LSNR_DIRECT_ADMIN_NAME
POLICY
監聽器直接管理
LSNR_DIRECT_ADMIN_DESC
POLICY
確定不允許對監聽器組態進行程式實際執行修改
LSNR_DIRECT_ADMIN_IMPACT
POLICY
攻擊者如果可以存取執行中的監聽器, 便可能使用 lsnrctl 程式, 執行程式實際執行修改 (例如, SET 作業).
LSNR_DIRECT_ADMIN_RECOMM
POLICY
所有監聽器停用直接管理: 將 listener.ora 的 ADMIN_RESTRICTIONS_listener_name 設定成 ON.
LSNR_HOST_NAME_NAME
POLICY
使用 Listener.ora 的主機名稱
LSNR_HOST_NAME_DESC
POLICY
確定監聽器主機在 listener.ora 中是指定為 IP 位址而不是主機名稱
LSNR_HOST_NAME_IMPACT
POLICY
不安全的網域名稱系統 (DNS) 伺服器可被利用來進行欺詐攻擊. 名稱伺服器失敗會造成監聽器無法解析主機.
LSNR_HOST_NAME_RECOMM
POLICY
主機在 listener.ora 中應該指定為 IP 位址.
LSNR_LOG_FILE_OWN_NAME
POLICY
監聽器日誌檔擁有者
LSNR_LOG_FILE_OWN_DESC
POLICY
確定監聽器日誌檔是由 Oracle 軟體擁有者所擁有
LSNR_LOG_FILE_OWN_IMPACT
POLICY
日誌檔中的資訊可透露重要的網路和資料庫連線資訊. 日誌檔如果不屬於 Oracle 軟體擁有者, 便可能暴露給公眾檢視, 造成安全問題.
LSNR_LOG_FILE_OWN_RECOMM
POLICY
監聽器日誌檔必須由 Oracle 軟體擁有者所擁有.
ALLOWED_LOGON_VERSION_NAME
POLICY
允許的登入版本
ALLOWED_LOGON_VERSION_DESC
POLICY
確定伺服器只允許從具備符合版本或更高版本的從屬端登入.
ALLOWED_LOGON_VERSION_IMPACT
POLICY
將 sqlnet.ora 的參數 SQLNET.ALLOWED_LOGON_VERSION 設定成低於伺服器的版本, 會強制伺服器使用較不安全的認證協定.
ALLOWED_LOGON_VERSION_RECOM
POLICY
將 sqlnet.ora 的參數 SQLNET.ALLOWED_LOGON_VERSION 設定成伺服器的主要版本. 將此值設成舊的版本, 可能會暴露認證協定中原有的漏洞.
CLIENT_LOG_DIR_PERM_NAME
POLICY
Oracle Net Client 日誌目錄權限
CLIENT_LOG_DIR_PERM_NAME_NT
POLICY
Oracle Net Client 日誌目錄權限 (Windows)
CLIENT_LOG_DIR_PERM_DESC
POLICY
確定從屬端日誌目錄是由 Oracle 集擁有的有效目錄, 而且沒有開放公用權限.
CLIENT_LOG_DIR_PERM_IMPACT
POLICY
日誌檔提供錯誤堆疊中所含的資訊. 錯誤堆疊是指因網路錯誤, Oracle 通訊堆疊每一層產生的資訊. 日誌檔中的資訊提供重要的網路與資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
CLIENT_LOG_DIR_PERM_RECOMM
POLICY
從屬端日誌目錄必須是由 Oracle 集擁有的有效目錄, 而且沒有公用權限.
CLIENT_LOG_DIR_OWN_NAME
POLICY
Oracle Net Client 日誌目錄擁有者
CLIENT_LOG_DIR_OWN_DESC
POLICY
確定從屬端日誌目錄是由 Oracle 集擁有的有效目錄
CLIENT_LOG_DIR_OWN_IMPACT
POLICY
日誌檔提供錯誤堆疊中所含的資訊. 錯誤堆疊是指因網路錯誤, Oracle 通訊堆疊每一層產生的資訊. 日誌檔中的資訊提供重要的網路與資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
CLIENT_LOG_DIR_OWN_RECOMM
POLICY
從屬端日誌目錄必須是由 Oracle 集擁有的有效目錄.
SERV_LOG_DIR_PERM_NAME
POLICY
Oracle Net Server 日誌目錄權限
SERV_LOG_DIR_PERM_NAME_NT
POLICY
Oracle Net Server 日誌目錄權限 (Windows)
SERV_LOG_DIR_PERM_DESC
POLICY
確定伺服器日誌目錄是由 Oracle 集擁有的有效目錄, 而且沒有開放公用權限.
SERV_LOG_DIR_PERM_IMPACT
POLICY
日誌檔提供錯誤堆疊中所含的資訊. 錯誤堆疊是指因網路錯誤, Oracle 通訊堆疊每一層產生的資訊. 日誌檔中的資訊提供重要的網路與資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
SERV_LOG_DIR_PERM_RECOMM
POLICY
伺服器日誌目錄必須是由 Oracle 集擁有的有效目錄, 而且沒有開放公用權限.
SERV_LOG_DIR_OWN_NAME
POLICY
Oracle Net Server 日誌目錄擁有者
SERV_LOG_DIR_OWN_DESC
POLICY
確定伺服器日誌目錄是由 Oracle 集擁有的有效目錄
SERV_LOG_DIR_OWN_IMPACT
POLICY
日誌檔提供錯誤堆疊中所含的資訊. 錯誤堆疊是指因網路錯誤, Oracle 通訊堆疊每一層產生的資訊. 日誌檔中的資訊提供重要的網路與資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
SERV_LOG_DIR_OWN_RECOMM
POLICY
伺服器日誌目錄必須是由 Oracle 集擁有的有效目錄.
CLIENT_TRC_DIR_PERM_NAME
POLICY
Oracle Net Client 追蹤目錄權限
CLIENT_TRC_DIR_PERM_NAME_NT
POLICY
Oracle Net Client 追蹤目錄權限 (Windows)
CLIENT_TRC_DIR_PERM_DESC
POLICY
確定從屬端追蹤目錄是由 Oracle 集擁有的有效目錄, 而且沒有開放公用權限.
CLIENT_TRC_DIR_PERM_IMPACT
POLICY
追蹤功能會產生詳細的連續敘述句, 描述執行網路事件的狀況. 追蹤一項作業可讓您獲得 Oracle Net Services 元件的內部作業詳細資訊, 比日誌檔提供的資訊更詳細. 此檔案中的資訊可提供重要的網路和資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
CLIENT_TRC_DIR_PERM_RECOMM
POLICY
從屬端追蹤目錄必須是由 Oracle 集擁有的有效目錄, 而且沒有開放公用權限.
CLIENT_TRC_DIR_OWN_NAME
POLICY
Oracle Net Client 追蹤目錄擁有者
CLIENT_TRC_DIR_OWN_DESC
POLICY
確定從屬端追蹤目錄是由 Oracle 集擁有的有效目錄
CLIENT_TRC_DIR_OWN_IMPACT
POLICY
追蹤功能會產生詳細的連續敘述句, 描述執行網路事件的狀況. 追蹤一項作業可讓您獲得 Oracle Net Services 元件的內部作業詳細資訊, 比日誌檔提供的資訊更詳細. 此檔案中的資訊可提供重要的網路和資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
CLIENT_TRC_DIR_OWN_RECOMM
POLICY
從屬端追蹤目錄必須是由 Oracle 集擁有的有效目錄.
SERV_TRC_DIR_PERM_NAME
POLICY
Oracle Net Server 追蹤目錄權限
SERV_TRC_DIR_PERM_NAME_NT
POLICY
Oracle Net Server 追蹤目錄權限 (Windows)
SERV_TRC_DIR_PERM_DESC
POLICY
確定伺服器追蹤目錄是由 Oracle 集擁有的有效目錄, 而且沒有開放公用權限.
SERV_TRC_DIR_PERM_IMPACT
POLICY
追蹤功能會產生詳細的連續敘述句, 描述執行網路事件的狀況. 追蹤一項作業可讓您獲得 Oracle Net Services 元件的內部作業詳細資訊, 比日誌檔提供的資訊更詳細. 此檔案中的資訊可提供重要的網路和資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
SERV_TRC_DIR_PERM_RECOMM
POLICY
伺服器追蹤目錄必須是由 Oracle 集擁有的有效目錄, 而且沒有公用權限.
SERV_TRC_DIR_OWN_NAME
POLICY
Oracle Net Server 追蹤目錄擁有者
SERV_TRC_DIR_OWN_DESC
POLICY
確定伺服器追蹤目錄是由 Oracle 集擁有的有效目錄
SERV_TRC_DIR_OWN_IMPACT
POLICY
追蹤功能會產生詳細的連續敘述句, 描述執行網路事件的狀況. 追蹤一項作業可讓您獲得 Oracle Net Services 元件的內部作業詳細資訊, 比日誌檔提供的資訊更詳細. 此檔案中的資訊可提供重要的網路和資料庫連線詳細資訊. 允許存取日誌目錄會暴露日誌檔, 讓公眾得以詳細檢視.
SERV_TRC_DIR_OWN_RECOMM
POLICY
伺服器追蹤目錄必須是由 Oracle 集擁有的有效目錄.
SQLNET_PERM_NAME
POLICY
限制 Sqlnet.ora 權限
SQLNET_PERM_NAME_NT
POLICY
限制 Sqlnet.ora 權限 (Windows)
SQLNET_PERM_DESC
POLICY
確定未將 sqlnet.ora 檔案開放公眾存取
SQLNET_PERM_IMPACT
POLICY
sqlnet.ora 如果可供公眾讀取, 惡意使用者便可能嘗試讀取, 導致暴露機密資訊. 例如, 從屬端和伺服器的日誌和追蹤目的地資訊.
SQLNET_PERM_RECOMM
POLICY
不應將 sqlnet.ora 檔案的任何權限授與公眾.
LSNR_LOG_FILE_PERM_NAME
POLICY
監聽器日誌檔權限
LSNR_LOG_FILE_PERM_NAME_NT
POLICY
監聽器日誌檔權限 (Windows)
LSNR_LOG_FILE_PERM_DESC
POLICY
確定監聽器日誌檔無法由公眾讀取或寫入
LSNR_LOG_FILE_PERM_IMPACT
POLICY
日誌檔中的資訊會洩露重要的網路和資料庫連線詳細資訊. 允許存取日誌檔會將它們暴露於公眾, 造成安全問題.
LSNR_LOG_FILE_PERM_RECOMM
POLICY
監聽器日誌檔不可以允許公開讀取/寫入它. 將檔案權限限制成 Oracle 軟體擁有者和 DBA 群組.
LSNR_TRACE_DIR_PERM_NAME
POLICY
監聽器追蹤目錄權限
LSNR_TRACE_DIR_PERM_NAME_NT
POLICY
監聽器追蹤目錄權限 (Windows)
LSNR_TRACE_DIR_PERM_DESC
POLICY
確定監聽器追蹤目錄沒有公用讀取/寫入權限
LSNR_TRACE_DIR_PERM_IMPACT
POLICY
允許存取追蹤目錄會將暴露於公眾, 造成安全問題.
LSNR_TRACE_DIR_PERM_RECOMM
POLICY
監聽器追蹤目錄不可以允許公開讀取/寫入它. 將目錄權限限制成 Oracle 軟體擁有者和 DBA 群組.
LSNR_TRACE_DIR_OWN_NAME
POLICY
監聽器追蹤目錄擁有者
LSNR_TRACE_DIR_OWN_DESC
POLICY
確定監聽器追蹤目錄是由 Oracle 軟體擁有者所擁有的有效目錄
LSNR_TRACE_DIR_OWN_IMPACT
POLICY
追蹤目錄如果不屬於 Oracle 軟體擁有者, 便可能暴露給公眾檢視, 造成安全問題.
LSNR_TRACE_DIR_OWN_RECOMM
POLICY
監聽器追蹤目錄必須由 Oracle 軟體擁有者所擁有.
LSNR_TRACE_FILE_OWN_NAME
POLICY
監聽器追蹤檔擁有者
LSNR_TRACE_FILE_OWN_DESC
POLICY
確定監聽器追蹤目錄是由 Oracle 軟體擁有者所擁有的有效目錄
LSNR_TRACE_FILE_OWN_IMPACT
POLICY
追蹤目錄如果不屬於 Oracle 軟體擁有者, 便可能暴露給公眾檢視, 造成安全問題.
LSNR_TRACE_FILE_OWN_RECOMM
POLICY
監聽器追蹤目錄必須由 Oracle 軟體擁有者所擁有.
LSNR_TRACE_FILE_PERM_NAME
POLICY
監聽器追蹤檔權限
LSNR_TRACE_FILE_PERM_NAME_NT
POLICY
監聽器追蹤檔權限 (Windows)
LSNR_TRACE_FILE_PERM_DESC
POLICY
確定監聽器追蹤檔無法公開存取
LSNR_TRACE_FILE_PERM_IMPACT
POLICY
允許存取追蹤檔案, 會造成將追蹤檔案公開暴露, 造成安全問題.
LSNR_TRACE_FILE_PERM_RECOMM
POLICY
監聽器追蹤檔不可以允許公開讀取/寫入它. 請檔案權限限制成 Oracle 軟體擁有者和 DBA 群組.
LSNR_PASSWD_NAME
POLICY
監聽器密碼
LSNR_PASSWD_DESC
POLICY
確定需要密碼才能存取監聽器
LSNR_PASSWD_IMPACT
POLICY
如果沒有密碼保護, 使用者將可以存取監聽器. 具備監聽器存取權的人員, 便可以停止監聽器. 也可以設定密碼並防止他人管理監聽器.
LSNR_PASSWD_RECOMM
POLICY
應該使用 CHANGE_PASSWORD 命令, 以嚴密的密碼保護所有監聽器.
LSNR_LOG_STATUS_NAME
POLICY
監聽器記錄日誌狀態
LSNR_LOG_STATUS_DESC
POLICY
確定已啟用監聽器記錄日誌.
LSNR_LOG_STATUS_IMPACT
POLICY
如果沒有監聽器記錄日誌, 可能無法發現對於監聽器的攻擊.
LSNR_LOG_STATUS_RECOMM
POLICY
將 LOG_STATUS 參數設成 ON, 啟用監聽器記錄日誌.
LSNR_DFLT_NAME_NAME
POLICY
監聽器預設名稱
LSNR_DFLT_NAME_DESC
POLICY
確定未使用監聽器的預設名稱
LSNR_DFLT_NAME_IMPACT
POLICY
讓監聽器使用預設名稱, 會提高未授權之存取及拒絕服務等攻擊的風險.
LSNR_DFLT_NAME_RECOM
POLICY
避免讓監聽器使用預設名稱 (LISTENER).
LSNR_ORA_PERM_NAME
POLICY
Listener.ora 權限
LSNR_ORA_PERM_NAME_NT
POLICY
Listener.ora 權限 (Windows)
LSNR_ORA_PERM_DESC
POLICY
確定將 listener.ora 的檔案權限限制在 Oracle 軟體的擁有者
LSNR_ORA_PERM_IMPACT
POLICY
如果 listener.ora 檔案可供公眾讀取, 就可能從此檔案擷取密碼. 如此也會洩露監聽器, 資料庫以及應用程式組態的詳細資訊. 另外, 如果公眾擁有寫入權限, 惡意使用者便可能移除監聽器上設定的任何密碼.
LSNR_ORA_PERM_RECOMM
POLICY
應該將 Listener.ora 權限限制在 Oracle 軟體安裝的擁有者和 DBA 群組.
Sqlnetora_Inbound_Connect_Timeout_NAME
POLICY
Oracle Net 輸入連線逾時
Sqlnetora_Inbound_Connect_Timeout_IMPACT
POLICY
沒有此參數或者未替參數指定比較高的值, 連線資料庫伺服器的從屬端連線會在未認證的情況下持續 (或在指定期間內) 維持連線. 未經認證的連線會導致可能的拒絕服務攻擊, 造成惡意從屬端大量傳送連線要求給資料庫伺服器, 以消耗伺服器的資源.
Sqlnetora_Inbound_Connect_Timeout_DESC
POLICY
確定限制所有未完成之 Oracle Net 輸入連線的期限
Sqlnetora_Inbound_Connect_Timeout_RECOMM
POLICY
設定 sqlnet.ora 中 SQLNET.INBOUND_CONNECT_TIMEOUT 參數的最小可能值. 確定此參數的值大於 listener.ora 檔案中 INBOUND_CONNECT_TIMEOUT_listener_name 參數的值.
Lsnrora_Inbound_Connect_Timeout_NAME
POLICY
監聽器輸入連線逾時
Lsnrora_Inbound_Connect_Timeout_IMPACT
POLICY
此限制可以保護監聽器不會使用及保存未完成之從屬端連線要求的資源. 惡意使用者可以藉此傳送大量要求給監聽器, 造成拒絕提供服務給授權的使用者.
Lsnrora_Inbound_Connect_Timeout_DESC
POLICY
確定限制所有未完成之「Oracle 監聽器」輸入連線的期限
Lsnrora_Inbound_Connect_Timeout_RECOMM
POLICY
設定 listener.ora 中 INBOUND_CONNECT_TIMEOUT_listener_name 參數的最小可能值. 確定此參數的值小於 sqlnet.ora 檔案中 SQLNET.INBOUND_CONNECT_TIMEOUT 參數的值.
Ssl_Server_DN_Match_NAME
POLICY
Oracle Net SSL_SERVER_DN_MATCH
Ssl_Server_DN_Match_IMPACT
POLICY
如果停用 ssl_server_dn_match 參數, 則 SSL 會執行檢查, 但無論是否相符都會允許連線. 未強制實行相符時, 會讓伺服器有假造其身分的機會.
Ssl_Server_DN_Match_DESC
POLICY
確定啟用 sqlnet.ora 中的 ssl_server_dn_match, 讓 SSL 藉以確定憑證來自伺服器
Ssl_Server_DN_Match_RECOMM
POLICY
啟用 sqlnet.ora 檔案中的 ssl_server_dn_match 參數.