資料庫加殼
㈠ 簡述oracle安全加固從哪幾個方面入手加固
1.安全加固的檢查方向
2.安全加固檢查safeCheck.sh
3.安全加固執行safeExec.sh
1.安全加固的檢查方向
1.1.sysdba用戶遠程登錄限制(查看Oracle登錄認證方式)
檢查:
show parameter remote_login_passwordfile
整改:
alter system set remote_login_passwordfile = NONE scope=spfile;
註:需要重啟庫生效。
1.2.是否開啟了資源限制
show parameter resource_limit
alter system set resource_limit = true;
1.3.登錄失敗的帳號鎖定策略
select * from dba_profiles order by 1;
關注FAILED_LOGIN_ATTEMPTS的設定值
1.4.資料庫用戶帳號檢查
檢查:
select username,profile from dba_users where account_status='OPEN';
整改:
鎖定用戶:alter user <用戶名> lock;
刪除用戶:drop user <用戶名> cascade;
1.5.範例資料庫帳號
是否存在默認的範例資料庫賬號scott等,可以考慮刪除scott賬號
1.6.dba許可權賬戶檢查
select username,profile from dba_users where account_status='OPEN';
1.7.資料庫賬戶口令加密存儲
11g數據裡面的賬戶口令本來就是加密存儲的。
1.8.資料庫密碼安全性校驗函數
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
1.9.設定信任IP集
只需在伺服器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設置以下行:
tcp.validnode_checking = yes
tcp.invited_nodes = (ip1,ip2…)
1.10.超時的空閑遠程連接是否自動斷開
根據實際需要設置合適的數值。
在$ORACLE_HOME/network/admin/sqlnet.ora中設置下面參數:
SQLNET.EXPIRE_TIME=10
2.安全加固檢查safeCheck.sh
#!/bin/bash
#name:safeCheck.sh
#function:to create a safe check report.
#usage: oracle用戶登錄,執行 sh safeCheck.sh > /tmp/safeCheck.log
#logon database
sqlplus -S / as sysdba <<EOF
--format
prompt ============================
prompt == format
prompt ============================
prompt
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30
--check
prompt ============================
prompt == 1.sysdba用戶遠程登錄限制
prompt ============================
prompt
show parameter remote_login_passwordfile
prompt 結果應為none.
prompt ======================
prompt == 2.resource_limit
prompt ======================
prompt
show parameter resource_limit
prompt 結果應為true.
prompt ===========================
prompt == 3.登錄失敗的帳號鎖定策略
prompt ===========================
prompt
select * from dba_profiles order by 1;
prompt 關注FAILED_LOGIN_ATTEMPTS參數
prompt ===========================
prompt == 4.資料庫用戶帳號檢查
prompt ===========================
prompt
select username,profile from dba_users where account_status='OPEN';
prompt 正常使用的用戶列表
prompt ==========================
prompt == 5.範例資料庫帳號
prompt ==========================
prompt
select * from all_users order by created;
prompt 關注有無示例賬戶scott
prompt ===========================
prompt == 6.dba許可權賬戶檢查
prompt ===========================
prompt
prompt ===========================
prompt == 7.資料庫賬戶口令加密存儲
prompt ===========================
prompt
prompt =============================
prompt == 8.資料庫密碼安全性校驗函數
prompt =============================
prompt
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
prompt 結果應該不為null
--logoff database
EOF
# check the files
echo ===================
echo == 9.設定信任IP集
echo ===================
echo
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)
echo ===================================
echo == 10.超時的空閑遠程連接是否自動斷開
echo ===================================
echo
#根據實際需要設置合適的數值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10
3.安全加固執行safeExec.sh
#!/bin/bash
#name:safeExec.sh
#function:to execute the script for safe.
#usage: oracle用戶登錄,執行 sh safeExec.sh > /tmp/safeExec.log
#logon database
sqlplus -S / as sysdba <<EOF
--format
prompt ============================
prompt == format
prompt ============================
set linesize 140 pagesize 50
col username for a30
col profile for a30
col resource_name for a30
col limit for a30
--execute
prompt ============================
prompt == 1.sysdba用戶遠程登錄限制
prompt ============================
alter system set remote_login_passwordfile=none scope=spfile;
prompt ======================
prompt == 2.resource_limit
prompt ======================
alter system set resource_limit=true;
prompt ===========================
prompt == 3.登錄失敗的帳號鎖定策略
prompt ===========================
alter profile default limit FAILED_LOGIN_ATTEMPTS 10;
prompt ===========================
prompt == 4.資料庫用戶帳號檢查
prompt ===========================
--select username,profile from dba_users where account_status='OPEN';
prompt I think I have nothing to do in this step.
prompt ===========================
prompt == 5.範例資料庫帳號
prompt ===========================
prompt 是否刪除範例scott用戶?
--drop user scott cascade;
prompt ===========================
prompt == 6.dba許可權賬戶檢查
prompt ===========================
prompt I think I have nothing to do in this step.
prompt ===========================
prompt == 7.資料庫賬戶口令加密存儲
prompt ===========================
prompt 11g版本,資料庫層面就是加密的嘛~
prompt =============================
prompt == 8.資料庫密碼安全性校驗函數
prompt =============================
prompt 執行創建安全性校驗函數的腳本
@?/rdbms/admin/utlpwdmg.sql
--logoff database
EOF
# check the files
echo ===================
echo == 9.設定信任IP集
echo ===================
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下
#tcp.validnode_checking = yes
#tcp.invited_nodes = (ip1,ip2…)
echo ===================================
echo == 10.超時的空閑遠程連接是否自動斷開
echo ===================================
#根據實際需要設置合適的數值。
more $ORACLE_HOME/network/admin/sqlnet.ora
#添加如下一行
#SQLNET.EXPIRE_TIME=10
針對第9和第10步驟中的sqlnet.ora配置文件示例:
注意如果是ASM實例,sqlnet.ora配置文件是grid用戶下$ORACLE_HOME/network/admin/sqlnet.ora的。
SQLNET.EXPIRE_TIME=10
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.99.*)
㈡ 資料庫安全加固的產品
應用背景及存在問題
我國已有的安全建設重要圍繞著網路防護、主機訪問和應用層安全防護以及伺服器層安全防護進行,但對真正核心的數據存儲管理的核心資料庫並沒有採取有效的防護措施。網路層安全防護的主要產品有:防火牆、網路隔離設備、入侵檢測、防病毒等;應用層安全防護的主要產品有:安全認證、統一授權等;伺服器層安全防護的主要產品有:伺服器防護、防病毒、入侵檢測、主機審計等;數據層安全防護的主要產品有:資料庫安全增強、資料庫審計、文檔防護等,數據層安全防護是存放於伺服器內的數據本身的最後一道安全防護屏障,如果網路層、應用層和伺服器層的安全防護被攻破,只要數據層安全防護有效,就不致予泄露敏感數據。可見數據層安全防護的重要性。
世界最大職業中介網站Monster遭到黑客大規模攻擊,黑客竊取在網站注冊的數百萬求職者個人信息,並進行勒索;程序員程稚瀚四次侵入北京移動充值中心資料庫,盜取充值卡密碼,獲利300 多萬元。2003 年廣東聯通7 名人員,利用內部工號和密碼,對欠費停機手機進行充值,使聯通損失260 萬元。2005 年12 月25 日,美國銀行披露,2004 年12 月下旬,丟失了包括1200 萬信用卡信息的磁帶備份. ---Gartner Research;CSI/FBI 2005 年計算機犯罪和和安全會的相關報告中提到70%的信息系統數據丟失和遭受攻擊,都來自於內部。
當前主流Oracle安全增強方案包括前置代理、應用加密和Oracle自帶加密選件DTE等。前置代理需要應用大幅改造、大量Oracle核心特性無法使用;應用加密必須由應用實現數據加密,加密數據無法檢索,已有系統無法透明移植;DTE不能集成國產加密演算法,不符合國家密碼政策。因此這幾種方案一直未能得到有效推廣。
㈢ 文件加密與資料庫加密產品有什麼區別
他們兩個是有很大的區別的,因為一個是產品,一個是將資料庫加密,很大的距離。
㈣ 資料庫加殼好還是使用https
用HTTPS直接一點,而且客戶端是看得見的。
㈤ delphi寫的exe,想知道其中引用資料庫的密碼 (程序沒有加殼)
你找個軟體dede4.5試試看看能不能反編譯你的exe
感覺你的資料庫連接密碼不是在exe文件中。如果是明文的話建議你用toad跟蹤下看看能不能得到結果。希望能得到你的50分懸賞。哈哈
㈥ 怎麼進入xserver-mysql加固mysql
確定你的mysql 是否能正常工作 登錄資料庫 cmd--「命令提示字元」窗口錄入, 錄入cd C:\mysql\bin 並按下回車鍵
將目錄切換為 cd C:\mysql\bin 再鍵入命令mysql -uroot -p,回車後提示你輸密碼,如果剛安裝好MYSQL,超級用戶root是沒有密碼的!
㈦ 360安全衛士隔離COMRes.dll 提示有程序加殼後在瀏覽器進程中,怎麼辦
comres.dll的預防以及感染之後的解決方法
目前各大殺毒軟體已經更新了comres.dll病毒的資料庫,在上網的時候打開殺毒軟體進行升級即可。如果不幸中了comres.dll病毒,必須要先殺毒,然後進行第三步的操作就可以解決。
下載地址1:
http://download.360safe.com/comres.dll
下載地址2:
http://www.dllmp.com/download-dll-files.php/dllfiles/C/comres.dll/download.html
從
\windows\system32\dllcache\comres.dll
復制到
\windows\system32
下,或是找一台安全的系統復制也可以
點開始-運行-輸入
regsvr32
comres.dll
回車注冊即可
我覺的最好用掃毒軟體再掃一次比較安全
㈧ 如何加固web伺服器防sql注入攻擊
所謂SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串,欺騙伺服器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如:
⑴ 某個ASP.NET Web應用有一個登錄頁面,這個登錄頁面控制著用戶是否有權訪問應用,它要求用戶輸入一個名稱和密碼。
⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令,或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子:
System.Text.StringBuilder query = new System.Text.StringBuilder(
"SELECT * from Users WHERE login = '")
.Append(txtLogin.Text).Append("' AND password='")
. Append(txtPassword.Text).Append("'");
⑶ 攻擊者在用戶名字和密碼輸入框中輸入"'或'1'='1"之類的內容。
⑷ 用戶輸入的內容提交給伺服器之後,伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。
⑸ 伺服器執行查詢或存儲過程,將用戶輸入的身份信息和伺服器中保存的身份信息進行對比。
⑹ 由於SQL命令實際上已被注入式攻擊修改,已經不能真正驗證用戶身份,所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。
系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權,攻擊者就可能對資料庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表。
⑴ 對於動態構造SQL查詢的場合,可以使用下面的技術:
第一:替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。
第二:刪除用戶輸入內容中的所有連字元,防止攻擊者構造出類如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢,因為這類查詢的後半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問許可權。
第三:對於用來執行查詢的資料庫帳戶,限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作,因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。 ⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外,它還使得資料庫許可權可以限制到只允許特定的存儲過程執行,所有的用戶輸入必須遵從被調用的存儲過程的安全上下文,這樣就很難再發生注入式攻擊了。
⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元,那麼不要認可表單中輸入的10個以上的字元,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。
⑷ 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。在客戶端,攻擊者完全有可能獲得網頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然後將非法內容通過修改後的表單提交給伺服器。因此,要保證驗證操作確實已經執行,唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象,例如RegularExpressionValidator,它們能夠自動生成驗證用的客戶端腳本,當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象,你可以通過CustomValidator自己創建一個。
⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據,然後再將它與資料庫中保存的數據比較,這相當於對用戶輸入的數據進行了「消毒」處理,用戶輸入的數據不再對資料庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個,非常適合於對輸入數據進行消毒處理。
⑹ 檢查提取數據的查詢所返回的記錄數量。
㈨ 我已經有文件加密系統了,還需要采購資料庫加密系統么
需要,常規的文件加密系統都表現為工具程序,一般只能對指定的文件進行加密保護,對於不同的文件可以分別設置不同的訪問口令/密碼,也可以對文件進行分類或分組,不同各類或不同分組的文件分別使用不同的訪問口令/密碼。具體保護時,有的只是在文件外面加一層殼,類似於在外面加一圈柵欄,通過口令可以打開柵欄上的門從而訪問文件;有的則是通過密碼使用一定的演算法對文件內容進行加密處理。在使用加密的文件時,需要輸入訪問口令/密碼。這種方式對於不經常使用的文件進行加密保護是可行,對於資料庫系統的數據文件,如果也使用這種方式進行加密保護,則資料庫系統幾乎無法使用。
資料庫加密系統是專門針對資料庫的使用特點和使用場景而設計研發的軟體系統,對資料庫底層數據文件的內容進行加密保護,具有完全的透明性,既不改變資料庫的工作模式,也不影響業務系統和運維人員對資料庫的訪問。資料庫加密系統使用對稱密鑰演算法對數據文件進行加密和解密,而不是簡單地使用一個口令給數據文件加殼,因此具有比常規文件加密系統使用口令保護文件更高的加密強度。另外,我們的資料庫加密系統還提供了獨立於資料庫自身訪問控制之外的增強許可權體系,可以禁止資料庫系統的超級用戶對被保護數據進行訪問,可進一步提升被保護數據的安全性。
安華金和資料庫加密從根本上解決資料庫數據的存儲安全問題。
㈩ 想開發一個應用程序,用戶採用客戶端的方式訪問遠程資料庫,宜採用哪些安全手段加固系統
系統的安全與應用環境、業務內容、客戶群都有密切關系。在該問題上可以採用一下幾種方式:
1、採用VPN技術客戶端和伺服器端構造虛擬區域網,普通互聯網客戶無法訪問。
2、伺服器端設置防火牆,可按IP分段、時間段等手段進行控制訪問。
3、在資料庫級不僅設置登入用戶/口令,還要設置各種許可權,進行多層次訪問控制。
4、在編制應用程序過程中,隱蔽登入口的訪問路徑、登入用戶名、登入口令等。