杜絕安全隱患容易忽視的Oracle安全問(wèn)題

2024-08-29 13:46:10

字體：大中小

供稿：網(wǎng)友

數(shù)據(jù)庫(kù)安全問(wèn)題一直是人們關(guān)注的焦點(diǎn)之一，我們知道一個(gè)企業(yè)或者機(jī)構(gòu)的數(shù)據(jù)庫(kù)假如遭到黑客的攻擊，而這些數(shù)據(jù)庫(kù)又保存著非常重要的數(shù)據(jù)，象銀行、通信等數(shù)據(jù)庫(kù)，后果將不堪設(shè)想。Oracle數(shù)據(jù)庫(kù)使用了多種手段來(lái)保證數(shù)據(jù)庫(kù)的安全性，如密碼，角色，權(quán)限等等。　　作為Oracle的數(shù)據(jù)庫(kù)治理員都知道，數(shù)據(jù)庫(kù)系統(tǒng)典型安裝后，一般sys和system以及internal這三個(gè)用戶具有默認(rèn)的口令，數(shù)據(jù)庫(kù)安裝成功后，系統(tǒng)治理員作的第一件工作就是修改這些用戶的口令，保證數(shù)據(jù)庫(kù)的安全性。然而，眾多治理員往往忽視了其中的一個(gè)安全問(wèn)題，下面我們就將具體討論這個(gè)問(wèn)題。
　　Oracle數(shù)據(jù)庫(kù)系統(tǒng)假如采用典型安裝后，除了創(chuàng)建前面介紹的幾個(gè)用戶外，另外還自動(dòng)創(chuàng)建了一個(gè)叫做DBSNMP的用戶，該用戶負(fù)責(zé)運(yùn)行Oracle系統(tǒng)的智能代理（Intelligent Agent），該用戶的缺省密碼也是“DBSNMP”。假如忘記修改該用戶的口令，任何人都可以通過(guò)該用戶存取數(shù)據(jù)庫(kù)系統(tǒng)。現(xiàn)在我們來(lái)看一下該用戶具有哪些權(quán)限和角色，然后來(lái)分析一下該用戶對(duì)數(shù)據(jù)庫(kù)系統(tǒng)可能造成的損失。
啟動(dòng)SQL/PLUS程序，使用該用戶登錄進(jìn)入：

SQL>select * from session_PRivs;
CREATE SESSION
ALTER SESSION
UNLIMITED TABLESPACE
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE PUBLIC SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE DATABASE LINK
CREATE PROCEDURE
CREATE TRIGGER
ANALYZE ANY
CREATE TYPE
CREATE OperaTOR
CREATE INDEXTYPE

　　可以看到該用戶不是SYS或SYSTEM治理用戶，然而，它卻具有兩個(gè)系統(tǒng)級(jí)權(quán)限：UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM。
　　看到這兩個(gè)權(quán)限你應(yīng)該馬上想到，這些都是安全隱患，尤其是UNLIMITED TABLESPACE，它是破壞數(shù)據(jù)庫(kù)系統(tǒng)的攻擊點(diǎn)之一。假如這時(shí)候你還依然認(rèn)為，即使有人利用這個(gè)沒(méi)有修改的口令登錄進(jìn)數(shù)據(jù)庫(kù)也造成不了什么損失的話，我就不得不提醒你：該用戶具有UNLIMITED TABLESPACE的系統(tǒng)權(quán)限，它可以寫一個(gè)小的腳本，然后惡意將系統(tǒng)用垃圾數(shù)據(jù)填滿，這樣數(shù)據(jù)庫(kù)系統(tǒng)也就無(wú)法運(yùn)行，并將直接導(dǎo)致最終的癱瘓。目前很多數(shù)據(jù)庫(kù)系統(tǒng)都要求7X24的工作，假如出現(xiàn)了系統(tǒng)用垃圾數(shù)據(jù)填滿的情況，那么，等數(shù)據(jù)庫(kù)系統(tǒng)恢復(fù)時(shí)，恐怕不可挽回的損失已經(jīng)造成了。
　　為了保證Oracle數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行的絕對(duì)安全，強(qiáng)烈建議數(shù)據(jù)庫(kù)治理員修改該用戶的默認(rèn)口令，不要為不懷好意的人留下“方便之門”。

上一篇：Oracle8i在linux下的安裝(中文)

下一篇：Oracle診斷案例：Job任務(wù)停止執(zhí)行