Oracle撞大运别错过最后一步（oracle关到一半）

Oracle撞大运：别错过最后一步！

随着区块链技术的发展，新一代黑客攻击方式——挖矿病毒攻击逐渐兴起，将电脑和服务器资源用来挖掘虚拟货币，从而获取巨额利润。而Oracle数据库也成为挖矿病毒攻击的重要对象，这对于企业和个人用户来说都是极其不利的，会导致数据泄露、系统负载过大等问题。

最近，一种新的Oracle挖矿病毒攻击目标竟然涉及到客户数字货币钱包，据称该攻击导致3,000个钱包被盗走了数百万美元，情况非常严重。

Oracle官方已经发布了针对此问题的临时解决方案，而此次攻击的原因主要是因为Oracle的一些默认设置，没有强制要求Oracle数据库用户输入密码，造成了系统安全漏洞，所以用户需要自己升级Oracle数据库，解决安全隐患。下面为大家详细介绍Oracle升级步骤：

步骤一：强制过期默认密码

在Oracle 12.2中，Oracle CSC（密码文件）的默认密码已被取消，因此密码文件的创建后，Oracle将强制用户去修改默认密码，这也是为了保证Oracle数据库的安全性。如果未做此操作，需要执行以下步骤：

ALTER USER username IDENTIFIED BY password;

步骤二：按照Oracle安全建议为数据库设置安全策略

Oracle在其安全建议中提到了一些数据库保护步骤，包括：

禁用清明（Clear）文口令: 配置PROFILE来限制清明口令的使用.

管理权限控制：限制数据库特权账户的使用，配置适当的磁盘、文件系统、操作系统和Oracle的存储选项。

实施审计措施: 了解安全事件的实际发生时间和原因，以便在可能最多的时间内侦测和回应攻击

极限时间超时：定期更改密码、会话和会话令牌（Session Token）随着时间的推移而失效，如果失效，将帮助消除任何攻击者的持久性。

步骤三：升级Oracle数据库版本

用户可以选择升级到18c和19c。在18c中，Oracle已经开发出一个自动密码策略管理工具，可以帮助用户识别并强制Oracle账户的合规密码策略。

在19c中，Oracle引入了自动锁定帐户功能，来保护用户免受攻击。

保护Oracle数据库安全非常重要，因为安全漏洞可能导致数据泄露、系统崩溃和重要数据损失。用户应该采取防御措施，包括遵循安全建议，创建强密码策略，升级Oracle对最新的版本，以保证数据库的稳定和安全。