<< 10升11g的讀書筆記(2) | 回blog首頁 | oracle中v$session_logops出現的條件 >>

2008年07月16日

10升11g的讀書筆記(3)

第三部份筆記

6、Oracle Database Security
  • Auditing
    • 11g中預設值是開起的,也可手動進門行關畢,設為 none 或 noadit
    • 可監控的操作有
      • alter any procedure
      • alter any table
      • alter database
      • alter profile
      • alter system
      • alter user
      • audit role by access
      • audit system
      • audit system by access
      • create any job
      • create any library
      • create any procedure
      • create any table
      • create external job
      • create public database link
      • create session
      • create user
      • drop any procedure
      • drop any table
      • drop profile
      • drop user
      • exempt access policy
      • grant any object privilege
      • grant any privilege
      • grant any role
    • 如是升級到11g時,要注意system tablespace空間是否足夠,因為oracle會寫入audit相關的資料到 AUD$ 中
  • passwords
    • 可查看dba_users_with_defpwd找到密碼是預設值
    • 檢查
      • 是否密碼長度小於預設長度
      • 密碼是否跟帳號相同
      • 密碼長度是否跟帳號長度相同
      • 密碼不可設為帳號從後往前寫的格式
      • 密碥不可同於server name或server name後面加上1~100的數字。如 server_name1
      • 密碼不可太過於簡單
      • 密碼必需包一個字母符號跟一個數字
    • 密碼區分大小寫
      • 預設值是開起的,如需要關畢的話,需將 sec_case_sensitive_login 設為 false
      • orapwd 建立密碼時,如需要開起密碼區分大小寫的話,需在建立密碼檔時加入 ignorecase = Y
      • 密碼可使用特殊符號如 $、_、#
    • 安全性
      • 如連續輸入錯誤的話,oracle會延長再次login的時間,最長於10 sec
      • 加網路try密碼的解決方案,是由 sec_protocol_error_further_action 設定,提供的有
        • continue : 這是預設值,就不是進行任何處理
        • dop : 去除使用者的登入權限
        • deply : 延長使用者的再入登入的間隔時間,單位是秒
      • 可定議要記錄於log中的等級,是由 sec_protocol_error_trace_action 提供,可使用的有
        • none : 沒有動作
        • trace : 預設值,寫入trace檔中
        • log : 寫入alert log中
        • alert : 由dba手動或oem中設定alert訊習
      • sec_max_failed_login_attempts : 錯誤幾次後,將停止使用者登入,預設值為10
      • sec_return_server_release_banner : 可設定不回傳oracle版本相關的訊習
    • 預設值
      • failed_login_attempts : 10
      • password_grace_tme : 7 day
      • password_life_time : 180
      • password_lock_time : 1 day
      • password_reuse_max : unlimited
      • password_reuse_time : unlimited
    • 安全性
  • Fine-Grained Access Control (FGAC)
  • tablespace encryption with transparent data encryption(TDE)
    • undo 跟 temporary 不支援加密
    • partition 支援混合式加密,也就是可部份partition加密,部份不進行加密
    • BFILES(Binary file)跟external table不支援加密
    • 加密可使用 3DES168 、 AES128 (default) 、 AES192 、 AES256
    • [DBA | ALL | USER]_tablespaces  有新的欄位 ENCRYPTED 欄位可查尋是否有使用加密於否
    •  可使用  alter table move 把加密的table移到非加密的tablespace中,table就會變成非加密型態,反之意思相同
  • other TDE-related enhancements
    • 加密功能也支援 Oracle Log Miner、logical standby database
  • Oracle SECUREFILE LOBS
    • 10g中提供的 LOBS 是BASICFILE ,在11G提供另一 LOBS,是 SECUREFILE
    • 使用 hash index 可容易分辨出是否有多份相同資料存在
    • 支援加密,可使用 3DES168 、 AES128 (default) 、 AES192 、 AES256
    • 支援壓縮 ,可使用 "一般"、"高度"
    • db_securefile 支援二種參數
      • always: 假如無法建立成 SECUREFILE 的 LOBS 的話,將自動轉成建立 BASICFILE 的 LOBS
      • force : 假如無法建立成 SECUREFILE 的 LOBS 的話,將回報錯誤

Posted by my_work at 樂多Roodo! │22:44 │回應(0)引用(0)DB
樂多分類:網路/3C 共同主題:Oracle 工具:加入樂多書籤編輯本文
Ads by Roodo! 

引用URL

http://cgi.blog.roodo.com/trackback/6516449


回最上方