dbSecure_NAME
Configuration sécurisée pour Oracle Database
racSecure_NAME
Configuration sécurisée pour Oracle Real Application Cluster
dbSecure_DESC
Permet de respecter des paramètres de configuration de la sécurité conformes aux meilleures pratiques, qui contribuent à la protection de la base de données contre les attaques et les menaces, de façon à disposer d'un environnement d'exploitation plus sûr pour la base de données Oracle.
dbSecure_SecurityKEYWORD
Sécurité
PostInstallation_NAME
Post-installation
PostInstallation_DESC
Contient des règles qui garantissent la sécurité des comptes par défaut du serveur de base de données. Un compte de serveur de base de données par défaut resté ouvert et utilisant le mot de passe par défaut constitue un point faible évident dans la sécurité d'une base de données.
DefaultPwd_NAME
Les mots de passe par défaut ont été modifiés
DefaultPwd_DESC
Vérifie que les mots de passe par défaut des comptes d'administration ont été modifiés.
DefaultPwd_RATIONALE
Il est facile d'attenter à la sécurité lorsqu'un compte utilisateur de base de données par défaut conserve le mot de passe par défaut après l'installation. Dans tout environnement Oracle, vous devez affecter des mots de passe forts et sécurisés aux comptes d'administration, juste après l'installation du serveur de base de données.
DefaultPwd_FIX
Modifiez le mot de passe par défaut de l'utilisateur administrateur.
DefaultAccountLockedAndExpired_NAME
Les comptes par défaut sont verrouillés et ont expiré.
DefaultAccountLockedAndExpired_DESC
Vérifie que les comptes d'administration par défaut sont verrouillés et ont expiré.
DefaultAccountLockedAndExpired_RATIONALE
Oracle Database est installé avec de nombreux comptes utilisateur de base de données par défaut. Dès la création d'une instance de serveur de base de données, ces comptes par défaut doivent être verrouillés et amenés à expiration. S'ils restent ouverts dans l'état par défaut, ils constituent un point permettant d'obtenir un accès non autorisé aux données ou de perturber les opérations de base de données.
DefaultAccountLockedAndExpired_FIX
Verrouillez et amenez à expiration les comptes d'administration par défaut.
OracleDirAndFilePerms_NAME
Droits d'accès aux répertoires et fichiers Oracle
OracleDirAndFilePerms_DESC
Contient des règles qui vérifient que les droits d'accès aux répertoires et fichiers contenant le logiciel Oracle assurent une protection suffisante. L'accès doit être restreint, afin qu'il soit plus difficile pour un utilisateur du système d'exploitation d'attaquer la base de données.
OracleDirAndFilePermsU_NAME
Plate-forme Unix
OracleDirAndFilePermsU_DESC
Contient des règles qui vérifient que les droits d'accès aux répertoires et fichiers contenant le logiciel Oracle assurent une protection suffisante.
AppropriateUMaskValue_NAME
Valeur umask correcte
AppropriateUMaskValue_DESC
Vérifie que la valeur umask est bien 022 pour le propriétaire du logiciel Oracle.
AppropriateUMaskValue_RATIONALE
Lorsque la valeur umask n'est pas une valeur correcte, comme 022, les fichiers de journalisation et/ou les fichiers de trace peuvent devenir accessibles à tous, ce qui expose des informations sensibles.
AppropriateUMaskValue_FIX
Affectez la valeur 022 à umask pour le propriétaire du logiciel Oracle.
DbDatafilesU_NAME
Fichiers de données de la base de données
DbDatafilesU_DESC
Vérifie que l'accès aux fichiers de données est limité au propriétaire du logiciel Oracle et au groupe DBA.
DbDatafilesU_RATIONALE
L'accès aux fichiers de données doit être restreint, de façon à éviter les tentatives non autorisées de consultation ou de modification des données, qu'elles soient accidentelles ou délibérées.
DbDatafilesU_FIX
Limitez l'accès aux fichiers de données au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture et en écriture à Tout le monde.
IFileU_NAME
Fichiers référencés par le paramètre IFILE
IFileU_DESC
Vérifie que l'accès aux fichiers référencés par le paramètre d'initialisation de base de données IFILE est limité au propriétaire du logiciel Oracle et au groupe DBA.
IFileU_RATIONALE
Le paramètre d'initialisation de base de données IFILE permet d'imbriquer le contenu d'un autre fichier de paramètres d'initialisation dans le fichier de paramètres d'initialisation en cours. L'accès aux fichiers de paramètres d'initialisation doit être restreint, de façon à ne pas exposer les règles de sécurité de la base de données, ni les faiblesses de la configuration de la base de données Oracle.
IFileU_FIX
Limitez l'accès aux fichiers référencés par le paramètre d'initialisation IFILE au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture ou en écriture à Tout le monde.
AuditFileDestU_NAME
Destination du fichier d'audit (AUDIT_FILE_DEST)
AuditFileDestU_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données AUDIT_FILE_DEST est limité au propriétaire du logiciel Oracle et au groupe DBA.
AuditFileDestU_RATIONALE
Le paramètre d'initialisation de base de données AUDIT_FILE_DEST définit le répertoire du système d'exploitation dans lequel sont enregistrées certaines données d'audit, que l'audit de la base de données ait été activé ou non. L'accès aux fichiers d'audit doit être restreint, de façon à ne pas exposer d'informations sensibles, telles que les informations de journalisation relatives au démarrage et à l'arrêt de la base de données, ou les connexions privilégiées.
AuditFileDestU_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation AUDIT_FILE_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture ou en écriture à Tout le monde.
UserDumpDestU_NAME
Destination des vidages utilisateur (USER_DUMP_DEST)
UserDumpDestU_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données USER_DUMP_DEST est limité au propriétaire du logiciel Oracle et au groupe DBA.
UserDumpDestU_RATIONALE
Le paramètre d'initialisation de base de données USER_DUMP_DEST définit le répertoire dans lequel le serveur génère les fichiers trace de débogage pour le compte des processus utilisateur. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données et aux applications qui s'y exécutent.
UserDumpDestU_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation USER_DUMP_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture ou en écriture à Tout le monde.
BackgroundDumpDestU_NAME
Destination des vidages des processus d'arrière-plan (BACKGROUND_DUMP_DEST)
BackgroundDumpDestU_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données BACKGROUND_DUMP_DEST est limité au propriétaire du logiciel Oracle et au groupe DBA.
BackgroundDumpDestU_RATIONALE
Le paramètre d'initialisation de base de données BACKGROUND_DUMP_DEST définit le répertoire dans lequel le serveur stocke les fichiers trace de débogage pour les processus en arrière-plan (LGWR, DBWn, etc.) lors des opérations Oracle. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données et aux applications qui s'y exécutent.
BackgroundDumpDestU_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation BACKGROUND_DUMP_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture ou en écriture à Tout le monde.
CoreDumpDestU_NAME
Destination du dump noyau (CORE_DUMP_DEST)
CoreDumpDestU_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données CORE_DUMP_DEST est limité au propriétaire du logiciel Oracle et au groupe DBA.
CoreDumpDestU_RATIONALE
Le paramètre d'initialisation de base de données CORE_DUMP_DEST définit le répertoire dans lequel le serveur enregistre les fichiers de dump noyau. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données et aux applications qui s'y exécutent.
CoreDumpDestU_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation CORE_DUMP_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture ou en écriture à Tout le monde.
ControlFilesU_NAME
Fichiers de contrôle (CONTROL_FILES)
ControlFilesU_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données CONTROL_FILES est limité au propriétaire du logiciel Oracle et au groupe DBA.
ControlFilesU_RATIONALE
L'accès aux fichiers de contrôle doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base et aux données qu'elle contient.
ControlFilesU_FIX
Limitez l'accès aux fichiers référencés par le paramètre d'initialisation CONTROL_FILES au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en lecture ou en écriture à Tout le monde.
OHExecutablesU_NAME
Exécutables dans le répertoire d'origine Oracle Home
OHExecutablesU_DESC
Vérifie que l'accès aux fichiers figurant dans le répertoire ORACLE_HOME/bin est restreint
OHExecutablesU_RATIONALE
Lorsque les droits d'accès ne sont pas assez restrictifs, il existe un risque d'exploitation non autorisée et d'usage impropre, accidentel ou délibéré, des données.
OHExecutablesU_FIX
Limitez l'accès aux fichiers du répertoire ORACLE_HOME/bin au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en écriture à un groupe ou à Tout le monde. Autrement dit, n'octroyez pas de droits d'accès supérieurs à 0755.
OHNonExecutablesU_NAME
Fichiers du répertoire d'origine Oracle Home autres que les exécutables
OHNonExecutablesU_DESC
Vérifie que l'accès aux fichiers des sous-répertoires du répertoire d'origine ORACLE_HOME autres que le répertoire ORACLE_HOME/bin est restreint.
OHNonExecutablesU_RATIONALE
L'accès à ces fichiers doit être restreint. Lorsque les droits d'accès ne sont pas assez restrictifs, il existe un risque d'exploitation non autorisée et d'usage impropre, accidentel ou délibéré, des données.
OHNonExecutablesU_FIX
Limitez l'accès aux fichiers des répertoires ORACLE_HOME autres qu'ORACLE_HOME/bin au propriétaire du logiciel Oracle et au groupe DBA. N'octroyez pas de droits d'accès en écriture à un groupe, ni de droits d'accès en lecture, écriture ou exécution à Tout le monde. Autrement dit, n'octroyez pas de droits d'accès supérieurs à 0750.
OracleDirAndFilePermsW_NAME
Plate-forme Windows
OracleDirAndFilePermsW_DESC
Contient des règles qui vérifient que les droits d'accès aux répertoires et fichiers contenant le logiciel Oracle assurent une protection suffisante.
DbDatafilesW_NAME
Fichiers de données de la base de données
DbDatafilesW_DESC
Vérifie que l'accès aux fichiers de données est limité au propriétaire du logiciel Oracle.
DbDatafilesW_RATIONALE
L'accès aux fichiers de données doit être restreint, de façon à éviter les tentatives non autorisées de consultation ou de modification des données, qu'elles soient accidentelles ou délibérées.
DbDatafilesW_FIX
Limitez l'accès aux fichiers de données au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
IFileW_NAME
Fichiers référencés par le paramètre IFILE
IFileW_DESC
Vérifie que l'accès aux fichiers référencés par le paramètre d'initialisation de base de données IFILE est limité au propriétaire du logiciel Oracle.
IFileW_RATIONALE
Le paramètre d'initialisation de base de données IFILE permet d'imbriquer le contenu d'un autre fichier de paramètres d'initialisation dans le fichier de paramètres d'initialisation en cours. L'accès aux fichiers de paramètres d'initialisation doit être restreint, de façon à ne pas exposer les règles de sécurité de la base de données, ni les faiblesses de la configuration de la base de données Oracle.
IFileW_FIX
Limitez l'accès aux fichiers référencés par le paramètre d'initialisation IFILE au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
AuditFileDestW_NAME
Destination du fichier d'audit (AUDIT_FILE_DEST)
AuditFileDestW_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données AUDIT_FILE_DEST est limité au propriétaire du logiciel Oracle.
AuditFileDestW_RATIONALE
Le paramètre d'initialisation de base de données AUDIT_FILE_DEST définit le répertoire du système d'exploitation dans lequel la trace d'audit est enregistrée lorsque l'audit de la base de données a été activé. L'accès aux fichiers d'audit doit être restreint, de façon à ne pas exposer d'informations sensibles, telles que les informations de journalisation relatives au démarrage et à l'arrêt de la base de données, ou les connexions privilégiées.
AuditFileDestW_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation AUDIT_FILE_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
UserDumpDestW_NAME
Destination des vidages utilisateur (USER_DUMP_DEST)
UserDumpDestW_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données USER_DUMP_DEST est limité au propriétaire du logiciel Oracle.
UserDumpDestW_RATIONALE
Le paramètre d'initialisation de base de données USER_DUMP_DEST définit le répertoire dans lequel le serveur génère les fichiers trace de débogage pour le compte des processus utilisateur. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données et aux applications qui s'y exécutent.
UserDumpDestW_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation USER_DUMP_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
BackgroundDumpDestW_NAME
Destination des vidages des processus d'arrière-plan (BACKGROUND_DUMP_DEST)
BackgroundDumpDestW_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données BACKGROUND_DUMP_DEST est limité au propriétaire du logiciel Oracle.
BackgroundDumpDestW_RATIONALE
Le paramètre d'initialisation de base de données BACKGROUND_DUMP_DEST définit le répertoire dans lequel le serveur stocke les fichiers trace de débogage pour les processus en arrière-plan (LGWR, DBWn, etc.) lors des opérations Oracle. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données et aux applications qui s'y exécutent.
BackgroundDumpDestW_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation BACKGROUND_DUMP_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
CoreDumpDestW_NAME
Destination du dump noyau (CORE_DUMP_DEST)
CoreDumpDestW_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données CORE_DUMP_DEST est limité au propriétaire du logiciel Oracle.
CoreDumpDestW_RATIONALE
Le paramètre d'initialisation de base de données CORE_DUMP_DEST définit le répertoire dans lequel le serveur enregistre les fichiers de dump noyau. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données et aux applications qui s'y exécutent.
CoreDumpDestW_FIX
Limitez l'accès au répertoire référencé par le paramètre d'initialisation CORE_DUMP_DEST au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
ControlFilesW_NAME
Fichiers de contrôle (CONTROL_FILES)
ControlFilesW_DESC
Vérifie que l'accès au répertoire référencé par le paramètre d'initialisation de base de données CONTROL_FILES est limité au propriétaire du logiciel Oracle.
ControlFilesW_RATIONALE
L'accès aux fichiers de contrôle doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base et aux données qu'elle contient.
ControlFilesW_FIX
Limitez l'accès aux fichiers référencés par le paramètre d'initialisation CONTROL_FILES au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
OHExecutablesW_NAME
Exécutables dans le répertoire d'origine Oracle Home
OHExecutablesW_DESC
Vérifie que l'accès aux fichiers figurant dans le répertoire ORACLE_HOME/bin est restreint
OHExecutablesW_RATIONALE
L'accès à ces exécutables doit être restreint. Lorsque les droits d'accès ne sont pas assez restrictifs, il existe un risque d'exploitation non autorisée et d'usage impropre, accidentel ou délibéré, des données.
OHExecutablesW_FIX
Limitez l'accès aux fichiers du répertoire ORACLE_HOME/bin au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
OHNonExecutablesW_NAME
Fichiers du répertoire d'origine Oracle Home autres que les exécutables
OHNonExecutablesW_DESC
Vérifie que l'accès aux fichiers des sous-répertoires du répertoire d'origine ORACLE_HOME autres que le répertoire ORACLE_HOME/bin est restreint.
OHNonExecutablesW_RATIONALE
L'accès à ces fichiers doit être restreint. Lorsque les droits d'accès ne sont pas assez restrictifs, il existe un risque d'exploitation non autorisée et d'usage impropre, accidentel ou délibéré, des données.
OHNonExecutablesW_FIX
Limitez l'accès aux fichiers des sous-répertoires ORACLE_HOME autres qu'ORACLE_HOME/bin au propriétaire du logiciel Oracle et au groupe DBA. N'accordez aux autres utilisateurs ou groupes d'utilisateurs aucun des droits d'accès suivants : DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD ou FULL.
OHExecutablesOracleOwned_NAME
Fichiers exécutables du répertoire d'origine Oracle Home propriété d'Oracle
OHExecutablesOracleOwned_DESC
Vérifie que le propriétaire de tous les fichiers du répertoire ORACLE_HOME/bin est le même que celui de l'installation logicielle Oracle.
OHExecutablesOracleOwned_RATIONALE
L'accès à ces exécutables doit être restreint. Lorsque les droits d'accès ne sont pas assez restrictifs, il existe un risque d'exploitation non autorisée et d'usage impropre, accidentel ou délibéré, des données.
OHExecutablesOracleOwned_FIX
Modifiez le propriétaire des fichiers du répertoire ORACLE_HOME/bin pour que ce soit celui de l'installation logicielle Oracle.
OracleParamSettings_NAME
Valeur des paramètres Oracle
OracleParamSettings_DESC
Contient des règles qui vérifient que la valeur des paramètres d'initialisation de la base de données assure la sécurité.
AccessToTraceFileDisabled_NAME
Accès aux fichiers trace désactivé (_TRACE_FILES_PUBLIC)
AccessToTraceFileDisabled_DESC
Vérifie que les fichiers trace de la base de données ne peuvent pas être lus par les utilisateurs.
AccessToTraceFileDisabled_RATIONALE
Le paramètre _TRACE_FILES_PUBLIC indique si les fichiers trace de débogage générés par Oracle dans le répertoire défini par le paramètre USER_DUMP_DEST sont lisibles par tous. L'accès à ces fichiers doit être restreint, de façon à ne pas exposer d'informations sensibles relatives à la base de données ou aux applications qui s'y exécutent.
AccessToTraceFileDisabled_FIX
Affectez la valeur FALSE au paramètre _TRACE_FILES_PUBLIC.
RemoteOSRolesDisabled_NAME
Rôles de système d'exploitation distant désactivés (REMOTE_OS_ROLES)
RemoteOSRolesDisabled_DESC
Vérifie que les rôles de système d'exploitation distant sont désactivés, autrement dit, que la base de données n'a pas été configurée pour activer des rôles sur la base de l'appartenance aux groupes d'utilisateurs du système d'exploitation distant.
RemoteOSRolesDisabled_RATIONALE
Le paramètre REMOTE_OS_ROLES indique si les rôles de système d'exploitation sont autorisés pour les clients distants. Lorsqu'un utilisateur distant se connecte à la base de données via Oracle Net et que son rôle n'est pas authentifié par Oracle, il peut emprunter l'identité d'un autre utilisateur du système d'exploitation dans le cadre d'une connexion réseau. Autoriser l'authentification distante des utilisateurs est déconseillé, car cela affaiblit la sécurité du système. Y ajouter la possibilité d'endosser les rôles de système d'exploitation d'autres utilisateurs aggrave encore les risques.
RemoteOSRolesDisabled_FIX
Affectez la valeur FALSE au paramètre REMOTE_OS_ROLES pour que l'authentification des clients se connectant à la base de données Oracle soit effectuée par le serveur.
RemoteOSAuthenticationDisabled_NAME
Authentification par le système d'exploitation distant désactivée (REMOTE_OS_AUTHENT)
RemoteOSAuthenticationDisabled_DESC
Vérifie que l'authentification par le système d'exploitation distant est désactivée.
RemoteOSAuthenticationDisabled_RATIONALE
Lorsque le paramètre REMOTE_OS_AUTHENT a la valeur TRUE, Oracle doit accepter un nom d'utilisateur de système d'exploitation client reçu via une connexion non sécurisée et l'utiliser pour le compte d'accès. Les clients, tels que les PC, n'étant pas sécurisés pour effectuer correctement l'authentification par système d'exploitation, l'activation de cette fonctionnalité est fortement déconseillée car elle affaiblit la sécurité du système.
RemoteOSAuthenticationDisabled_FIX
Affectez la valeur FALSE au paramètre REMOTE_OS_AUTHENT pour que l'authentification des clients se connectant à la base de données Oracle soit effectuée par le serveur.
RemoteLsnrInstancesDisabled_NAME
Utilisation des instances de processus d'écoute distant désactivée (REMOTE_LISTENER)
RemoteLsnrInstancesDisabled_DESC
Vérifie que l'utilisation d'instances de processus d'écoute résidant sur des ordinateurs distants distincts de l'instance de base de données est désactivée.
RemoteLsnrInstancesDisabled_RATIONALE
Le paramètre REMOTE_LISTENER permet d'autoriser un processus d'écoute résidant sur un ordinateur distant à accéder à la base de données. Vous devez empêcher l'utilisation d'un processus d'écoute d'un ordinateur distant.
RemoteLsnrInstancesDisabled_FIX
Affectez au paramètre REMOTE_LISTENER la valeur "" (chaîne NULL). Ce paramètre n'est pas applicable dans une réplication multimaître ou dans un environnement RAC, où il fournit un mécanisme d'équilibrage de la charge pour le processus d'écoute.
DbAuditingEnabled_NAME
Audit de base de données activé (AUDIT_TRAIL)
DbAuditingEnabled_DESC
Vérifie que l'audit de base de données est activé.
DbAuditingEnabled_RATIONALE
Le paramètre AUDIT_TRAIL permet d'activer ou de désactiver l'audit de base de données. L'audit sert toujours à rendre compte de la situation du système ; il est fréquemment utilisé pour protéger et préserver la confidentialité des informations stockées dans les bases de données. Il permet également aux administrateurs système d'améliorer la protection, de détecter précocement les activités suspectes et d'affiner le réglage des options de sécurité.
DbAuditingEnabled_FIX
Affectez au paramètre AUDIT_TRAIL la valeur DB, valeur par défaut, ou OS. Les enregistrements d'audit stockés dans la base de données peuvent être plus faciles à vérifier et à gérer que ceux stockés dans les fichiers du système d'exploitation. Toutefois, la consultation des fichiers système peut être interdite aux DBA à l'aide de droits d'accès, et leur contenu reste disponible même si la base de données est temporairement inaccessible.
DbAuditingEnabled_WARNING
Bien que l'audit ne soit pas très coûteux, il est conseillé de limiter au maximum le nombre d'événements audités. Ainsi, l'impact sur les performances d'exécution des instructions auditées et sur la taille de la trace d'audit est limité, ce qui facilite l'analyse et la compréhension.
SecureOSAuthenticationPrefix_NAME
Préfixe d'authentification du système d'exploitation sécurisé (OS_AUTHENT_PREFIX)
SecureOSAuthenticationPrefix_DESC
Vérifie que le préfixe d'authentification du système d'exploitation a une valeur autre qu'OPS$.
SecureOSAuthenticationPrefix_RATIONALE
Le paramètre OS_AUTHENT_PREFIX indique le préfixe utilisé pour authentifier les utilisateurs qui tentent de se connecter au serveur. Lorsqu'une demande de connexion lui parvient, Oracle compare le nom utilisateur préfixé avec les noms utilisateur figurant dans la base de données. L'utilisation du préfixe OPS$ tend à fragiliser la sécurité de la configuration car un compte peut être authentifié soit en tant qu'utilisateur du système d'exploitation, soit avec le mot de passe utilisé dans la clause IDENTIFIED BY. Les individus malveillants en sont conscients et attaquent ces comptes.
SecureOSAuthenticationPrefix_FIX
Affectez au paramètre OS_AUTHENT_PREFIX une valeur autre qu'OPS$.
AccessToDataDictionaryProtected_NAME
Accès au dictionnaire de données protégé (07_DICTIONARY_ACCESSIBILITY)
AccessToDataDictionaryProtected_DESC
Vérifie que la protection du dictionnaire de données est activée.
AccessToDataDictionaryProtected_RATIONALE
Lorsque le paramètre 07_DICTIONARY_ACCESSIBILITY a la valeur TRUE, les utilisateurs disposant de privilèges système ANY peuvent accéder au dictionnaire de données. De ce fait, ces comptes utilisateur peuvent être exploités pour obtenir un accès non autorisé aux données. Le dictionnaire de données doit donc être protégé, de façon que seuls les utilisateurs autorisés établissant des connexions avec le privilège DBA puissent utiliser le privilège système ANY pour accéder au dictionnaire de données.
AccessToDataDictionaryProtected_FIX
Affectez au paramètre 07_DICTIONARY_ACCESSIBILITY la valeur FALSE. Si un utilisateur a besoin d'un accès en consultation au dictionnaire de données, vous pouvez lui accorder le privilège système SELECT ANY DICTIONARY.
AuditingSysOperationsEnabled_NAME
Audit des opérations SYS activé (AUDIT_SYS_OPERATIONS)
AuditingSysOperationsEnabled_DESC
Vérifie que les sessions des utilisateurs qui se connectent en tant que SYS sont auditées en totalité.
AuditingSysOperationsEnabled_RATIONALE
Le paramètre AUDIT_SYS_OPERATIONS permet d'activer ou de désactiver l'audit des opérations effectuées par l'utilisateur SYS, et par les utilisateurs se connectant avec les privilèges SYSDBA ou SYSOPER. Dans la mesure où ces utilisateurs disposent de privilèges très élevés, l'audit en est particulièrement important.
AuditingSysOperationsEnabled_FIX
Affectez au paramètre AUDIT_SYS_OPERATIONS la valeur TRUE.
AuditingSysOperationsEnabled_WARNING
Certaines opérations (un export, par exemple) impliquent un grand nombre d'actions effectuées par des utilisateurs privilégiés, d'où une quantité importante de données d'audit sans intérêt. Dans de tels cas, vous pouvez affecter la valeur FALSE à ce paramètre, afin de ne pas surcharger le tablespace SYSTEM, qui contient les enregistrements d'audit.
DbPwdProfileSettings_NAME
Paramètres de profil de mot de passe de base de données
DbPwdProfileSettings_DESC
Contient des règles qui vérifient que les paramètres de profil de base de données sont correctement définis. La gestion des mots de passe Oracle est régie par l'emploi de profils utilisateur qui sont ensuite affectés aux utilisateurs de la base de données, ce qui permet une plus grande maîtrise de la sécurité.
SecureFailedLoginAttemptsSetting_NAME
Paramètre des échecs de tentative de connexion sécurisé
SecureFailedLoginAttemptsSetting_DESC
Vérifie que le paramètre FAILED_LOGIN_ATTEMPTS des profils n'autorise qu'un nombre raisonnable de tentatives infructueuses.
SecureFailedLoginAttemptsSetting_RATIONALE
Le paramètre FAILED_LOGIN_ATTEMPTS définit le nombre de tentatives de connexion infructueuses qui peuvent s'enchaîner avant que le compte ne soit verrouillé. Il constitue une protection contre les individus malveillants qui tentent de deviner le mot de passe d'un compte. Lorsque la valeur de ce paramètre est suffisamment faible, les attaques sur les mots de passe de la base de données ne peuvent pas être efficaces.
SecureFailedLoginAttemptsSetting_FIX
Affectez au paramètre FAILED_LOGIN_ATTEMPTS une valeur inférieure ou égale à 10.
SecurePwdLifeTimeSetting_NAME
Paramètre de durée de vie de mot de passe sécurisé
SecurePwdLifeTimeSetting_DESC
Vérifie que le paramètre PASSWORD_LIFE_TIME des profils a pour valeur un nombre raisonnable de jours.
SecurePwdLifeTimeSetting_RATIONALE
Le paramètre PASSWORD_LIFE_TIME définit la durée de vie maximale des mots de passe. Changer régulièrement les mots de passe est une pratique de sécurité recommandée pour réduire le risque qu'un mot de passe ait été découvert. Lorsque ce paramètre a une valeur trop élevée ou n'est pas défini, d'anciens mots de passe peuvent avoir été découverts et rester longtemps en vigueur.
SecurePwdLifeTimeSetting_FIX
Affectez au paramètre PASSWORD_LIFE_TIME la valeur de 180 jours, par exemple. Ainsi, les changements de mot de passe sont suffisamment fréquents, mais les utilisateurs n'ont pas trop souvent à sélectionner de nouveaux mots de passe. Lorsque la valeur de ce paramètre est trop faible, les utilisateurs doivent changer de mot de passe si souvent qu'ils sont obligés de choisir des mots de passe moins complexes pour arriver à les mémoriser.
SecurePwdLockTimeSetting_NAME
Paramètre de durée de verrouillage de compte sécurisé
SecurePwdLockTimeSetting_DESC
Vérifie que le paramètre PASSWORD_LOCK_TIME des profils a pour valeur un nombre raisonnable de jours.
SecurePwdLockTimeSetting_RATIONALE
Le paramètre PASSWORD_LOCK_TIME définit le nombre de jours pendant lequel un compte reste verrouillé une fois que le nombre maximal de tentatives de connexion infructueuses a été atteint. Une valeur élevée augmente le risque d'attaques par déni de service. Avec une valeur de zéro (0), les essais répétés de saisie d'un mot de passe incorrect ne sont pas pénalisés.
SecurePwdLockTimeSetting_FIX
Affectez au paramètre PASSWORD_LOCK_TIME une valeur supérieure ou égale à 1.
SecurePwdGraceTimeSetting_NAME
Paramètre de délai de grâce pour le mot de passe sécurisé
SecurePwdGraceTimeSetting_DESC
Vérifie que le paramètre PASSWORD_GRACE_TIME des profils a pour valeur un nombre raisonnable de jours.
SecurePwdGraceTimeSetting_RATIONALE
Le paramètre PASSWORD_GRACE_TIME définit le nombre de jours accordé à un utilisateur pour changer son mot de passe après expiration de ce dernier. Au cours du délai de grâce, chaque fois que l'utilisateur tente d'accéder à son compte, un nouveau mot de passe lui est demandé. Lorsque la valeur de ce paramètre est trop élevée, l'expiration des mots de passe peut être ignorée.
SecurePwdGraceTimeSetting_FIX
Affectez au paramètre PASSWORD_GRACE_TIME une valeur inférieure ou égale à 7.
PwdComplexityCheckingEnabled_NAME
Vérification de la complexité des mots de passe activée
PwdComplexityCheckingEnabled_DESC
Vérifie que PASSWORD_VERIFY_FUNCTION est défini pour les profils.
PwdComplexityCheckingEnabled_RATIONALE
Le paramètre PASSWORD_VERIFY_FUNCTION définit la fonction qui servira à valider la résistance des mots de passe. En définissant une telle fonction, vous pouvez garantir l'utilisation de mots de passe renforcés.
PwdComplexityCheckingEnabled_FIX
Indiquez une fonction de vérification des mots de passe à l'aide du paramètre PASSWORD_VERIFY_FUNCTION.
DbAccessSettings_NAME
Paramètres d'accès à la base de données
DbAccessSettings_DESC
Contient des règles qui garantissent la sécurité des données : l'accès à la base de données et son utilisation au niveau objet sont restreints, de telle sorte que les utilisateurs ne disposent que des privilèges qui leur sont effectivement nécessaires pour accomplir efficacement leur travail.
Views_NAME
Vues
Views_DESC
Contient des règles qui vérifient que les privilèges sur les vues sont restreints.
DBARoles_NAME
Accès restreint à DBA_ROLES
DBARoles_DESC
Vérifie que l'accès à DBA_ROLES est restreint.
DBARoles_RATIONALE
La vue DBA_ROLES contient le détail de tous les rôles de la base de données. Un utilisateur malveillant peut tirer parti de la connaissance de la structure des rôles dans la base. L'accès à DBA_ROLES doit donc être restreint.
DBARoles_FIX
Révoquez l'accès à DBA_ROLES de tous les utilisateurs autres que SYS ou DBA.
DBASysPrivs_NAME
Accès restreint à DBA_SYS_PRIVS
DBASysPrivs_DESC
Vérifie que l'accès à DBA_SYS_PRIVS est restreint.
DBASysPrivs_RATIONALE
La vue DBA_SYS_PRIVS contient le détail des privilèges système accordés à des rôles et à des utilisateurs. Un utilisateur malveillant peut tirer parti de la connaissance des privilèges système. L'accès à DBA_SYS_PRIVS doit donc être restreint.
DBASysPrivs_FIX
Révoquez l'accès à DBA_SYS_PRIVS de tous les utilisateurs autres que SYS ou DBA.
DBARolePrivs_NAME
Accès restreint à DBA_ROLE_PRIVS
DBARolePrivs_DESC
Vérifie que l'accès à DBA_ROLE_PRIVS est restreint.
DBARolePrivs_RATIONALE
La vue DBA_ROLE_PRIVS contient le détail de tous les rôles accordés à des utilisateurs et à d'autres rôles. Un utilisateur malveillant peut tirer parti de la connaissance de la structure des rôles dans la base de données. L'accès à DBA_ROLE_PRIVS doit donc être restreint.
DBARolePrivs_FIX
Révoquez l'accès à DBA_ROLE_PRIVS de tous les utilisateurs autres que SYS ou DBA.
DBATabPrivs_NAME
Accès restreint à DBA_TAB_PRIVS
DBATabPrivs_DESC
Vérifie que l'accès à DBA_TAB_PRIVS est restreint.
DBATabPrivs_RATIONALE
La vue DBA_TAB_PRIVS contient le détail de tous les droits accordés sur les objets de la base de données. Un utilisateur malveillant peut tirer parti de la connaissance des droits sur les objets et de leurs détenteurs. L'accès à DBA_TAB_PRIVS doit donc être restreint.
DBATabPrivs_FIX
Révoquez l'accès à DBA_TAB_PRIVS de tous les utilisateurs autres que SYS ou DBA.
DBAUsers_NAME
Accès restreint à DBA_USERS
DBAUsers_DESC
Vérifie que l'accès à DBA_USERS est restreint.
DBAUsers_RATIONALE
La vue DBA_USERS décrit tous les utilisateurs de la base de données, avec des informations sur leur compte, telles que le hachage du mot de passe. Un utilisateur malveillant peut tirer parti de ce type d'information. L'accès à DBA_USERS doit donc être restreint.
DBAUsers_FIX
Révoquez l'accès à DBA_USERS de tous les utilisateurs autres que SYS ou DBA.
Tables_NAME
Tables
Tables_DESC
Contient des règles qui vérifient que les privilèges sur les tables sont restreints.
SYSAud_NAME
Accès restreint à SYS.AUD$
SYSAud_DESC
Vérifie que l'accès à SYS.AUD$ est restreint.
SYSAud_RATIONALE
Lorsque l'audit de la base de données est activé et utilise une trace d'audit en base de données (AUDIT_TRAIL = DB), les enregistrements d'audit sont envoyés dans une table unique nommée SYS.AUD$. Lors d'un audit recherchant des activités suspectes dans la base de données, la trace d'audit doit être protégée, afin qu'il ne soit pas possible d'ajouter, de modifier ou de supprimer des informations d'audit sans que ces actions soient auditées. L'accès à la table SYS.AUD$ doit être restreint, de façon à éviter les tentatives non autorisées de consultation ou de modification des données qu'elle contient, qu'elles soient accidentelles ou délibérées.
SYSAud_FIX
Révoquez l'accès à SYS.AUD$ de tous les utilisateurs autres que SYS ou DBA.
SYSUserHistory_NAME
Accès restreint à SYS.USER_HISTORY$
SYSUserHistory_DESC
Vérifie que l'accès à SYS.USER_HISTORY$ est restreint.
SYSUserHistory_RATIONALE
La table SYS.USER_HISTORY$ contient les mots de passe hachés précédemment utilisés par chaque compte. L'accès à cette table peut rendre le mot de passe actuel d'un compte plus facile à deviner pour un pirate s'attaquant à la base de données. L'accès à SYS.USER_HISTORY$ doit donc être restreint.
SYSUserHistory_FIX
Révoquez l'accès à SYS.USER_HISTORY$ de tous les utilisateurs autres que SYS ou DBA.
SYSUser_NAME
Accès restreint à SYS.USER$
SYSUser_DESC
Vérifie que l'accès à SYS.USER$ est restreint.
SYSUser_RATIONALE
La table SYS.USER$ contient les noms utilisateur, les mots de passe hachés et autres informations sur les comptes de base de données. L'accès à cette table peut aider un pirate qui s'attaquerait à la base de données. L'accès à SYS.USER$ doit donc être restreint.
SYSUser_FIX
Révoquez l'accès à SYS.USER$ de tous les utilisateurs autres que SYS ou DBA.
SYSSource_NAME
Accès restreint à SYS.SOURCE$
SYSSource_DESC
Vérifie que l'accès à SYS.SOURCE$ est restreint.
SYSSource_RATIONALE
La table SYS.SOURCE$ contient l'ensemble du code source stocké dans la base de données. L'accès à cette table peut aider un pirate qui s'attaquerait à la base de données. L'accès à SYS.SOURCE$ doit donc être restreint.
SYSSource_FIX
Révoquez l'accès à SYS.SOURCE$ de tous les utilisateurs autres que SYS ou DBA.
PERFSTATStatsSqlText_NAME
Accès restreint à PERFSTAT.STATS$SQLTEXT
PERFSTATStatsSqlText_DESC
Vérifie que l'accès à PERFSTAT.STATS$SQLTEXT est restreint.
PERFSTATStatsSqlText_RATIONALE
La table PERFSTAT.STATS$SQLTEXT contient le texte intégral des instructions SQL exécutées récemment. L'accès à cette table peut aider un pirate qui s'attaquerait à la base de données. L'accès à PERFSTAT.STATS$SQLTEXT doit donc être restreint.
PERFSTATStatsSqlText_FIX
Révoquez l'accès à PERFSTAT.STATS$SQLTEXT de tous les utilisateurs autres que SYS ou DBA.
PERFSTATStatsSqlSummary_NAME
Accès restreint à PERFSTAT.STATS$SQL_SUMMARY
PERFSTATStatsSqlSummary_DESC
Vérifie que l'accès à PERFSTAT.STATS$SQL_SUMMARY est restreint.
PERFSTATStatsSqlSummary_RATIONALE
La table PERFSTAT.STATS$SQL_SUMMARY contient les premières lignes de texte SQL des commandes les plus consommatrices en ressources exécutées récemment. L'accès à cette table peut aider un pirate qui s'attaquerait à la base de données. L'accès à PERFSTAT.STATS$SQL_SUMMARY doit donc être restreint.
PERFSTATStatsSqlSummary_FIX
Révoquez l'accès à PERFSTAT.STATS$SQL_SUMMARY de tous les utilisateurs autres que SYS ou DBA.
Packages_NAME
Packages
Packages_DESC
Contient des règles qui vérifient que les privilèges sur les packages sont restreints.
UtlFile_NAME
Privilège d'exécution d'UTL_FILE restreint
UtlFile_DESC
Vérifie que le droit d'exécution du package UTL_FILE n'a pas
été accordé au rôle PUBLIC.
UtlFile_RATIONALE
Le package UTL_FILE permet à PL/SQL de lire des fichiers du système d'exploitation et d'y écrire. Cette fonction, par ailleurs très utile, peut servir à s'introduire dans une base de données, à obtenir des privilèges élevés ou à endommager une base de données. Pouvoir accéder à ce puissant package via le rôle PUBLIC constitue un risque pour la sécurité car n'importe quel utilisateur de base de données dispose des privilèges accordés à PUBLIC. L'accès à ce package doit donc être restreint.
UtlFile_FIX
N'accordez de privilèges d'exécution du package UTL_FILE qu'aux comptes qui en ont besoin.
UtlTcp_NAME
Privilège d'exécution d'UTL_TCP restreint
UtlTcp_DESC
Vérifie que le droit d'exécution du package UTL_TCP n'a pas été accordé au rôle PUBLIC.
UtlTcp_RATIONALE
Le package UTL_TCP permet à la base de données d'établir des connexions réseau sortantes vers tout service réseau récepteur. Par conséquent, des données arbitraires peuvent être envoyées de la base de données à tout service réseau en attente.
UtlTcp_FIX
N'accordez de privilèges d'exécution du package UTL_TCP qu'aux comptes qui en ont besoin.
UtlHttp_NAME
Privilège d'exécution d'UTL_HTTP restreint
UtlHttp_DESC
Vérifie que le droit d'exécution du package UTL_HTTP n'a pas été accordé au rôle PUBLIC.
UtlHttp_RATIONALE
Le package UTL_HTTP permet d'envoyer des demandes et des réponses HTTP depuis PL/SQL. Accorder ce package à PUBLIC peut permettre d'utiliser des formulaires HTML pour envoyer des données à un site Web malveillant.
UtlHttp_FIX
N'accordez de privilèges d'exécution du package UTL_HTTP qu'aux comptes qui en ont besoin.
UtlSmtp_NAME
Privilège d'exécution d'UTL_SMTP restreint
UtlSmtp_DESC
Vérifie que le droit d'exécution du package UTL_SMTP n'a pas été accordé au rôle PUBLIC.
UtlSmtp_RATIONALE
Le package UTL_SMTP permet à un utilisateur de base de données d'envoyer ou de recevoir des courriers électroniques à l'aide de PL/SQL. Accorder ce package à PUBLIC peut permettre l'échange non autorisé de courriers électroniques.
UtlSmtp_FIX
N'accordez de privilèges d'exécution du package UTL_SMTP qu'aux comptes qui en ont besoin.
DbmsJob_NAME
Privilège d'exécution de DBMS_JOB restreint
DbmsJob_DESC
Vérifie que le droit d'exécution du package DBMS_JOB n'a pas été
accordé au rôle PUBLIC.
DbmsJob_RATIONALE
Le package DBMS_JOB permet aux utilisateurs de programmer des procédures administratives pour exécution à intervalles réguliers. Il sert également d'interface avec la file d'attente des travaux. Bien que cela ne constitue pas à proprement parler un risque pour la sécurité, il n'y a aucune raison d'accorder un droit d'exécution sur ce package à PUBLIC.
DbmsJob_FIX
N'accordez de privilèges d'exécution du package DBMS_JOB qu'aux comptes qui en ont besoin.
DbmsSysSql_NAME
Privilège d'exécution de DBMS_SYS_SQL restreint
DbmsSysSql_DESC
Vérifie que le droit d'exécution du package DBMS_SYS_SQL n'a pas été accordé au rôle PUBLIC.
DbmsSysSql_RATIONALE
Le package non documenté DBMS_SYS_SQL permet aux utilisateurs d'exécuter des procédures PL/SQL et SQL en tant que propriétaires, et non en tant qu'appelants. L'accès à ce package doit être restreint.
DbmsSysSql_FIX
N'accordez de privilèges d'exécution du package DBMS_SYS_SQL qu'aux comptes qui en ont besoin.