Лучшие практики для настройки для создания базы данных Oracle

При установке базы данных Oracle какие нестандартные параметры вы обычно применяете (или рассматриваете как применение)?

Я не после аппаратно-зависимых настроек (например, выделения памяти) или расположения файлов, а более общих пунктов. Точно так же все, что является определенным требованием для определенного приложения, а не общеприменимо, не очень полезно.

Вы отделяете схемы кода / API (владельцы PL / SQL) от схем данных (владельцы таблиц)? Используете ли вы роли по умолчанию или не по умолчанию, и если последнее, защищаете ли вы роль паролем?

Меня также интересует, есть ли места, где вы делаете REVOKE GRANT, который установлен по умолчанию. Это может зависеть от версии, поскольку 11g кажется более заблокированным для установки по умолчанию.

Это те, которые я использовал в недавней установке. Я хотел бы знать, пропустил ли я что-нибудь или где вы не согласны (и почему).

Параметры базы данных

• Аудит (AUDIT_TRAIL для БД и AUDIT_SYS_OPERATIONS для ДА)
• DB_BLOCK_CHECKSUM и DB_BLOCK_CHECKING (оба в ПОЛНОМ)
• GLOBAL_NAMES в true
• OPEN_LINKS в 0 (не ожидал, что они будут использоваться в этой среде)

Набор символов - AL32UTF8

Профили
Я создал исправленную функцию проверки пароля, которая использовала таблицу словаря apex (FLOWS_030000.wwv_flow_dictionary $) в качестве дополнительной проверки для предотвращения простых паролей.

Вход для разработчиков

CREATE PROFILE profile_dev LIMIT FAILED_LOGIN_ATTEMPTS 8 
PASSWORD_LIFE_TIME 32 PASSWORD_REUSE_TIME 366 PASSWORD_REUSE_MAX 12
PASSWORD_LOCK_TIME 6 PASSWORD_GRACE_TIME 8
PASSWORD_VERIFY_FUNCTION verify_function_11g
SESSIONS_PER_USER unlimited CPU_PER_SESSION   unlimited
CPU_PER_CALL      unlimited PRIVATE_SGA  unlimited
CONNECT_TIME 1080 IDLE_TIME 180
LOGICAL_READS_PER_SESSION unlimited LOGICAL_READS_PER_CALL unlimited;

Вход в приложение

CREATE PROFILE profile_app LIMIT FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LIFE_TIME 999 PASSWORD_REUSE_TIME 999 PASSWORD_REUSE_MAX 1
PASSWORD_LOCK_TIME 999 PASSWORD_GRACE_TIME 999
PASSWORD_VERIFY_FUNCTION verify_function_11g
SESSIONS_PER_USER unlimited CPU_PER_SESSION   unlimited
CPU_PER_CALL      unlimited PRIVATE_SGA  unlimited
CONNECT_TIME      unlimited IDLE_TIME  unlimited
LOGICAL_READS_PER_SESSION unlimited LOGICAL_READS_PER_CALL unlimited;

Привилегии для учетной записи владельца стандартной схемы

CREATE CLUSTER  
CREATE TYPE  
CREATE TABLE   
CREATE VIEW   
CREATE PROCEDURE   
CREATE JOB  
CREATE MATERIALIZED VIEW   
CREATE SEQUENCE  
CREATE SYNONYM  
CREATE TRIGGER  

Вот кое-что, с чем я столкнулся однажды, и это пример того, как кто-то использует лучшие практики на старой версии Oracle:

http://www.akadia.com/services/ora_linux_install_10g.html

Аудит отключен, если только у клиента нет требования включить его.

Отделение схемы кода от схемы данных : нет, но определенно изолируйте схему кода и данных от пользователей, где они получают доступ к базовым таблицам / коду через роли или гранты.