oracle数据库用户安全策略建议(EAS)原创
free温
15人赞赏了该文章
95次浏览
编辑于2024年04月17日 12:08:05
| 密码策略类 | 审计建议 | 答复参考 | 说明(参考操作) |
| 密码最小长度 | 6位 | 可以通过配置实现 | ALTER PROFILE DEFAULT LIMIT PASSWORD_LENGTH 6; |
| 首次登录强制修改密码 | 开启 | 不建议对现有用户开启登录强制修改密码策略,对于一般用户此策略必要性不高。在特殊情况下可以配置实现。 | 修改现有用户的密码策略 ALTER USER your_username PASSWORD EXPIRE; |
| 密码复杂度 | 字母+数字 | 可以通过配置实现 | 设置密码复杂度验证函数(如果已定义了相应的函数) ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION verify_function; |
| 密码更改频率 | 90天 | 可实现,但不建议调整为90天,通常建议大于360天,要重新注册数据中心影响业务连续性。 | ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 90; |
| 失败登录锁定次数 | 3次 | 可实现,但需要配合严格的登录路径防止爆破登录导致用户锁定影响业务连续性。 | ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 3; |
| 失败登录日志 | 开启 | 启用审计功能并配置对应的登录日志审计功能可以实现。会消耗一些数据库资源。 | ALTER SYSTEM SET audit_trail=db SCOPE=BOTH; AUDIT SESSION WHENEVER NOT SUCCESSFUL; |
| 闲置登出时间 | 15分钟 | 可实现,但不建议调整为15分钟,可能会影响业务连续性。 | 设置会话空闲超时时间和最大连接时间 ALTER PROFILE DEFAULT LIMIT IDLE_TIME 30; ALTER PROFILE DEFAULT LIMIT CONNECT_TIME 30; |
推荐阅读