用戶名 identified by 密碼; //創(chuàng)建用戶
   grant 權(quán)限(dba=管理員，resource=普通用戶，connect=訪客) to 用戶名; //授權(quán)
   drop user 用戶名 cascade; //刪除用戶，加cascade會(huì)把用戶創(chuàng)建的所有東西刪除

2. Linux設(shè)置用戶超時(shí)：
   /etc/profile //主要控制全局變量等
   TMOUT //設(shè)置用戶無(wú)操作時(shí)間，自動(dòng)斷開(kāi)連接，全局，單位為秒

3. Linux查看用戶賬戶限制：
   /etc/login.defs //主要控制密碼有效期
   PASS_MAX_DAYS //用戶密碼最長(zhǎng)使用周期
   PASS_MIN_DAYS //用戶密碼最短使用周期
   PASS_MIN_LEN //用戶密碼最短長(zhǎng)度
   PASS_WARN_AGE //密碼過(guò)期前提示
   MD5_CRYPE_ENAB //對(duì)用戶密碼進(jìn)行MD5加密

   /etc/pam.d/system-auth //主要控制密碼復(fù)雜度等
   password requisite pam_cracklib.so
   retry //如果密碼強(qiáng)度不夠，允許重輸?shù)拇螖?shù)
   difok //允許新舊密碼相同字符的個(gè)數(shù)
   minlen //最短密碼長(zhǎng)度
   dcredit //限制新密碼必須有多少個(gè)數(shù)字
   ucredit //限制新密碼必須有多少個(gè)大寫字母
   lcredit //限制新密碼必須有多少個(gè)小寫字母
   ocredit //限制新密碼必須有多少個(gè)特殊字符

   /etc/pam.d/login //主要控制登陸次數(shù)，如果限制所有方式，則修改system-auth
   auth required pam_tally2.so //主要控制登錄次數(shù)和鎖定用戶
   even_deny_root //也限制root用戶的登陸次數(shù)
   deny //設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的最大次數(shù)
   unlock_time //設(shè)定普通用戶鎖定后的解鎖時(shí)間，單位是秒
   root_unlock_time //設(shè)定root用戶鎖定后的解鎖時(shí)間，單位是秒

4. Oracle查看用戶賬戶限制：
   SQLPlus：select from dba_profiles; //控制密碼策略和系統(tǒng)資源
   密碼策略：
   PASSWORD_LOCK_TIME //登錄失敗達(dá)到一定次數(shù)后的賬戶鎖定時(shí)間，單位為天
   PASSWORD_VERYFY_FUNCTION //放置密碼驗(yàn)證腳本
   FAILED_LOGIN_ATEMPTS //賬戶被鎖定前最大登錄次數(shù)
   PASSWORD_LIFE_TIME //密碼最大使用周期，單位為天
   PASSWORD_REUSE_TIME //密碼重用前的最大天數(shù)
   PASSWORD_REUSE_MAX //密碼被重用前改變的次數(shù)

   系統(tǒng)資源：
   SESSION_PER_USER    //限制用戶并發(fā)會(huì)話數(shù)
   CPU_PER_SESSION     //會(huì)話的CPU時(shí)間限制，單位百分之一秒
   CPU_PER_CALL        //指定一次調(diào)用的CPU時(shí)間限制，單位百分之一秒
   CONNECT_TIME        //指定會(huì)話的總的連接世界，單位為分鐘
   IDLE_TIME       //指定會(huì)話超時(shí)時(shí)間
   LOGICAL_READS_PER_SESSION //指定一個(gè)會(huì)話允許讀的數(shù)據(jù)塊的數(shù)量，包括內(nèi)存和硬盤
   LOGICAL_READ_PER_CALL   //指定一次SQL所允許讀的數(shù)據(jù)塊的最大數(shù)量
   PRIVATE_SGA     //指定一個(gè)會(huì)話在共享池的最大分配空間，單位為字節(jié)
   COMPOSITE_LIMIT     //指定一個(gè)會(huì)話的總的資源消耗，以service units單元表示

   //Oracle默認(rèn)密碼控制函數(shù)為不允許與用戶名相同、最小密碼長(zhǎng)度為4、（密碼不允許包含welcome、user、account、database、password、computer、abcd）、（需要包含數(shù)字、字母和符號(hào)）、不能與上次的密碼有3個(gè)字符相同、登錄失敗3次后鎖定一分鐘、密碼最長(zhǎng)使用60天

5. Oracle遠(yuǎn)程管理數(shù)據(jù)加密：
   sqlnet.ora
   sqlnet.encryption=true //對(duì)遠(yuǎn)程管理數(shù)據(jù)進(jìn)行加密

6. Oracle查看所有用戶狀態(tài)；
   SQLPlus
   select username,account_status from dba_users; //查看所有用戶名，用戶狀態(tài)
   select from all_users; //查看所有用戶名，查看所有用戶ID和創(chuàng)建日期

7. Oracle查看特定用戶被授予的角色和系統(tǒng)特權(quán)1：
   SQLPlus
   select from dba_role_privs where grantee='用戶名'; //查詢用戶的角色
   select from dba_sys_privs where grantee='用戶名'; //查詢用戶的系統(tǒng)特權(quán)
   select from dba_tab_privs where grantee='用戶名'; //查詢用戶包含的對(duì)象權(quán)限

8. Oracle審計(jì)功能：
   $ORACLE_HOME/dbs/init.ora
   audit_trail //如果為true，啟用審計(jì)，記錄存放在sys.aud$表
   audit_file_dest //如果上一條為os，需要指定該參數(shù)，審計(jì)記錄保存在該參數(shù)指定的目錄
   SQL*Plus
   alter system set audit_trail=none scope=spfile;

9. Oracle禁用操作系統(tǒng)認(rèn)證登錄數(shù)據(jù)庫(kù)：
   $ORACLE_HOME/network/admin/sqlnet.ora
   SQLNET.AUTHENTICATION_SERVICES=(NONE)