oracle 安全配置方案有哪些

對Oracle進行安全配置最主要和方便好用的就是限制訪問的ip，主要有三個辦法。

方法一：

防火墻指定，windows中通過windows防火墻中指定監聽端口的訪問ip，linux中通過iptables指定監聽端口的訪問ip。

方法二：

windows中可通過ipsec指定監聽端口的訪問ip。

方法三：

可通過oracle的監聽器中指定可訪問的ip，在服務器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設置以下行：

tcp.validnode_checking = yes

允許訪問的ip

tcp.invited_nodes = (ip1,ip2…)

不允許訪問的ip

tcp.excluded_nodes=(ip1,ip2,……)

修改端口 可以修改監聽器的端口，減少掃描量

關閉不必要的服務 可以關閉不必要的服務來減少對外訪問，除了OracleServiceORCL和OracleOraDb11g_home1TNSListener是必須開啟的之外，其他的均可以關閉。特別是OracleDBConsoleorcl服務的開啟會啟用web版的EM，訪問端口在1158，如不需要請關閉此服務。

所有的用戶均需設置強密碼 在設置密碼的時候均需要設置8位以上的強密碼，且包含大小寫，數字，特殊字符。

關閉不需要的用戶 oracle默認會有4個不鎖定的賬戶，建議鎖定DBSNMP和SYSMAN。

特權賬戶的處理 限制數據庫超級管理員遠程登錄。 a. 在spfile中設置 REMOTE_LOGIN_PASSWORDFILE=NONE b.在sqlnet.ora中設置 SQLNET.AUTHENTICATION_SERVICES=NONE 禁用SYSDBA角色的自動登錄

開啟日志 可以開啟日志對數據庫進行審計,但是也會消耗資源，可根據實際情況操作。

網站使用的數據庫賬號權限最小化 可以根據上面寫的網站連接數據庫賬戶推薦的方案建立。

合理使用數據庫進程賬戶 數據庫進程賬戶使用較低權限賬戶,新建一個新用戶，添加數據目錄的寫權限，如果配置之后跑不起來，可以退而求其次，給予整個數據庫目錄的完全控制權限。

合理配置數據庫進程賬戶對磁盤的權限 不要給予數據庫目錄以外的特殊權限，最好是讀取權限都不給，可以根據實際情況來安排，原則就是數據庫目錄給的權限能保證正常運行，其他的目錄能不給就不給。

回答所涉及的環境：聯想天逸510S、window server 2008 x64。