Oracle數(shù)據(jù)安全面面觀(二)
2024-08-29 13:30:26
供稿:網(wǎng)友
(二)來自內(nèi)部的另外一個隱患--用戶管理以及密碼問題
在這里�����,其實作為一個差不多點的數(shù)據(jù)庫管理員都很清楚��,oracle數(shù)據(jù)庫本身就使用了很多種手段來加強(qiáng)數(shù)據(jù)庫的安全性���,經(jīng)常見到的就有密碼,角色�����,權(quán)限等等����。那么我們就從最簡單的dbsnmp說起:
oralce數(shù)據(jù)庫如果采用典型安裝后,自動創(chuàng)建了一個叫做dbsnmp的用戶����,該用戶負(fù)責(zé)運行oracle系統(tǒng)的智能代理(intelligent agent)�����,該用戶的缺省密碼也是“dbsnmp”。如果忘記修改該用戶的口令��,任何人都可以通過該用戶存取數(shù)據(jù)庫系統(tǒng)?,F(xiàn)在我們來看一下該用戶具有哪些權(quán)限和角色,然后來分析一下該用戶對數(shù)據(jù)庫系統(tǒng)可能造成的損失����。
啟動sql/plus程序�,使用該用戶登錄進(jìn)入:
sql> select * from session_privs; create session alter session unlimited tablespace create table create cluster create synonym create public synonym create view create sequence create database link create procedure create trigger analyze any create type create operator create indextype
可以看到該用戶不是sys或system管理用戶��,然而�,它卻具有兩個系統(tǒng)級權(quán)限:unlimited tablespace和create public synonym��。
看到這兩個權(quán)限你應(yīng)該馬上想到�,這些都是安全隱患�����,尤其是unlimited tablespace�����,它是破壞數(shù)據(jù)庫系統(tǒng)的攻擊點之一�。如果這時候你還依然認(rèn)為��,即使有人利用這個沒有修改的口令登錄進(jìn)數(shù)據(jù)庫也造成不了什么損失的話,我就不得不提醒你:該用戶具有unlimited tablespace的系統(tǒng)權(quán)限����,它可以寫一個小的腳本���,然后惡意將系統(tǒng)用垃圾數(shù)據(jù)填滿�����,這樣數(shù)據(jù)庫系統(tǒng)也就無法運行,并將直接導(dǎo)致最終的癱瘓����。目前很多數(shù)據(jù)庫系統(tǒng)都要求7x24的工作�,如果出現(xiàn)了系統(tǒng)用垃圾數(shù)據(jù)填滿的情況���,那么����,等數(shù)據(jù)庫系統(tǒng)恢復(fù)時,恐怕不可挽回的損失已經(jīng)造成了��。
可是除了dbsnmp還有很多其他的用戶��,怎么辦呢���?讓我們先看一下目前普遍存在于oracle數(shù)據(jù)庫中的用戶管理問題:
(1)權(quán)限過大:對oracle數(shù)據(jù)庫編程和瀏覽的一般用戶常常具有dba (數(shù)據(jù)庫管理員權(quán)限)���,能對數(shù)據(jù)庫系統(tǒng)做任何修改或刪除。
(2)安全性差:很多oracle用戶缺省存儲位置都在系統(tǒng)表空間,這樣不僅影響系統(tǒng)的正常工作����,而且不同用戶的數(shù)據(jù)信息互相影響��、透明,保密性差。隨著數(shù)據(jù)的不斷加入,有可能使整個數(shù)據(jù)庫系統(tǒng)崩潰���。
(3)密碼有規(guī)律:在oracle調(diào)試初期形成的用戶名和密碼一致的不良習(xí)慣保留到現(xiàn)在;系統(tǒng)用戶sys和system的密碼也眾所皆知。
知道了這些普遍的“毛病”�,我們怎么做呢����?下面是我的一些建議:
(1)oracle dba (數(shù)據(jù)庫管理員)的規(guī)范
·sun solaris操作系統(tǒng)下oracle用戶密碼應(yīng)嚴(yán)格保密��,絕不該把密碼設(shè)成oracle��;并指定專門的數(shù)據(jù)庫管理員定期修改。
·oracle初始化建立的sys和system系統(tǒng)管理員用戶密碼應(yīng)由原來manager改成別的不易被記憶的字符串���。
·oracle web server的管理端口具備dba瀏覽數(shù)據(jù)庫的能力,因此其管理者admin的密碼也應(yīng)保密,不該把密碼設(shè)成manager;并指定專門的數(shù)據(jù)庫管理員定期修改�����。
·oracle dba最好在sun sparc服務(wù)器控制臺上用窗口式界面實現(xiàn)管理���。前提是oracle用戶啟動服務(wù)器�����,然后在窗口式命令行下輸入svrmgrm����,即啟動了oracle server manager菜單式管理����;用sysdba身份登錄后�����,就可做數(shù)據(jù)庫系統(tǒng)維護(hù)工作了
(2)sql*plus編程用戶的規(guī)范
·存儲結(jié)構(gòu)的規(guī)范
考慮到用sql*plus編程可實現(xiàn)各行各業(yè)���、各公司����、各部門多種多樣的應(yīng)用需求,我們的sql*plus編程用戶也應(yīng)該朝這個方向規(guī)范:不同種類的應(yīng)用必須有不同的用戶��;不同種類的應(yīng)用必須有不同的存儲位置��,包括物理文件�、缺省表空間���、臨時表空間的創(chuàng)建和規(guī)劃:當(dāng)準(zhǔn)備編寫某一較大規(guī)模(從oracle數(shù)據(jù)量和面向用戶量考慮)應(yīng)用程序時���,首先應(yīng)該創(chuàng)建一個邏輯的存儲位置-表空間��,同時定義物理文件的存放路徑和所占硬盤的大小�。
①���、物理文件缺省的存放路徑在/oracle_home/dbs下����,在命令行下用unix指令df -k 可查看硬盤資源分區(qū)的使用情況。如果oracle_home使用率達(dá)90‰以上�,而且有一個或多個較為空閑的硬盤資源分區(qū)可以利用,我們最好把物理文件缺省的存放路徑改到較為空閑的硬盤資源分區(qū)路徑下����。在此路徑下我們可以這樣規(guī)劃資源物理文件的存儲:
xxx表空間
xxx行業(yè)/ xxx公司/ xxx 部門/ xxx 服務(wù).dbf
demo表空間
default_datafile_home1/col /elec/sys4/demo1.dbf
default_datafile_home1/col /elec/sys4/demo2.dbf
公司系統(tǒng)四部摹擬演示系統(tǒng)物理文件
human表空間
default_datafile_home1/col/elec/human/human.dbf
公司人事部人事管理系統(tǒng)物理文件
book表空間
default_datafile_home1/col/elec/book/book.dbf
公司資料室圖書管理系統(tǒng)物理文件
question表空間
default_datafile_home1/col/elec/client/question.dbf
公司客戶服務(wù)部問題庫系統(tǒng)物理文件
pc表空間
default_datafile_home1/col/chaoxun/client/pc.dbf
公司pc機(jī)售后服務(wù)系統(tǒng)物理文件
……表空間
default_datafile_home2/……………………………
等等
說明:其中default_datafile_home1指oracle_home/dbs���;default_datafile_home2指較為空閑的硬盤資源分區(qū)路徑��。
②、物理文件的大小根據(jù)應(yīng)用系統(tǒng)的數(shù)據(jù)量�、數(shù)據(jù)對象���、程序包的多少來定�����。一般用于摹擬演示的小系統(tǒng),表空間初始的物理文件為2m即能滿足要求����,如果信息量滿����,還可以增加物理文件����,擴(kuò)充表空間(每次擴(kuò)充大小也可暫定為2m);一般實際運行的應(yīng)用系統(tǒng)可適當(dāng)增加表空間初始的物理文件大小�,但也不要一次分配太大(因為不易回收空間����,卻易擴(kuò)充空間)�,這也需要根據(jù)具體情況具體分析:信息量大、需長時間保存的應(yīng)用在條件允許情況下����,表空間可以大到幾百m甚至上g;信息量小、短期經(jīng)常刷新的應(yīng)用,表空間可以控制在2m以下�。
③���、表空間的名稱應(yīng)該采用同系統(tǒng)應(yīng)用相似的英文字符或字符縮寫��,表空間所對應(yīng)的一個或多個物理文件名也應(yīng)有相關(guān)性。不同用戶所處的缺省表空間不同,存儲的信息就不能互相訪問���。這比把所有用戶信息都儲存在系統(tǒng)表空間,安全性大大提高了。如果用oracle web server管理端口創(chuàng)建的用戶���,其缺省和臨時表空間一定是系統(tǒng)表空間,dba切記要改變用戶的缺省表空間�����。臨時表空間存放臨時數(shù)據(jù)段�,處理一些排序、合并等中間操作,根據(jù)實際應(yīng)用的需求可以把它們放在專門創(chuàng)建的表空間里��;如果系統(tǒng)表空間大,也可以把它們放在系統(tǒng)表空間��。用戶創(chuàng)建的數(shù)據(jù)索引最好和數(shù)據(jù)文件分開存放在不同表空間�,以減少數(shù)據(jù)爭用和提高響應(yīng)速度。
注冊會員��,創(chuàng)建你的web開發(fā)資料庫�,
