Mejores prácticas para la configuración de la creación de bases de datos Oracle


11

Al instalar una base de datos Oracle, ¿qué configuración no predeterminada normalmente aplicaría (o consideraría aplicar)?

No busco configuraciones dependientes del hardware (por ejemplo, asignación de memoria) o ubicaciones de archivos, sino elementos más generales. Del mismo modo, cualquier cosa que sea un requisito particular para una aplicación específica en lugar de ser generalmente aplicable no es realmente útil.

¿Se separan los esquemas de código / API (propietarios de PL / SQL) de los esquemas de datos (propietarios de tablas)? ¿Utiliza roles predeterminados o no predeterminados y, si es esto último, protege con contraseña el rol?

También me interesa saber si hay algún lugar en el que haga una REVOCACIÓN de una CONCESIÓN que esté instalada de manera predeterminada. Eso puede depender de la versión, ya que 11g parece estar más bloqueado para su instalación predeterminada.

Estos son los que usé en una configuración reciente. Me gustaría saber si me perdí algo o dónde no estás de acuerdo (y por qué).

Parámetros de base de datos

  • Auditoría (AUDIT_TRAIL a DB y AUDIT_SYS_OPERATIONS a YES)
  • DB_BLOCK_CHECKSUM y DB_BLOCK_CHECKING (ambos a COMPLETO)
  • GLOBAL_NAMES a verdadero
  • OPEN_LINKS a 0 (no esperaba que se usaran en este entorno)

Conjunto de caracteres - AL32UTF8

Perfiles
Creé una función de verificación de contraseña modificada que usaba la tabla de diccionario de apex (FLOWS_030000.wwv_flow_dictionary $) como un control adicional para evitar contraseñas simples.

Inicios de sesión de desarrollador

CREATE PROFILE profile_dev LIMIT FAILED_LOGIN_ATTEMPTS 8 
PASSWORD_LIFE_TIME 32 PASSWORD_REUSE_TIME 366 PASSWORD_REUSE_MAX 12
PASSWORD_LOCK_TIME 6 PASSWORD_GRACE_TIME 8
PASSWORD_VERIFY_FUNCTION verify_function_11g
SESSIONS_PER_USER unlimited CPU_PER_SESSION   unlimited
CPU_PER_CALL      unlimited PRIVATE_SGA  unlimited
CONNECT_TIME 1080 IDLE_TIME 180
LOGICAL_READS_PER_SESSION unlimited LOGICAL_READS_PER_CALL unlimited;

Inicio de sesión de la aplicación

CREATE PROFILE profile_app LIMIT FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LIFE_TIME 999 PASSWORD_REUSE_TIME 999 PASSWORD_REUSE_MAX 1
PASSWORD_LOCK_TIME 999 PASSWORD_GRACE_TIME 999
PASSWORD_VERIFY_FUNCTION verify_function_11g
SESSIONS_PER_USER unlimited CPU_PER_SESSION   unlimited
CPU_PER_CALL      unlimited PRIVATE_SGA  unlimited
CONNECT_TIME      unlimited IDLE_TIME  unlimited
LOGICAL_READS_PER_SESSION unlimited LOGICAL_READS_PER_CALL unlimited;

Privilegios para una cuenta de propietario de esquema estándar

CREATE CLUSTER  
CREATE TYPE  
CREATE TABLE   
CREATE VIEW   
CREATE PROCEDURE   
CREATE JOB  
CREATE MATERIALIZED VIEW   
CREATE SEQUENCE  
CREATE SYNONYM  
CREATE TRIGGER  

Respuestas:



0

Auditoría : desactivada a menos que exista un requisito del cliente para habilitarla.

Separación del esquema de código del esquema de datos : No, pero definitivamente aísle el esquema de código y datos de los usuarios, donde acceden a las tablas / códigos subyacentes a través de roles o concesiones.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.