LSNR_DIRECT_ADMIN_NAMEPOLICY监听程序直接管理 LSNR_DIRECT_ADMIN_DESCPOLICY确保不允许对监听程序配置进行运行时修改 LSNR_DIRECT_ADMIN_IMPACTPOLICY能够访问正在运行的监听程序的攻击者可以使用 lsnrctl 程序执行运行时修改 (例如, SET 操作)。 LSNR_DIRECT_ADMIN_RECOMMPOLICY所有监听程序必须禁用直接管理。在 listener.ora 中将 ADMIN_RESTRICTIONS_listener_name 设置为 ON。 LSNR_HOST_NAME_NAMEPOLICY在 Listener.ora 中使用主机名 LSNR_HOST_NAME_DESCPOLICY确保在 listener.ora 中将监听程序主机指定为 IP 地址, 而不是主机名 LSNR_HOST_NAME_IMPACTPOLICY不安全的域名系统 (DNS) 服务器可以被用来发起欺骗攻击。名称服务器故障会导致监听程序无法解析主机。 LSNR_HOST_NAME_RECOMMPOLICY在 listener.ora 中主机应指定为 IP 地址。 LSNR_LOG_FILE_OWN_NAMEPOLICY监听程序日志文件所有者 LSNR_LOG_FILE_OWN_DESCPOLICY确保监听程序日志文件的所有者是 Oracle 软件所有者 LSNR_LOG_FILE_OWN_IMPACTPOLICY日志文件中的信息会透露重要的网络和数据库连接详细资料。如果日志文件的所有者不是 Oracle 软件所有者, 会导致其内容被公开, 造成安全隐患。 LSNR_LOG_FILE_OWN_RECOMMPOLICY监听程序日志文件的所有者必须是 Oracle 软件所有者。 ALLOWED_LOGON_VERSION_NAMEPOLICY允许的登录版本 ALLOWED_LOGON_VERSION_DESCPOLICY确保服务器仅允许从具有匹配版本或更高版本的客户机登录 ALLOWED_LOGON_VERSION_IMPACTPOLICY将 sqlnet.ora 中的参数 SQLNET.ALLOWED_LOGON_VERSION 设置为低于服务器版本的版本值将强制服务器使用不安全的验证协议。 ALLOWED_LOGON_VERSION_RECOMPOLICY将 sqlnet.ora 中的参数 SQLNET.ALLOWED_LOGON_VERSION 设置为服务器的主要版本。将该值设置为更旧的版本可能会暴露验证协议中可能存在的漏洞。 CLIENT_LOG_DIR_PERM_NAMEPOLICYOracle Net Client 日志目录权限 CLIENT_LOG_DIR_PERM_NAME_NTPOLICYOracle Net Client 日志目录权限 (Windows) CLIENT_LOG_DIR_PERM_DESCPOLICY请确保客户机日志目录是由 oracle 系统拥有的有效目录, 并且没有设置公共权限 CLIENT_LOG_DIR_PERM_IMPACTPOLICY日志文件提供包含在错误堆栈中的信息。错误堆栈是指发生网络错误时由 Oracle 通信堆栈中的各层所生成的信息。日志文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 CLIENT_LOG_DIR_PERM_RECOMMPOLICY客户机日志目录必须是由 Oracle 系统拥有的有效目录, 并且没有设置公共权限。 CLIENT_LOG_DIR_OWN_NAMEPOLICYOracle Net Client 日志目录所有者 CLIENT_LOG_DIR_OWN_DESCPOLICY请确保客户机日志目录是由 oracle 系统拥有的有效目录 CLIENT_LOG_DIR_OWN_IMPACTPOLICY日志文件提供包含在错误堆栈中的信息。错误堆栈是指发生网络错误时由 Oracle 通信堆栈中的各层所生成的信息。日志文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 CLIENT_LOG_DIR_OWN_RECOMMPOLICY客户机日志目录必须是由 Oracle 系统拥有的有效目录。 SERV_LOG_DIR_PERM_NAMEPOLICYOracle Net Server 日志目录权限 SERV_LOG_DIR_PERM_NAME_NTPOLICYOracle Net Server 日志目录权限 (Windows) SERV_LOG_DIR_PERM_DESCPOLICY请确保服务器日志目录是由 oracle 系统拥有的有效目录, 并且没有设置公共权限 SERV_LOG_DIR_PERM_IMPACTPOLICY日志文件提供包含在错误堆栈中的信息。错误堆栈是指发生网络错误时由 Oracle 通信堆栈中的各层所生成的信息。日志文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 SERV_LOG_DIR_PERM_RECOMMPOLICY服务器日志目录必须是由 Oracle 系统拥有的有效目录, 并且没有设置公共权限。 SERV_LOG_DIR_OWN_NAMEPOLICYOracle Net Server 日志目录所有者 SERV_LOG_DIR_OWN_DESCPOLICY请确保服务器日志目录是由 oracle 系统拥有的有效目录 SERV_LOG_DIR_OWN_IMPACTPOLICY日志文件提供包含在错误堆栈中的信息。错误堆栈是指发生网络错误时由 Oracle 通信堆栈中的各层所生成的信息。日志文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 SERV_LOG_DIR_OWN_RECOMMPOLICY服务器日志目录必须是由 Oracle 系统拥有的有效目录。 CLIENT_TRC_DIR_PERM_NAMEPOLICYOracle Net Client 跟踪目录权限 CLIENT_TRC_DIR_PERM_NAME_NTPOLICYOracle Net Client 跟踪目录权限 (Windows) CLIENT_TRC_DIR_PERM_DESCPOLICY请确保客户端跟踪目录是由 oracle 系统拥有的有效目录, 并且没有设置公共权限 CLIENT_TRC_DIR_PERM_IMPACTPOLICY跟踪用于在执行网络事件时生成描述这些事件的详细的语句序列。跟踪某个操作, 可以获得比日志文件中提供的更为详细的有关 Oracle Net Services 组件的内部操作的信息。此文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 CLIENT_TRC_DIR_PERM_RECOMMPOLICY客户机跟踪目录必须是由 Oracle 系统拥有的有效目录, 并且没有设置公共权限。 CLIENT_TRC_DIR_OWN_NAMEPOLICYOracle Net Client 跟踪目录所有者 CLIENT_TRC_DIR_OWN_DESCPOLICY请确保客户机跟踪目录是由 oracle 系统拥有的有效目录 CLIENT_TRC_DIR_OWN_IMPACTPOLICY跟踪用于在执行网络事件时生成描述这些事件的详细的语句序列。跟踪某个操作, 可以获得比日志文件中提供的更为详细的有关 Oracle Net Services 组件的内部操作的信息。此文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 CLIENT_TRC_DIR_OWN_RECOMMPOLICY客户机跟踪目录必须是由 Oracle 系统拥有的有效目录。 SERV_TRC_DIR_PERM_NAMEPOLICYOracle Net Server 跟踪目录权限 SERV_TRC_DIR_PERM_NAME_NTPOLICYOracle Net Server 跟踪目录权限 (Windows) SERV_TRC_DIR_PERM_DESCPOLICY请确保服务器跟踪目录是由 oracle 系统拥有的有效目录, 并且没有设置公共权限 SERV_TRC_DIR_PERM_IMPACTPOLICY跟踪用于在执行网络事件时生成描述这些事件的详细的语句序列。跟踪某个操作, 可以获得比日志文件中提供的更为详细的有关 Oracle Net Services 组件的内部操作的信息。此文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 SERV_TRC_DIR_PERM_RECOMMPOLICY服务器跟踪目录必须是由 Oracle 系统拥有的有效目录, 并且没有设置公共权限。 SERV_TRC_DIR_OWN_NAMEPOLICYOracle Net Server 跟踪目录所有者 SERV_TRC_DIR_OWN_DESCPOLICY请确保服务器跟踪目录是由 oracle 系统拥有的有效目录 SERV_TRC_DIR_OWN_IMPACTPOLICY跟踪用于在执行网络事件时生成描述这些事件的详细的语句序列。跟踪某个操作, 可以获得比日志文件中提供的更为详细的有关 Oracle Net Services 组件的内部操作的信息。此文件中的信息可能透露重要的网络和数据库连接详细资料。允许访问该日志目录可能导致这些日志文件被公开。 SERV_TRC_DIR_OWN_RECOMMPOLICY服务器跟踪目录必须是由 Oracle 系统拥有的有效目录。 SQLNET_PERM_NAMEPOLICY限制 Sqlnet.ora 权限 SQLNET_PERM_NAME_NTPOLICY限制 Sqlnet.ora 权限 (Windows) SQLNET_PERM_DESCPOLICY请确保 sqlnet.ora 文件不是可公共访问的文件 SQLNET_PERM_IMPACTPOLICY如果 sqlnet.ora 是公共可读的, 则恶意用户就可以尝试读取该文件, 因此可能导致泄漏敏感信息。例如, 可能泄漏客户机和服务器的日志和跟踪目标信息。 SQLNET_PERM_RECOMMPOLICY不应授予对 sqlnet.ora 文件的任何公共权限。 LSNR_LOG_FILE_PERM_NAMEPOLICY监听程序日志文件权限 LSNR_LOG_FILE_PERM_NAME_NTPOLICY监听程序日志文件权限 (Windows) LSNR_LOG_FILE_PERM_DESCPOLICY确保监听程序日志文件不能被执行公共读写操作 LSNR_LOG_FILE_PERM_IMPACTPOLICY日志文件中的信息会透露重要的网络和数据库连接详细资料。允许访问该日志文件会导致其内容被公开, 造成安全隐患。 LSNR_LOG_FILE_PERM_RECOMMPOLICY监听程序日志文件不能被执行公共读写操作。请将文件权限限制在 Oracle 软件所有者和 DBA 组中。 LSNR_TRACE_DIR_PERM_NAMEPOLICY监听程序跟踪目录权限 LSNR_TRACE_DIR_PERM_NAME_NTPOLICY监听程序跟踪目录权限 (Windows) LSNR_TRACE_DIR_PERM_DESCPOLICY确保监听程序跟踪目录没有公共读/写权限 LSNR_TRACE_DIR_PERM_IMPACTPOLICY允许访问跟踪目录会导致其内容公开, 造成安全隐患。 LSNR_TRACE_DIR_PERM_RECOMMPOLICY监听程序跟踪目录不能被执行公共读/写操作。请将目录权限限制在 Oracle 软件所有者和 DBA 组中。 LSNR_TRACE_DIR_OWN_NAMEPOLICY监听程序跟踪目录所有者 LSNR_TRACE_DIR_OWN_DESCPOLICY确保监听程序跟踪目录是由 Oracle 软件所有者拥有的有效目录 LSNR_TRACE_DIR_OWN_IMPACTPOLICY如果跟踪目录的所有者不是 Oracle 软件所有者, 会导致跟踪文件的内容公开, 造成安全隐患。 LSNR_TRACE_DIR_OWN_RECOMMPOLICY监听程序跟踪目录的所有者必须是 Oracle 软件所有者。 LSNR_TRACE_FILE_OWN_NAMEPOLICY监听程序跟踪文件所有者 LSNR_TRACE_FILE_OWN_DESCPOLICY确保监听程序跟踪目录是由 Oracle 软件所有者拥有的有效目录 LSNR_TRACE_FILE_OWN_IMPACTPOLICY如果跟踪目录的所有者不是 Oracle 软件所有者, 会导致跟踪文件的内容公开, 造成安全隐患。 LSNR_TRACE_FILE_OWN_RECOMMPOLICY监听程序跟踪目录的所有者必须是 Oracle 软件所有者。 LSNR_TRACE_FILE_PERM_NAMEPOLICY监听程序跟踪文件权限 LSNR_TRACE_FILE_PERM_NAME_NTPOLICY监听程序跟踪文件权限 (Windows) LSNR_TRACE_FILE_PERM_DESCPOLICY确保监听程序跟踪文件不是可公共访问的 LSNR_TRACE_FILE_PERM_IMPACTPOLICY允许访问跟踪文件会导致跟踪其内容公开, 造成安全隐患。 LSNR_TRACE_FILE_PERM_RECOMMPOLICY监听程序跟踪文件不能被执行公共读/写操作。请将文件权限限制在 Oracle 软件所有者和 DBA 组中。 LSNR_PASSWD_NAMEPOLICY监听程序口令 LSNR_PASSWD_DESCPOLICY确保对监听程序的访问受口令保护 LSNR_PASSWD_IMPACTPOLICY如果不使用口令保护, 用户可以获得对监听程序的访问权限。一旦用户可以访问监听程序, 就可以停止监听程序。还可以设置口令以防止他人管理监听程序。 LSNR_PASSWD_RECOMMPOLICY应使用 CHANGE_PASSWORD 命令, 通过难以破解的口令保护所有监听程序。 LSNR_LOG_STATUS_NAMEPOLICY监听程序事件记录状态 LSNR_LOG_STATUS_DESCPOLICY确保启用了监听程序事件记录。 LSNR_LOG_STATUS_IMPACTPOLICY如果不启用监听程序事件记录, 就不会得到监听程序受到攻击的通知。 LSNR_LOG_STATUS_RECOMMPOLICY通过将 LOG_STATUS 参数设置为 ON 来启用监听程序事件记录。 LSNR_DFLT_NAME_NAMEPOLICY监听程序默认名称 LSNR_DFLT_NAME_DESCPOLICY确保不使用监听程序的默认名称 LSNR_DFLT_NAME_IMPACTPOLICY如果监听程序使用默认名称, 会增加发生未授权访问和拒绝服务攻击的风险。 LSNR_DFLT_NAME_RECOMPOLICY避免让监听程序使用默认名称 (LISTENER)。 LSNR_ORA_PERM_NAMEPOLICYListener.ora 权限 LSNR_ORA_PERM_NAME_NTPOLICYListener.ora 权限 (Windows) LSNR_ORA_PERM_DESCPOLICY确保将 listener.ora 的文件权限限制在 Oracle 软件所有者 LSNR_ORA_PERM_IMPACTPOLICY如果 listener.ora 文件是公共可读的, 就可以从该文件提取口令。这样还会导致泄露有关监听程序, 数据库和应用程序配置的详细资料。另外, 如果该文件具有公共写权限, 恶意用户还可以删除针对该监听程序设置的任何口令。 LSNR_ORA_PERM_RECOMMPOLICYListener.ora 权限应限制在 Oracle 软件安装的所有者和 DBA 组中。 Sqlnetora_Inbound_Connect_Timeout_NAMEPOLICYOracle Net 入站连接超时 Sqlnetora_Inbound_Connect_Timeout_IMPACTPOLICY如果没有此参数或者为其指定较高的值, 则在不经过验证的情况下, 客户机到数据库服务器的连接可能会无限期或在指定持续时间内保持打开状态。不经过验证的连接可能会招致拒绝服务攻击, 而恶意客户机企图藉此向数据库服务器涌进占用资源的连接请求。 Sqlnetora_Inbound_Connect_Timeout_DESCPOLICY确保与 Oracle Net 的所有未完成的入站连接具有有限的有效期 Sqlnetora_Inbound_Connect_Timeout_RECOMMPOLICY为 sqlnet.ora 中的 SQLNET.INBOUND_CONNECT_TIMEOUT 参数设置可能的最低值。确保此参数的值高于 listener.ora 文件中 INBOUND_CONNECT_TIMEOUT_listener_name 参数的值。 Lsnrora_Inbound_Connect_Timeout_NAMEPOLICY监听程序入站连接超时 Lsnrora_Inbound_Connect_Timeout_IMPACTPOLICY此限制可以保护监听程序免于为没有完成的客户机连接请求使用和保留资源。恶意用户可以使用此限制向监听程序涌进给授权用户带来拒绝服务的请求。 Lsnrora_Inbound_Connect_Timeout_DESCPOLICY确保与 Oracle 监听程序的所有未完成的入站连接具有有限的有效期 Lsnrora_Inbound_Connect_Timeout_RECOMMPOLICY为 listener.ora 中的 INBOUND_CONNECT_TIMEOUT_listener_name 参数设置可能的最低值。确保该参数的值高于 sqlnet.ora 文件中 SQLNET.INBOUND_CONNECT_TIMEOUT 参数的值。 Ssl_Server_DN_Match_NAMEPOLICYOracle Net SSL_SERVER_DN_MATCH Ssl_Server_DN_Match_IMPACTPOLICY如果禁用 ssl_server_dn_match 参数, 无论匹配与否, SSL 都会执行检查但允许连接。不强制匹配使服务器可以伪造其身份。 Ssl_Server_DN_Match_DESCPOLICY确保启用 sqlnet.ora 中的 ssl_server_dn_match, 然后 SSL 可以确保证书来自服务器 Ssl_Server_DN_Match_RECOMMPOLICY启用 sqlnet.ora 文件中的 ssl_server_dn_match 参数。