Práticas recomendadas para configurações para criação de banco de dados Oracle

Ao instalar um banco de dados Oracle, que configurações não padrão você aplicaria normalmente (ou consideraria aplicar)?

Não busco configurações dependentes de hardware (por exemplo, alocação de memória) ou localizações de arquivos, mas itens mais gerais. Da mesma forma, qualquer coisa que seja um requisito específico para um aplicativo específico em vez de geralmente aplicável não é realmente útil.

Você separa esquemas de código / API (proprietários de PL / SQL) dos esquemas de dados (proprietários de tabelas)? Você usa funções padrão ou não padrão e, se esta última, protege por senha a função?

Também estou interessado em saber se há algum lugar em que você faça um REVOKE de um GRANT instalado por padrão. Isso pode depender da versão, pois o 11g parece mais bloqueado para a instalação padrão.

Estes são os que usei em uma configuração recente. Gostaria de saber se perdi alguma coisa ou onde você discorda (e por que).

Parâmetros do banco de dados

• Auditoria (AUDIT_TRAIL para DB e AUDIT_SYS_OPERATIONS para YES)
• DB_BLOCK_CHECKSUM e DB_BLOCK_CHECKING (ambos para CHEIO)
• GLOBAL_NAMES para true
• OPEN_LINKS para 0 (não esperava que fossem usados ​​neste ambiente)

Conjunto de caracteres - AL32UTF8

Perfis
Criei uma função de verificação de senha alterada que usava a tabela de dicionário apex (FLOWS_030000.wwv_flow_dictionary $) como uma verificação extra para evitar senhas simples.

Logons de desenvolvedor

CREATE PROFILE profile_dev LIMIT FAILED_LOGIN_ATTEMPTS 8 
PASSWORD_LIFE_TIME 32 PASSWORD_REUSE_TIME 366 PASSWORD_REUSE_MAX 12
PASSWORD_LOCK_TIME 6 PASSWORD_GRACE_TIME 8
PASSWORD_VERIFY_FUNCTION verify_function_11g
SESSIONS_PER_USER unlimited CPU_PER_SESSION   unlimited
CPU_PER_CALL      unlimited PRIVATE_SGA  unlimited
CONNECT_TIME 1080 IDLE_TIME 180
LOGICAL_READS_PER_SESSION unlimited LOGICAL_READS_PER_CALL unlimited;

Login do aplicativo

CREATE PROFILE profile_app LIMIT FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LIFE_TIME 999 PASSWORD_REUSE_TIME 999 PASSWORD_REUSE_MAX 1
PASSWORD_LOCK_TIME 999 PASSWORD_GRACE_TIME 999
PASSWORD_VERIFY_FUNCTION verify_function_11g
SESSIONS_PER_USER unlimited CPU_PER_SESSION   unlimited
CPU_PER_CALL      unlimited PRIVATE_SGA  unlimited
CONNECT_TIME      unlimited IDLE_TIME  unlimited
LOGICAL_READS_PER_SESSION unlimited LOGICAL_READS_PER_CALL unlimited;

Privilégios para uma conta de proprietário de esquema padrão

CREATE CLUSTER  
CREATE TYPE  
CREATE TABLE   
CREATE VIEW   
CREATE PROCEDURE   
CREATE JOB  
CREATE MATERIALIZED VIEW   
CREATE SEQUENCE  
CREATE SYNONYM  
CREATE TRIGGER  

Aqui está algo que eu encontrei uma vez, que é um exemplo das melhores práticas de alguém na versão mais antiga do Oracle:

http://www.akadia.com/services/ora_linux_install_10g.html

Auditoria - desativada, a menos que haja um requisito do cliente para ativá-la.

Separação do esquema de código do esquema de dados : Não, mas isole definitivamente o esquema de código e dados dos usuários, onde eles acessam as tabelas / códigos subjacentes por meio de funções ou concessões.