当前位置：首页 > article >正文

Oracle 19c单实例安装后，别忘了做这5个安全与性能基础配置（CentOS 7版）

article 2026/5/19 19:14:33

Oracle 19c单实例安装后的5个关键安全与性能配置指南CentOS 7环境刚完成Oracle 19c的安装只是数据库管理的第一步。许多初级DBA常犯的错误是认为安装成功就意味着工作结束实际上默认配置往往存在严重的安全漏洞和性能隐患。本文将带您完成五个立即见效的配置调整这些操作能在30分钟内显著提升数据库的安全性和响应速度。1. 全面修改默认账户密码与权限控制安装向导通常只要求设置SYS和SYSTEM账户密码但Oracle默认创建了超过40个内置账户其中不少具有高危权限。我曾见过一个生产环境因未修改DBSNMP账户默认密码而被植入挖矿程序。1.1 识别所有默认账户执行以下SQL查询获取所有内置账户列表SELECT username, account_status, created FROM dba_users WHERE oracle_maintainedY ORDER BY created DESC;典型输出会显示如下账户SYS超级管理员SYSTEM系统管理DBSNMP监控账户SYSMAN企业管理器OUTLN存储大纲1.2 密码修改与锁定策略对非必要账户建议采用锁定策略关键账户则必须修改密码-- 修改关键账户密码 ALTER USER sys IDENTIFIED BY N3wS3curePss#2023; ALTER USER system IDENTIFIED BY N3wS3curePss#2023; -- 锁定非必要账户 ALTER USER dbsnmp ACCOUNT LOCK; ALTER USER outln ACCOUNT LOCK;注意Oracle密码区分大小写且需满足复杂度要求建议包含大小写字母、数字和特殊字符的组合1.3 权限最小化原则检查并回收不必要的权限-- 查看所有角色权限 SELECT * FROM dba_sys_privs WHERE grantee IN (DBA,RESOURCE); -- 回收示例 REVOKE UNLIMITED TABLESPACE FROM scott;2. 监听器安全加固实战默认监听器配置允许来自任何IP的连接尝试这是最常见的攻击入口。去年某金融机构就因监听器未加固导致数据泄露。2.1 限制访问IP范围编辑$ORACLE_HOME/network/admin/listener.ora添加以下内容# 只允许本地和指定网段访问 LISTENER (DESCRIPTION_LIST (DESCRIPTION (ADDRESS (PROTOCOL TCP)(HOST 192.168.1.100)(PORT 1521)) ) ) # 添加访问控制 ADR_BASE_LISTENER /u01/app/oracle VALID_NODE_CHECKING_REGISTRATION_LISTENERON SUBSCRIBE_FOR_NODE_DOWN_EVENT_LISTENERON REGISTRATION_INVITED_NODES_LISTENER(localhost,192.168.1.0/24)2.2 启用监听器日志在listener.ora中追加LOGGING_LISTENERON LOG_DIRECTORY_LISTENER/u01/app/oracle/diag/tnslsnr LOG_FILE_LISTENERlistener.log2.3 配置sqlnet.ora加强认证编辑$ORACLE_HOME/network/admin/sqlnet.ora# 禁止操作系统认证 SQLNET.AUTHENTICATION_SERVICES(NONE) # 设置登录失败延迟 SQLNET.INBOUND_CONNECT_TIMEOUT30 SQLNET.EXPIRE_TIME10重启监听使配置生效lsnrctl stop lsnrctl start3. 关键性能参数调优Oracle 19c默认参数配置保守无法充分利用现代服务器硬件。通过以下调整可使TPS提升40%以上。3.1 内存分配优化根据服务器物理内存调整SGA和PGA假设服务器有32G内存-- 查看当前内存配置 SHOW PARAMETER sga_target; SHOW PARAMETER pga_aggregate_target; -- 动态调整无需重启 ALTER SYSTEM SET sga_target16G SCOPEBOTH; ALTER SYSTEM SET pga_aggregate_target8G SCOPEBOTH; ALTER SYSTEM SET memory_target0 SCOPESPFILE; -- 禁用自动内存管理3.2 进程与会话参数-- 调整进程数默认150通常不足 ALTER SYSTEM SET processes500 SCOPESPFILE; -- 会话数限制 ALTER SYSTEM SET sessions555 SCOPESPFILE; ALTER SYSTEM SET transactions610 SCOPESPFILE;3.3 I/O性能相关参数-- 磁盘I/O配置 ALTER SYSTEM SET disk_asynch_ioTRUE SCOPESPFILE; ALTER SYSTEM SET filesystemio_optionsSETALL SCOPESPFILE; ALTER SYSTEM SET db_writer_processes4 SCOPESPFILE;提示这些参数修改后需要重启数据库才能生效建议在维护窗口操作4. 审计策略配置合规性要求通常包括数据库操作审计以下配置满足等保三级要求。4.1 启用标准审计-- 查看当前审计设置 SELECT * FROM dba_audit_trail; -- 启用关键操作审计 AUDIT CREATE SESSION; AUDIT ALTER USER; AUDIT GRANT ANY PRIVILEGE; AUDIT CREATE ANY TABLE;4.2 统一审计配置19c新特性-- 启用统一审计 ALTER SYSTEM SET audit_trailDB,EXTENDED SCOPESPFILE; -- 创建审计策略 CREATE AUDIT POLICY admin_actions ACTIONS ALTER USER, CREATE USER, DROP USER; AUDIT POLICY admin_actions BY sys, system;4.3 审计日志维护设置自动清理任务防止审计表膨胀BEGIN DBMS_AUDIT_MGMT.set_last_archive_timestamp( audit_trail_type DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, last_archive_time SYSTIMESTAMP-30); END; / -- 创建清理作业 BEGIN DBMS_AUDIT_MGMT.create_purge_job( audit_trail_type DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, audit_trail_purge_interval 24, audit_trail_purge_name Audit_Trail_PJ); END; /5. 备份策略快速部署即使新安装的数据库也需要立即配置备份避免数据意外丢失。5.1 确保归档模式启用-- 检查当前模式 SELECT log_mode FROM v$database; -- 切换到归档模式如未启用 SHUTDOWN IMMEDIATE; STARTUP MOUNT; ALTER DATABASE ARCHIVELOG; ALTER DATABASE OPEN;5.2 配置快速恢复区-- 设置恢复区大小建议为数据库大小的2倍 ALTER SYSTEM SET db_recovery_file_dest_size50G; ALTER SYSTEM SET db_recovery_file_dest/u01/app/oracle/fast_recovery_area; -- 启用自动备份控制文件 ALTER SYSTEM SET control_file_autobackupON;5.3 RMAN基础备份脚本创建/home/oracle/scripts/full_backup.rman文件RUN { ALLOCATE CHANNEL ch1 DEVICE TYPE DISK FORMAT /backup/oracle/full_%U; BACKUP AS COMPRESSED BACKUPSET DATABASE PLUS ARCHIVELOG; BACKUP CURRENT CONTROLFILE; RELEASE CHANNEL ch1; }添加到cron定时任务0 2 * * * /u01/app/oracle/product/19.3.0/dbhome_1/bin/rman target / /home/oracle/scripts/full_backup.rman log/backup/oracle/logs/backup_$(date \%Y\%m\%d).log这些配置完成后您的Oracle 19c实例已具备企业级的安全防护和性能基础。实际环境中建议每周检查警报日志$ORACLE_BASE/diag/rdbms/*/trace/alert_*.log并根据工作负载进一步优化参数。

Oracle 19c单实例安装后，别忘了做这5个安全与性能基础配置（CentOS 7版）

相关文章：

Oracle 19c单实例安装后，别忘了做这5个安全与性能基础配置（CentOS 7版）

Mac用户必看：免费开源的NTFS读写神器，3分钟解决跨平台文件传输难题

告别pip install torch：手把手教你离线安装PyTorch 1.5.1（含CUDA 9.2配置）

深度解析causal-conv1d：CUDA加速的因果深度卷积专业指南

移动端测试实战：App兼容性测试的全套解决方案

【免费下载】 MySQL Connector/Java 8.0.29 驱动包

Unpaywall：当学术研究遇上智能助手，如何一键解锁全球开放获取文献

【免费下载】 MATLAB 3D 极坐标绘图示例：天线三维方向图【matlab下载】

如何通过WindowResizer精准掌控Windows窗口尺寸布局

从API密钥管理角度感受Taotoken控制台的安全与便捷

Royal TSX 终极中文汉化包：让专业远程管理工具说中文的完整解决方案

【免费下载】探索三维世界的利器：Qt+OpenGL三维地形显示项目

HEIF Utility：当跨平台技术遇上真实世界的照片困境

为什么你的Perplexity总搜不到知网核心期刊？97.6%用户忽略的3个元数据过滤阈值（附知网后台原始字段对照表）

自适应滤波器提取胎儿心电信号的MATLAB及FPGA实现

Windows Audio服务启动报错‘193 0xc1’？可能是系统文件损坏了，试试这个修复流程

【Perplexity医疗搜索实战指南】：3大临床决策加速器与5个被90%医生忽略的精准检索技巧

细胞的“近距离对话大师”——Notch信号通路

【亲测免费】 Zynq平台网络芯片RTL8211FD配置资源推荐

探索未来Web交互：Unity与Vue的梦幻联动

Linux内核中断处理机制深度解析：中断嵌套与异常打断原理

【亲测免费】探索U-Net多类别图像分割：基于PyTorch的开源利器

抖音批量下载神器：轻松保存无水印视频的终极指南 [特殊字符]

KNN和K-Means选错距离度量？详解闵可夫斯基距离中参数p的实战调优

告别Provider嵌套！用Naive UI的createDiscreteApi一键管理message、dialog、loadingBar

MAA明日方舟助手：5步配置实现游戏日常全自动化

magic-api Swagger文档自动生成：让API文档维护变得简单

高端工程场景实测：OpenAI Codex CLI 在微服务重构中的 3 类能力边界

B站缓存视频拯救计划：3分钟实现m4s转MP4永久保存

基于SpringBoot的电影院选座购票系统毕业设计源码