Vous souhaitez en savoir

plus sur la sécurité ?

Institut SANS
Évaluation de l'état de préparation opérationnelle par consensus en matière de sécurité
Cette liste de contrôle provient du projet de liste de contrôle SCORE. La republication n'est pas autorisée sans autorisation écrite expresse.

Liste de contrôle de sécurité des bases de données Oracle

Copyright L'auteur de l'Institut

SANS conserve tous les droits
 Liste de contrôle de la base de données Oracle
Préparé par Pete Finnigan

Références:
Sécurité Oracle étape par étape – Un guide de survie pour la sécurité Oracle – Pete Finnigan - SANS Press – Avril 2004 (version 1.0 et
version 2.0) Liens vers de nombreux articles et présentations utiles sur la sécurité Oracle – [Link] site
Web de sécurité Oracle [Link] page principale d' Oracle Corporation [Link]

Site de support client [Link]

Alertes de sécurité [Link]

Introduction:

Cette liste de contrôle doit être utilisée pour auditer une installation de base de données Oracle. Cette liste de contrôle n'est qu'une «
liste de contrôle » et ne contient pas de commandes SQL ou shell spécifiques car elle est destinée à être juste une liste plutôt qu'un
document « comment faire ». Il est également important que la base de données Oracle ne soit pas vérifiée de manière isolée et que
les éléments environnants tels que le système d'exploitation utilisé, la configuration réseau, l'accès Web, les serveurs d'applications et
les clients soient pris en compte.
Bien que tous les efforts aient été faits pour s'assurer que cette liste de contrôle est aussi complète et exhaustive que possible, de nouveaux problèmes et
vulnérabilités sont découverts chaque jour, alors ne comptez pas sur elle pour être exhaustive. Vérifiez régulièrement les mises à jour de cette liste.

Éléments à prendre en compte avant d'appliquer cette liste de contrôle :

· Système d'exploitation hôte: bien que cette liste de contrôle comprenne des éléments qui se rapportent spécifiquement au système d'exploitation
hébergeant l'installation Oracle, ils sont inclus car ils ont un effet direct sur Oracle. Il est impératif que le système d'exploitation hôte soit sécurisé
avant toute application (dans ce cas, Oracle). Il en va de même pour les composants réseau et autres applications hébergées sur les mêmes
serveurs. Veuillez consulter d'autres documents S.C.O.R.E ([Link] ), les benchmarks et outils du center for internet security
(CIS) ([Link] et les guides étape par étape du SANS ([Link] pour plus d'informations.
· Procédure– Il est important de prendre également en compte la sécurité physique des serveurs hébergeant la base de
données Oracle, d'utiliser des procédures et des politiques de sécurité et d'élaborer des normes de changement et de contrôle.
· Résultats et sensibilité des données – Établissez la sensibilité des données stockées dans la base de données Oracle et
établissez des règles pour signaler tout résultat de sécurité à l'organisation. Cela devrait tenir compte de la disponibilité, de la
confidentialité et de l'intégrité des données. Ceci est important pour pouvoir placer les constatations dans le bon contexte lors de
la communication des résultats d'un audit.
· Aspect pratique de la liste de contrôle – Cette liste est l'aboutissement des connaissances de nombreux praticiens de la sécurité des bases
de données Oracle et, en tant que telle, comprend toutes les questions considérées comme pertinentes pour quelqu'un. Pour certaines
organisations, certains éléments sont importants à corriger et pour d'autres non pertinents en raison de circonstances atténuantes. Oracle
peut être configuré de différentes manières, ce qui affecte la façon dont il est sécurisé. La liste a été fournie avec des niveaux de gravité pour
permettre à l'audit d'être mené à un niveau spécifié et inclut également les pertinence des versions du système d'exploitation et d'Oracle.
· Normes de sécurité des bases de données Oracle - Cette liste de contrôle peut également être utilisée pour définir une norme d'entreprise pour sécuriser Oracle.

Avant d'utiliser cette liste de contrôle pour examiner l'installation d'une base de données Oracle, il est important de comprendre
l'utilisation qui en sera faite. La façon dont la base de données est utilisée peut avoir un effet direct sur la façon dont cette liste est
lue et interprétée. Oracle est une bête compliquée à configurer sous une multitude de formes et les contrôles et solutions pertinents
pour une installation et un type d'application entreront en conflit avec un autre. L'aspect pratique est de mise !

Liste de contrôle:

Avant de présenter la liste de contrôle, quelques mots sur la signification des colonnes. La colonne Action indique les grandes sections dans
lesquelles les vérifications sont regroupées et inclut également les références d'action indiquées dans le guide pas à pas de sécurité Oracle. Les
niveaux de gravité sont définis entre 1 et 5 (1 indiquant le niveau le plus élevé). Ces niveaux ont été atteints par consensus lors de la rédaction de l'
étape par étape. La colonne O/S identifie si Unix ou Windows ou les deux peuvent être cochés. La colonne Version d'Oracle indique l'installation
Oracle appropriée et enfin la colonne Installation par défaut indique si le problème peut être pris en compte après une installation par défaut. Pour
faciliter l'identification, tous les problèmes les plus graves sont signalés par un grisage.
Niveau de Oracle Installation
Action Description gravité O/S par
Version défaut
0. Planification et évaluation des risques
0.1 Identifier et corriger les vulnérabilités connues et signalées Identifier et enregistrer les versions et les niveaux 1 TOUT TOUT OUI
TOUT TOUT
0.2 de correctifs des logiciels (Oracle et OS et applications) sur le système 1 OUI
0.3 Installez uniquement les fonctionnalités de base de données nécessaires 1 TOUT TOUT OUI
0.4 Enregistrer la configuration de la base de données et la stocker en toute 2 TOUT
TOUT
TOUT
TOUT
OUI
0.5 sécurité Enregistrer la configuration de la sécurité de la base de données 2 TOUT TOUT OUI
0.6 et la stocker en toute sécurité Examiner les procédures et les politiques 2 TOUT TOUT
OUI
de sécurité de la base de données Stocker des copies des supports TOUT TOUT
0.7 utilisés pour créer la base de données Oracle hors site Envisager
3 OUI
0.8 l'emplacement physique des serveurs Définir l'architecture sécurisée de 2 OUI
0.9 la base de données / application 3 OUI
1. Problèmes de sécurité du système d'exploitation hôte
1.1.1 Vérifier que le propriétaire du logiciel Oracle possède tous les fichiers dans 1 TOUT TOUT OUI
TOUT TOUT
1.1.2 $ORACLE_HOME/bin Verrouiller le compte du propriétaire du logiciel Oracle 1 OUI
1.1.3 Ne pas nommer le compte du propriétaire du logiciel Oracle oracle Limiter l'accès au compte du 2 TOUS TOUT
TOUT
OUI,
1.1.4 propriétaire du logiciel Utilisez des propriétaires distincts pour les différents composants d'Oracle tels 2 Unix OUI,
TOUS
1.1.5 que l' écouteur, l'agent intelligent et la base de données. 2 OUI
1.2.1 Vérifier les autorisations des fichiers dans 1 Unix TOUT
TOUT
OUI,
1.2.2 $ORACLE_HOME/bin Vérifier la valeur umask 1 Unix OUI
1.2.3 Vérifier le propriétaire et le groupe pour tous les fichiers dans $ORACLE_HOME 1 Unix TOUT
TOUT
OUI
1.2.4 Définir le type de système de fichiers, le nom d'utilisateur, le nom de groupe et les 1 Win TOUT OUI
1.2.5 problèmes d'autorisation de fichier pour Windows Emplacement des répertoires 1 Unix TOUT OUI
1.2.6 temporaires pointés par TMP_DIR et TMPDIR Vérifier les groupes de fenêtres 1 Win OUI
1.3.1 utilisés pour ORACLE_HOME et ORACLE_BASE Vérifier l'appartenance à l'OSDBA 1 ALL OUI
1.3.2 S' assurer qu'Oracle n'est pas dans le groupe racine Ne pas utiliser le nom dba pour 1 Unix OUI
1.3.3 le groupe OSDBA 1 Unix OUI
1.3.4 N'utilisez pas le nom ORA_DBA pour le groupe OSDBA sous 2 Gagnez
TOUT
TOUT
TOUT
OUI
1.4.1 Windows Vérifier les autorisations des fichiers de trace 3 TOUT
TOUT TOUT
1.4.2 Supprimer tkprof de la base de données de production Supprimer 3 TOUT OUI,
1.4.3 l' utilitaire otrace 2 OUI
1.4.4 Vérifier les autorisations des fichiers de données 1 TOUT TOUT OUI
1.4.5 Surveiller les fichiers journaux Oracle Rechercher 3 TOUT TOUT
TOUT
les fichiers temporaires sensibles Rechercher les TOUT
1.4.6 2 TOUT TOUT
fichiers de trace tertiaires Rechercher les fichiers
1.4.7 d'accès aux données distantes (RDA) 2 TOUT TOUT
1.4.8 3
1.4.9 Autorisations brutes des périphériques Liste des noms 1 Unix TOUT
TOUT
OUI
d'utilisateur et des mots de passe dans les processus
1.5.1 1 Unix
1.5.2 Restreindre la commande ps Rechercher des noms 2 Unix TOUT
TOUT
OUI
1.5.3 d'utilisateur et des mots de passe dans les fichiers 2 Unix TOUT
1.6.1 d'historique de l'interpréteur de commandes Sécuriser les 3 ALL TOUT

1.6.2 transmissions réseau Chiffrer les transmissions de données 3 ALL

1.6.3 Transmission sécurisée du mot de passe sur le serveur Transmission sécurisée du 1 TOUT TOUT
TOUT
OUI
TOUT
1.6.4 mot de passe sur le client Transmissions du pilote léger JDBC – assurez les 1 OUI
1.6.5 autorisations minimales des connexions utilisées 1 OUI
1.7.1 Autorisations sur les fichiers Oracle SUID et SGID Rechercher les fichiers SUID et 3 Unix TOUT
TOUT
OUI
1.7.2 SGID non Oracle dans $ORACLE_HOME Auditer les variables d'environnement pour 3 Unix TOUT
1.8.1 les noms d'utilisateur et les mots de passe Auditer l'ordinateur pour les scripts 3 ALL
1.8.2 contenant des noms d'utilisateur et des mots de passe Auditer cron pour les noms 2 ALL
1.8.3 d'utilisateur et les mots de passe Auditer les ordinateurs clients pour les fichiers de 2 Unix
1.8.4 configuration contenant des noms d'utilisateur et des mots de passe Supprimer les 2 ALL
1.8.5 scripts de création de base de données Utiliser les fonctions d'audit du système 2 ALL OUI
1.9.1 d'exploitation Enregistrer les fichiers journaux sur un serveur séparé à l'aide de 2 ALL OUI
1.9.2 Syslog ou l'observateur d'événements Windows Vérification de l'intégrité des fichiers 2 ALL OUI
1.9.3 système d'exploitation utilisés par Oracle Envisagez d'utiliser IDS basé sur l'hôte 2 Unix OUI
1.9.4 Examinez régulièrement les processus attendus Vérifiez les autorisations des fichiers 3 ALL
1.9.5 de contrôle Confirmez qui crée les fichiers de trace Vérifier les fichiers de trace pour 2 ALL
1.10.1 les tentatives de lecture des structures internes de la base de données 2 ALL OUI
ALL
1.11.1 3
ALL
1.11.2 3
1.11.3 S'assurer qu'aucun utilisateur ne dispose des privilèges ALTER SESSION et 1 TOUT TOUT
TOUT
OUI
TOUT
1.12.1 ALTER SYSTEM Vérifier l'existence du fichier d'exportation Modification des 1
1.12.2 mots de passe de la base de données après l'importation complète 1
1.13.1 Localisez les fichiers journaux d'archivage et vérifiez qu'aucun utilisateur, à 2 TOUT TOUS
TOUT TOUS
1.13.2 l'exception du propriétaire du logiciel, ne peut les lire Enregistrer les fichiers journaux 2
>= 9i
1.14.1 d'archivage sur le disque et les purger Auditer les tables externes utilisées 2
1.15.1 Restreindre l'accès à la compilation PL/SQL native 1 TOUT >= 9i OUI
1.16 Soyez conscient des fichiers clés contenant des hachages ou des mots de passe ou d'autres informations sensibles 3 TOUT TOUT OUI
1.17.1 L'écouteur protégé par mot de passe peut être arrêté 3 Gagner TOUT
2. Authentification Oracle
2.1.1 Auditer les activités des utilisateurs de la base de données Auditer les 3 TOUT TOUT
connexions à la base de données de l'application Auditer les mots de passe TOUT TOUT
2.1.2 3 TOUT
de la base de données des utilisateurs Établir une stratégie qui empêche les
2.1.3 utilisateurs de partager l'ID de compte Utiliser l'authentification proxy pour
2 TOUT >8 OUI
TOUS
2.1.4 résoudre les problèmes d'authentification unique 2
2.1.5 3 > 8
2.2.1 Auditer les comptes de base de données par défaut Ajouter 1 TOUT TOUT
TOUT
OUI,
une gestion des mots de passe pour les comptes par défaut TOUT
2.2.2 1 OUI
2.2.3 Auditer la connexion d'alias interne Audit les mots 2 TOUT >= 8i OUI,
de passe Oracle non liés à la base de données TOUT
2.2.4 2 ALL OUI
2.2.5 Modifier le mot de passe sys Modifier 1 TOUT TOUT
TOUT
OUI
le mot de passe du système TOUT
2.2.6 1 OUI
2.2.7 Créer un processus métier pour auditer régulièrement les comptes 2 TOUT TOUT
TOUT
par défaut Désactiver le fichier de mot de passe de connexion à TOUT
2.2.8 2 OUI,
2.2.9 distance Vérifier l'utilisation de l' espace table système par défaut 3 OUI
2.2.10 Modifier les scripts Oracle pour les comptes par défaut utilisés 1 TOUT TOUT OUI
TOUT TOUT
2.2.11 Auditer les mots de passe connus des rôles par défaut 1 OUI
2.3.1 Auditer les comptes des utilisateurs pour les mots de passe identiques au 2 TOUT TOUS
TOUT
2.3.2 nom d'utilisateur Vérifier les comptes des utilisateurs pour les mots de passe 2 TOUT TOUS
2.3.3 faibles Verrouiller les comptes de base de données dormants et les 3 TOUS
2.3.4 supprimer après un délai Arrêter l'exposition des données personnelles sur 5 TOUS
2.3.5 les comptes utilisateur Utiliser la convention de nommage obfusquée pour 5 TOUS
les comptes utilisateur Utiliser LDAP pour l'authentification externe Vérifier
2.3.6 les comptes de base de données en s'assurant qu'ils appartiennent aux
4 >= 9i
2.3.7 utilisateurs professionnels. Fichier de connexion de mot de passe distant 2 TOUS
2.4.1 sécurisé Modifier le SID et le nom du service pour les applications tierces 3 TOUS OUI,
2.5.1 Auditer les systèmes d'authentification des applications tierces et internes 4 TOUS OUI
2.6.1 3 TOUS
3. Contrôles d'accès Oracle
3.1.1 Paramètre de utl_file_dir d'audit Auditer les 3 TOUT TOUT OUI
TOUT TOUT
3.1.2 autorisations des packages dbms_backup_restore 3 TOUT OUI
3.1.3 Auditer l'accès Java au système d'exploitation 2 > 8 OUI
3.1.4 Être conscient de la façon dont Java et Oracle 2 > 8 OUI
3.1.5 interagissent Sécuriser Oracle Con Text 3 > 8 OUI
3.1.6 Supprimer oo4o si nécessaire Sécuriser la vue 2 > 7
3.2.1 ALL_USERS Sécuriser toutes les vues à ALL_ % 3 ALL
3.2.2 Sécuriser extproc Comprendre l'administration 4 ALL
3.3.1 des descripteurs d'accès aux données Accès 2 >= 8
3.4.1 sécurisé aux rôles de catalogue Accès sécurisé 4 9iAS
3.5.1 aux vues de rôle dba Protéger les rôles dba 3 ALL
3.5.2 Protéger les rôles par mot de passe Vérifier la 3 ALL
3.5.3 profondeur de la hiérarchie des rôles Adopter le 4 ALL
3.5.4 rôle Conventions de nommage Créer un rôle pour 4
3.5.5 gérer les comptes des utilisateurs Vérifier la base 5
3.5.6 de données en mode archivelog (si nécessaire) 5 OUI
3.6.1 Vérifier user_dump_dest est valide Vérifier 3
3.6.2 background_dump_dest est valide 4 OUI,
3.6.3 4 OUI
3.6.4 Vérifier core_dump_dest est valide Vérifier que 4 TOUT
TOUT
TOUT
TOUT
OUI
3.6.5 global_names est true Vérifier que log_archive_start 3 TOUT TOUT OUI
3.6.6 est défini sur true Vérifier que max_enabled_roles est 4 TOUT TOUT OUI
TOUT TOUT
3.6.7 défini correctement Vérifier que os_authent_prefix est 3 OUI
3.6.8 défini sur « » (chaîne nulle). Vérifiez que os_roles est 2 OUI
3.6.9 défini sur false 4 OUI
3.6.10 Vérifiez que O7_dictionary_accessibility est défini sur false 1 TOUT TOUT OUI
3.6.11 Vérifiez que remote_os_authent est défini sur false 3 TOUT TOUT OUI
3.6.12 Vérifiez que remote_os_roles est défini sur false 1 TOUT TOUT OUI
3.6.13 Vérifier régulièrement que les paramètres de la base de données sont les 3 TOUT TOUT
TOUT
3.6.14 mêmes que ceux du fichier de configuration Auditer l'utilisation d'IFILE et le 3 TOUT
> 9i

3.6.15 contenu des fichiers pointés par IFILE Vérifier que remote_listener est null 3 TOUT >9i OUI
3.6.16 Vérifier que pfile et spfile ne peuvent être écrits et lus que par le propriétaire du 2 ALL OUI
3.6.17 logiciel. Vérifier que le privilège de la stratégie d'accès exempté est révoqué 2 >9i OUI
3.6.18 2 TOUT
Vérifier les paramètres de verrouillage des enregistrements Vérifier les normes TOUT
OUI
3.6.19 de sécurité SQL92 2 OUI
3.7.1 Rechercher les objets non sys dans l' espace table système 1 TOUT TOUT
TOUT
OUI
Rechercher les utilisateurs disposant du privilège dba TOUT
3.8.1 1 TOUT TOUT OUI
Rechercher les utilisateurs ou les rôles auxquels sont
3.8.2 accordés TOUS les PRIVILÈGES Rechercher les privilèges
1 TOUT TOUT OUI
3.8.3 avec TOUT mot-clé accordé 1 OUI
3.8.4 Vérifier les privilèges accordés « WITH ADMIN » 2 TOUT TOUT OUI,
TOUT TOUT
3.8.5 Vérifier les privilèges accordés « WITH GRANT » 2 OUI
3.8.6 Vérifier les privilèges système accordés 1 TOUT TOUT OUI
3.8.7 Vérifier les objets d'application appartenant à des utilisateurs 2 TOUT TOUT
TOUT
OUI,
privilégiés Vérifier l'accès direct accordé aux tables et aux objets TOUT
3.8.8 2 OUI
3.8.9 Vérifiez le privilège « CRÉER UNE BIBLIOTHÈQUE » 1 TOUT TOUT OUI
3.8.10 Utiliser des rôles pour accéder aux objets de base de 3 TOUT TOUT
TOUT
OUI,
TOUT
3.8.11 données sous-jacents Auditer les privilèges d'accès 2 TOUT TOUT OUI
3.8.12 aux objets Utiliser les contraintes d'intégrité Utiliser 3 TOUT
des déclencheurs pour insérer des données critiques TOUT
3.8.13 3
Restreindre les utilisateurs à un rôle à la fois Vérifier
3.8.14 2
les utilisateurs avec le privilège « DEVENIR
3.8.15 UTILISATEUR » Vérifier le privilège CRÉER UN
2 OUI
3.8.16 RÉPERTOIRE Vérifier le privilège CRÉER UN 2 >=9i OUI
3.8.17 TRAVAIL Vérifier les utilisateurs EXTERNES 2 > = 10 OUI
3.9.1 2 g ALL OUI
3.9.2 Rechercher les utilisateurs externes qui sont dba Rechercher 1 TOUT TOUT
TOUT
OUI,
TOUT
3.9.3 les utilisateurs externes qui ont « TOUS LES PRIVILÈGES » 1 OUI
3.9.4 Assurez-vous que les utilisateurs externes disposent du moins de 2 TOUT TOUT
TOUT
privilèges possible N'utilisez pas l'authentification basée sur l'hôte distant TOUT
3.9.5 2 OUI
3.9.6 Vérifiez qu'aucun utilisateur externe ne dispose de SYSDBA ou 1 TOUT
TOUT
TOUT OUI
3.10.1 SYSOPER Révoquer le privilège d'exécution publique sur 1 TOUT > 8 OUI
3.10.2 utl_file Révoquer le privilège d'exécution publique sur utl_tcp 1 TOUT >=8,1.7 OUI
3.10.3 Révoquer le privilège d'exécution publique sur utl_http Révoquer 1
TOUT
>=8,1.7 OUI
le privilège public sur utl_smtp Auditer les privilèges d'exécution
3.10.4 1 >=8,1.7 OUI
publique sur les packages appartenant au système.
3.10.5 1 TOUS OUI
3.10.6 Révoquer le privilège d'exécution publique sur dbms_random. 2 TOUT TOUT OUI
3.10.7 Révoquer le privilège d'exécution publique le dbms_lob Révoquer 1 TOUT >= 8i OUI,
TOUT
3.10.8 tous les privilèges sur dbms_sql et dbms_sys_sql accordés 1 ALL OUI
3.10.9 Packages d'audit disponibles via un lien vers la base de données 1 TOUT TOUT
3.10.10 Utiliser les droits d'invocateur Procédures PL/SQL 2 TOUT TOUT
Auditer les objets DIRECTORY Révoquer les TOUT >= 8
3.10.11 2 TOUT OUI,
privilèges d'exécution sur [Link] Révoquer TOUT
3.10.12 2 TOUT
TOUT OUI,
les privilèges d'exécution publique sur dbms_job
3.10.13 2 OUI
3.10.14 Révoquer le privilège d'exécution publique sur dbms_scheduler 1 TOUT >=10g OUI
3.10.15 Révoquer le privilège d'exécution publique sur 2 TOUT TOUT
TOUT
OUI
owa_util Auditer directement les privilèges accordés TOUT
3.11.1 2
Accéder aux tables via des packages ou des rôles.
3.11.2 4
3.12.1 Modifier l 'espace de table par défaut des utilisateurs système. 1 TOUT TOUT OUI
3.12.2 Modifier les tablespaces par défaut et temporaires des utilisateurs 2 TOUT TOUT OUI
3.13.1 Révoquer le rôle RESOURCE des utilisateurs 1 TOUT TOUT OUI
3.13.2 Révoquer le rôle CONNECT de tous les utilisateurs 2 TOUT TOUT
TOUT
OUI
TOUT
3.13.3 Ajouter des mots de passe aux rôles critiques et 3 TOUT
3.13.4 administratifs Révoquer tous les droits non essentiels 3
3.14.1 de PUBLIC Définir la durée de vie du mot de passe 3 > 8
dans le profil à 60 Définir le temps de grâce du mot de
3.14.2 passe à 3 Définir le maximum de réutilisation du mot de
3 > 8
3.14.3 passe à 20 Définir les tentatives de connexion 2 > 8
3.14.4 infructueuses à 5 Configurer les profils pour chaque 3 > 8
TOUS
3.14.5 classe d'utilisateur de la base de données Configurer 3 TOUS
3.14.6 les paramètres généraux du profil Définir 2 TOUS
3.15.1 _trace_files_public false Vérifier les paramètres 3 TOUS
3.15.2 d'initialisation masqués 3
3.15.3 S'assurer que le système déclenche un incendie 1 TOUT >=8i OUI
3.16.1 Les objets dans les tablespaces d'application qui n'appartiennent pas au propriétaire 3 TOUT TOUT
TOUT
TOUT
3.17.1 du schéma doivent être supprimés Auditer l'utilisation des quotas par utilisateur Établir 3 TOUT TOUT OUI,
3.17.2 des utilisateurs différents pour la gestion des schémas et des données Configurer des 3 TOUT TOUT
OUI
3.18.1 conventions de nommage pour les propriétaires et administrateurs de schémas et les 5
3.19.1 utilisateurs Auditer les déclencheurs de base de données des utilisateurs 2 OUI
3.20.1 Auditer l'accès aux vues critiques appartenant au système telles que user$, link$, 1 TOUT TOUT
TOUT
OUI,
etc. Auditer l'accès à toutes les vues appartenant au système dba et au système TOUT
3.20.2 1 OUI
3.20.3 Révoquer SÉLECTIONNER N'IMPORTE QUELLE TABLE 1
3.21.1 Révoquer les privilèges de création d'objets de tous sauf les propriétaires de 2 TOUT TOUT
TOUT
OUI,
TOUT
3.21.2 schémas et les administrateurs de bases de données S'assurer que les 2 TOUT TOUT OUI,
3.22.1 utilisateurs ne peuvent voir que les objets dont ils ont besoin Vues d'audit 2 TOUT OUI
3.23.1 pour s'assurer que seul l'accès sélectionné est autorisé Réduire les risques 2
3.24.1 d'attaques par force brute Empêcher la base de données de la base de 2 OUI
3.25.1 données de lire les tables système de la base de données de l'audit 4
3.26.1 Empêcher la banque de base de données de l'audit et du serveur de couper 2
3.27.1 les communications Vérifier l'accès Internet à la base de données Oracle 2 >=9iR2 OUI,
3.28.1 Vérifier et sécuriser le pack de statistiques 2 > 8i OUI
4. Audit
4.1.1 Configurez l'audit et le stockage. 2 TOUT
TOUT
TOUT
TOUT
4.2.1 Auditer les échecs d'insertion sur les objets 2 TOUT TOUT
critiques Utiliser des déclencheurs pour capturer
4.2.2 les événements de connexion Auditer la création 2 TOUT TOUT
TOUT
OUI,
TOUT
4.3.1 de session Auditer l'utilisation de tous les 2 OUI,
4.3.2 privilèges d'octroi. Auditer l'utilisation de toutes 2 OUI
les instructions drop
4.3.3 3
4.3.4 Auditer l'utilisation de toutes les instructions 2 TOUT TOUT
TOUT
TOUT
4.3.5 alter Auditer l'utilisation de create user Auditer 3 TOUT TOUT OUI
4.3.6 l'utilisation de create role Auditer toutes les 3
4.3.7 instructions create Établir des procédures 3
4.3.8 pour examiner les journaux d'audit Utiliser Log 3 OUI
4.3.9 Miner pour auditer en cas d'investigation 4
4.4.1 Configurer l'audit de base Limiter les 2
4.4.2 utilisateurs pouvant modifier la piste d'audit 2 OUI
4.4.3 Protéger la piste d'audit Sauvegarder la piste 2 OUI
4.4.4 d'audit Purger la piste d'audit 3 OUI
4.4.5 4 OUI
4.4.6 Auditer toutes les opérations SYS 1 TOUT >=9iR2 OUI
4.5.1 Vérifier la date et l'heure des objets de base de données S'assurer que des 3 TOUT TOUS
TOUT TOUS
4.6.1 rapports et des alertes sont en place pour traiter les irrégularités détectées lors de 3 TOUT OUI
TOUS
4.7.1 l'audit Utiliser des déclencheurs pour l'audit au niveau des lignes Utiliser la sécurité 3 TOUT
>= 8
4.7.2 VPD, RLS et des étiquettes pour une protection complète des données Être 3 TOUS
4.8.1 conscient d'un éventuel défaut d'alerte des activités suspectes Être conscient d'un 2 TOUS OUI
4.9.1 2 TOUS
éventuel échec d'audit du profil de sécurité.
4.10.1 Auditer et examiner les fichiers journaux générés par Oracle 2
5. Réseautage
5.1.1 Empêcher les commandes définies sur l'écouteur 1 TOUT TOUT OUI
5.1.2 Empêcher l'accès dba distant sur sql*net v1 Auditer le fichier [Link] 4 TOUS
TOUS
TOUT
TOUT
5.1.3 Activer les sockets partagés Forcer le répartiteur MTS à utiliser des ports 5 gagnent
TOUS TOUT
5.1.4 spécifiques Ne pas utiliser les ports d'écoute standard 1521, 1526 Ne pas 3 TOUS
TOUS
5.1.5 utiliser de SID ou de noms de service connus tels que ORCL Dans les petits 4 TOUS

5.1.6 environnements, n'utilisez pas de noms d'hôte dans [Link]. Utiliser un 2 OUI,
5.1.7 pare-feu personnel sur les ordinateurs d'administrateur de base de données 2 OUI
5.1.8 Sécuriser [Link] au niveau du système d'exploitation Vérifier que la 2
5.1.9 journalisation des écouteurs est activée Restreindre les sources de 2 OUI,
5.1.10 connexions à la base de données Utiliser les noms du gestionnaire de 2 OUI,
5.1.11 connexions et Oracle pour restreindre les connexions par source 2 OUI
5.2.1 3
5.2.2 2
5.3.1 Définir le mot de passe de l'écouteur 1 TOUT TOUT OUI
5.4.1 Restreindre les informations de la bannière 3 TOUT TOUT
TOUT
d'écoute Utilisez un pare-feu pour protéger le TOUT
5.5.1 2 TOUT TOUT
5.6.1 serveur Oracle. Auditer les autorisations des 4 TOUT TOUT
fichiers clients Oracle Auditer le contenu des
5.6.2 fichiers de configuration client Auditer l'écouteur 5
5.6.3 2 OUI
5.7.1 Liens vers des bases de données d'audit pour les mots de passe en texte clair 1 TOUT TOUT OUI
5.7.2 Découvrez quels objets peuvent être vus dans la base de données liée 2 TOUT TOUT OUI
5.7.3 Créer une stratégie pour gérer les liens de base de données 1 TOUT TOUT
TOUT
OUI
L'utilisateur du lien de base de données ne doit pas être un TOUT
5.7.4 administrateur de base de données Vérifier les liens existants 1 OUI
5.7.5 vers et depuis la base de données 1 OUI
5.8.1 Confirmer les autorisations de fichier dans le répertoire d'administration 2 TOUT TOUT
TOUT
OUI
réseau Ajouter uniquement des fichiers de configuration minimum à tous les TOUT
5.8.2 clients Se tenir au courant des vulnérabilités et des correctifs de l'écouteur
2
5.9.1 Oracle 2
5.10.1 Accès dba distant sécurisé au serveur 1 TOUT TOUT
5.10.2 Utiliser un pare-feu Application Gateway 2 TOUT TOUT
5.11.1 Définissez le serveur sur dédié dans le fichier [Link] 1 TOUT TOUT OUI
5.11.2 Désactivez les ports Oracle qui ne sont pas 3 TOUT TOUT
TOUT
OUI,
TOUT
5.12.1 nécessaires. Auditer l'agent intelligent Protéger les 2 TOUT TOUT OUI,
5.12.2 mots de passe en texte clair pour SNMP Utiliser Oracle 2 TOUT TOUT OUI
5.13.1 Advanced Security pour chiffrer le transfert de données 3
5.13.2 Activer SSL pour protéger les transmissions client 3
6. Disponibilité / sauvegarde / Récupération
6.1.1 Procédures de révision et de restauration Révision et documentation des 3 TOUT TOUT
TOUT
OUI
TOUT
6.1.2 procédures de révision et de récupération des documents Stockage des 3 TOUT TOUT OUI
6.1.3 supports de sauvegarde hors site Planification des sauvegardes à froid 3 OUI
6.1.4 Validation régulière des supports de sauvegarde Interdiction de disponibilité 3 OUI
6.1.5 des sauvegardes en ligne Création et utilisation des procédures d'extraction 3 OUI
6.1.6 des supports Mise en miroir des journaux de restauration par progression en 2
6.1.7 ligne Vérification de la mise en miroir des journaux d'archivage Vérification de 2
6.2.1 l'existence et de la protection des répertoires des journaux d'archivage 2 OUI
6.3.1 Vérification de l'existence et de la protection des journaux d'archivage 2 OUI
6.3.2 Écriture des journaux d'archivage et purge Séparation du logiciel Oracle à 2 OUI
6.3.3 partir des données et à partir du rétablissement et de l'archivage en ligne 3 OUI
6.4.1 Conserver les fichiers de données Oracle sur des disques séparés Utiliser 3 OUI
6.4.2 OFA Utiliser l'entrelacement et la mise en miroir ou RAID pour les données 3 OUI
Oracle Effacer magnétiquement les anciens disques contenant des données
6.4.3 5
de base de données. Documenter et examiner les procédures de reprise
6.4.4 4
après sinistre Inclure les utilisateurs professionnels dans la planification de la
6.5.1 2
reprise après sinistre
6.6.1 4 OUI,
6.6.2 4 OUI
7. Développement d'applications
7.1.1 Identifier et encapsuler tout le code PL/SQL dans la base de données Somme de contrôle de tous 2 TOUT TOUT
TOUT
OUI
TOUT
7.1.2 les objets PL/SQL de la base de données Vérifier le code PL/SQL pour les noms d'utilisateur et 3 TOUT TOUT
7.1.3 les mots de passe codés en dur Vérifier le code PL/SQL pour détecter d'éventuelles attaques par 3
7.1.4 injection SQL S'assurer que le code d'Oracle contient le moins d'informations possible sur la 2
7.1.5 structure du schéma Pré-compiler le code Java avant de le charger dans la base de données 3
7.1.6 Vérifier quelles applications accèdent à la base de données et comment et d'où Implémenter des 3 OUI
7.2.1 procédures pour limiter les applications qui peuvent accéder à la base de données et à partir de 2
7.2.2 quel endroit Limiter l'accès des outils d'administration à la base de données Lors de la mise hors 2
7.2.3 service d'anciennes applications, supprimer tous les fichiers binaires et fichiers Vérifier les 3
7.3.1 procédures d'ajout de nouvelles applications Établir des procédures pour les déménageurs, les 4
7.4.1 sortants et les jonctions Vérifier les autorisations des fichiers d'application Vérifier les preuves de 4
7.5.1 développement sur les bases de données de production Restreindre les requêtes ad hoc sur la 2
7.6.1 base de données de production Vérifier les autorisations des utilisateurs dans les bases de 3
7.7.1 données de test et de développement Vérifier Liens de base de données avec accès aux bases 3
7.8.1 de données de production des systèmes de développement ou de test Assurez-vous que les 3
7.9.1 données « en direct » conservées dans le cadre du test ou du développement sont mutilées ou 2
7.9.2 obscurcies. 2
7.9.3 2
7.9.4 Ne pas localiser les bases de données de test et de développement sur le même serveur que la 2
7.9.5 production Assurez-vous qu'il n'y a pas d'accès entre les tests et le développement et la production 2
7.9.6 Pas d'accès des développeurs à la production 1 TOUT TOUT OUI
7.9.7 Aucun compte de base de données de développeur ne doit exister sur la base de données de 2 TOUT
TOUT
TOUT
TOUT
7.9.8 production Sauvegardes et exportations copie les mots de passe pour le test et le développement : 2 TOUT TOUT
7.9.9 assurez-vous qu'ils ne sont pas identiques Placez le développement et le test sur différents 2 TOUT TOUT
TOUT TOUT
7.10.1 segments de réseau vers la production Déplacez tous les objets non applicatifs des tablespaces 2
7.10.2 d'application Assurez-vous qu'aucun utilisateur privilégié ne possède d'objets d'application Auditez 2
7.11.1 les ressources utilisées par la base de données 2
7.12.1 Ne pas dupliquer l'authentification Oracle 1 TOUT TOUT
7.12.2 N'utilisez pas une connexion à une base de données pour authentifier 2 TOUT TOUS
TOUT TOUS
7.13.1 tous les autres utilisateurs N'utilisez pas de propriétaires de schéma 2 TOUT TOUS
7.13.2 pour les tâches d'administration Assurez-vous que le propriétaire du 2 TOUS
7.13.3 schéma n'est pas un administrateur de données Verrouillez les 2 TOUS
7.14.1 comptes du propriétaire du schéma Auditez les synonymes publics Ne 5 >= 8
7.15.1 2 TOUS
codez pas en dur les noms d'utilisateur et les mots de passe dans le
7.15.2 code source de l'application Envisagez de ne pas utiliser Java 2
7.15.3 N'autorisez pas les applications à modifier le schéma 2
7.16.1 Les processus par lots doivent accéder à la base de données via un compte 1 TOUT TOUT
TOUT
TOUT
7.16.2 conçu N'utilisez pas de comptes externes pour les processus par lots Envisagez 1 TOUT TOUT
7.16.3 la récupération et l'utilisation des mots de passe dans les planificateurs 1 TOUT TOUT
7.16.4 N'activez les comptes de base de données par lots qu'en cas de besoin 1
7.17.1 Utiliser le profil utilisateur du produit pour sécuriser SQL*Plus Vérifier 4 TOUT TOUT
TOUT
TOUT
7.17.2 les privilèges de l'outil de requête Chiffrer les données critiques Vérifier 3 TOUT TOUT
7.18.1 les applications générées pour détecter les faiblesses connues Vérifier 2
7.19.1 les bibliothèques publiques utilisées pour détecter les vulnérabilités 2
7.19.2 connues Utiliser le contrôle des modifications Vérifier l'utilisation des 2
7.20.1 files d'attente avancées Vérifier les outils utilisés pour les fuites de mot 2
7.21.1 de passe S'assurer qu'aucun outil n'offre un meilleur accès à la base 2
7.22.1 de données que l'application Somme de contrôle des fichiers 2
7.23.1 d'application pour les chevaux de Troie 2
7.24.1 2
7.25.1 Démarrer le serveur HTTP Oracle en tant qu'utilisateur non privilégié 1 TOUT >= 9i OUI
7.25.2 Configurer HTTPS et sécuriser l'écouteur 3 TOUT > 9i OUI
TOUT
7.25.3 Ajouter une authentification pour les utilisateurs 2 TOUT > 9i OUI
7.25.4 Définir des mots de passe HTTP Configurer le 2 TOUT > 9i OUI
7.25.5 profil utilisateur du produit pour iSQL*Plus 3 > 9i OUI
7.25.6 Restreindre l'accès aux bases de données 2 > 9i OUI
7.25.7 Désactiver iSQL*Plus sur les serveurs de production 1 TOUT >= 9i OUI
7.26.1 Passez en revue la façon d'activer et de désactiver diverses fonctionnalités 2 TOUT TOUT
TOUT
TOUT
7.27.1 d'accès à la base de données, par exemple : Interfaces du débogueur IFS 2
7.28.1 Protect Ne divulguez pas d'informations système au public 2 OUI
8. Serveurs d'applications et niveau intermédiaire
Portail Oracle
8.1.1 Sécuriser la page d'administration du portail DAD 2 TOUT 9iAS OUI
8.1.2 Cryptage du mot de passe DAD Sécuriser les mots de 1 TOUT 9iAS OUI
TOUT
8.1.3 passe des utilisateurs du portail dans la base de données 1 9iAS OUI
8.1.4 Restreindre l'URL de la passerelle du portail 2 TOUT 9iAS OUI
8.1.5 Supprimer les exemples de programmes du portail Révoquer DBA 1 TOUT 9iAS OUI
des utilisateurs de la base de données d'administration du portail TOUT
8.1.6 1 9iAS OUI
8.1.7 Restreindre l'accès aux OWA_UTL et autres packages PL/SQL 1 TOUT 9iAS OUI
 Portail Oracle Wireless
8.2.1 Créez un utilisateur et un mot de passe sans fil sécurisés 3 TOUT 9iAS OUI
Oracle Web Cache
8.3.1 Vérifier les autorisations sur les fichiers contenant le mot de passe 1 TOUT 9iAS OUI,
TOUT
8.3.2 administrateur Webcache Vérifier les autorisations sur [Link] 1 9iAS OUI
Oracle iCache
8.4.1 Réinitialiser les mots de passe de compte par défaut dans la base de données cache de la base de données 1 TOUT 9iAS OUI
8.4.2 Vérifier les autorisations pour les fichiers d'exportation utilisés pour créer le cache de la base de données 2 TOUT 9iAS OUI
Apache
8.5.1 Protéger le mot de passe SYSTEM apparaît dans le titre 2 TOUT 9iAS OUI,
TOUT
8.5.2 de la fenêtre d'installation d'Apache Modifier les numéros 3 9iAS OUI,
8.5.3 de port par défaut 3 9iAS OUI
8.5.4 Appliquer des correctifs de sécurité au serveur web 1 TOUT 9iAS OUI
8.5.5 Courir nessus contre 9iAS 4 TOUT 9iAS OUI
8.5.6 Protéger le fichier [Link] Supprimer les 1 TOUT 9iAS OUI
TOUT 9iAS
8.5.7 exemples de programmes OJSP Protéger contre la 1 TOUT OUI
9iAS
8.5.8 lecture des fichiers de classe JSP par un attaquant 1 TOUT 9iAS OUI
8.5.9 Restreindre les services de surveillance dynamique 1 9iAS OUI
Serveur de fichiers Internet Oracle
8.6.1 Changer le mot de passe IFS 1 TOUT 9iAS OUI
Serveur de rapports Oracle
8.7.1 Sécurisez les rapports 1 TOUT 9iAS OUI
8.7.2 Utiliser uniquement les rapports compilés 2 TOUT 9iAS OUI,
Renommer l'exécutable rwcgi60 TOUT
8.7.3 3 9iAS OUI
XML/XSL et le servlet XSQL
8.8.1 Protéger [Link] Supprimer les fichiers 3 TOUT 9ias OUI
TOUT 9ias
8.8.2 de classe de servlet Désactiver l'URL du servlet 2 TOUT OUI
8.8.3 3 9ias
Supprimer des exemples XSQL Dans XSQL OUI
9ias
8.8.4 Utiliser des variables de liaison Définir 3 9ias OUI
8.8.5 allow-client-style=no dans [Link] 3 9ias
8.8.6 Supprimer XSQL XDK des bases de production 3 9ias
8.8.7 Restreindre l'URL d'état XSQL Modifier le 2 9ias
8.8.8 mappage de l'URL du servlet 3 9ias
8.8.9 3 9ias
 Dernière mise à jour : 13 mai 2024

Formation SANS à venir

Cliquez ici pour une liste complète de tous les événements SANS à venir par emplacement

Leadership SANS et sécurité du cloud - Crystal City 2024 Arlington, VAUS 20 mai 2024 - 24 mai 2024 Événement en direct

SANS Amsterdam Mai 2024 Amsterdam, Terre-Neuve-et-Labrador 20 mai 2024 - 01 juin 2024 Événement en direct

SANS SEC530 Canberra 2024 Canberra, ACT, AU 27 mai 2024 - 01 juin 2024 Événement en direct

SANS Cyber Défense Thaïlande 2024 Bangkok, TH 27 mai 2024 - 01 juin 2024 Événement en direct

SANS Philippines SEC504 2024 Manille, PH 27 mai 2024 - 01 juin 2024 Événement en direct

SANS Summer Dunes 2024 Riyad, Afrique du Sud 01 juin 2024 - 06 juin 2024 Événement en direct

SANS Muscat June 2024 Mascate, OM 01 juin 2024 - 06 juin 2024 Événement en direct

SANS Miami 2024 Coral Gables, FLUS 03 juin 2024 - 15 juin 2024 Événement en direct

SANS Munich June 2024 Munich, DE 03 juin 2024 - 08 juin 2024 Événement en direct

SANS Paris June 2024 Paris, FR 10 juin 2024 - 15 juin 2024 Événement en direct

SANS Madrid June 2024 Madrid, ES 10 juin 2024 - 15 juin 2024 Événement en direct

Sommet et formation sur la sécurité SANS ICS 2024 Orlando, Floride 16 juin 2024 - 24 juin 2024 Événement en direct

SANS Tbilisi June 2024 Tbilissi, GE 17 juin 2024 - 22 juin 2024 Événement en direct

SANS Varsovie Juin 2024 Varsovie, PL 17 juin 2024 - 22 juin 2024 Événement en direct

SANS Cyber Defence Japon 2024 Tokyo, JP 17 juin 2024 - 29 juin 2024 Événement en direct

SANS Rocky Mountain Été 2024 Denver, COUS 17 juin 2024 - 22 juin 2024 Événement en direct

SANS Cyber Defence Australie 2024 Canberra, ACT, AU 24 juin 2024 - 06 juil. 2024 Événement en direct

SANS San Antonio 2024 San Antonio, États-Unis 24 juin 2024 - 29 juin 2024 Événement en direct

SANS Zurich Juin 2024 Zurich, CH 24 juin 2024 - 29 juin 2024 Événement en direct

SANS Londres Juillet 2024 Londres, Grande-Bretagne 01 juil. 2024 - 06 juil. 2024 Événement en direct

SANSFIRE 2024 Washington, DCUS 15 juil. 2024 - 20 juil. 2024 Événement en direct

SANS Amsterdam Juillet 2024 Amsterdam, Terre-Neuve-et-Labrador 15 juil. 2024 - 20 juil. 2024 Événement en direct

SANS Pen Test Hackfest Europe Summit & Training - Amsterdam, Terre-Neuve-et-Labrador 21 juil. 2024 - 27 juil. 2024 Événement en direct

Amsterdam 2024 (Garantie du prix le plus bas)

Sensibilisation à la sécurité SANS : Sommet sur la gestion des risques humains 2024 Norfolk, VAUS 29 juil. 2024 - 02 août 2024 Événement en direct

SANS New York City Été 2024 New York, NYUS 29 juil. 2024 - 03 août 2024 Événement en direct

SANS Indonésie 2024 Jakarta, ID 29 juil. 2024 - 03 août 2024 Événement en direct

SANS Londres Août 2024 Londres, Grande-Bretagne 05 août 2024 - 10 août 2024 Événement en direct

SANS Nashville 2024 Nashville, États-Unis 05 août 2024 - 10 août 2024 Événement en direct

SANS Melbourne 2024 Melbourne, VIC, AU 12 août 2024 - 17 août 2024 Événement en direct

SANS Chicago 2024 Chicago, États-Unis 12 août 2024 - 17 août 2024 Événement en direct

SANS Doha Mai 2024 QA en ligne 18 mai 2024 - 23 mai 2024 Événement en direct

SANS OnDemand Livres et MP3 OnlyUS Toujours Auto-rythmé