zabezpečení databáze a parametry uživatelského profilu a jak zkontrolovat Zásady hesla v Oracle 12c
Ahoj,
vysvětlím vám o zabezpečení databáze Oracle , parametrech zabezpečení databáze a profilu v tomto článku.
před tím byste si měli přečíst následující články, abyste pochopili zabezpečení databáze Oracle velmi dobře.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
v databázi Oracle je spousta bezpečnostních řešení následujícím způsobem.
jedním z nejzákladnějších bezpečnostních řešení jsou zásady a pravidla uživatelského hesla. Uživatelské heslo je spravováno uživatelskými profily.
databáze Oracle vyžaduje kontrolu hesla na základě profilů.
v databázi lze definovat více profilů, které umožňují rozdíly v ovládacích prvcích mezi uživateli, které vyžadují různé úrovně zabezpečení.
parametry a popisy v uživatelských profilech definovaných pro uživatele Oracle jsou následující.
DOBA ŽIVOTNOSTI HESLA: zobrazuje počet dní, kdy je heslo platné před vypršením platnosti
doba odkladu hesla: zobrazuje počet dnů odkladu pro změnu hesla
opětovné použití hesla MAX: zobrazuje počet, kolikrát může uživatel použít již použité heslo
doba opětovného použití hesla: zobrazuje počet dní poté, co uživatel může použít již použité heslo
funkce ověření hesla: poskytuje použití složitých hesel. To zahrnuje použití hesel s abecedními i číselnými znaky, délku hesla a určení hesel, která nepatří do nepovolených seznamů slov. Hodnotu této možnosti profilu lze později změnit. Tato hodnota může být jedinečná pro každý definovaný profil. Hodnota NULL označuje, že ovládací prvek není povolen.
neúspěšné pokusy o přihlášení: zobrazuje maximální časy, kdy je uživatel povolen při fail login před uzamčením uživatelského účtu
doba uzamčení hesla: zobrazuje počet dní, kdy uživatelský účet zůstane uzamčen po neúspěšném přihlášení. Pokud je tato hodnota nastavena na neomezenou hodnotu a neúspěšné pokusy o přihlášení nejsou neomezené, účet je uzamčen na dobu neurčitou.
v případech, kdy uživatelé databáze nepodléhají pravidlům zabezpečení heslem, přístup k heslům útokem hrubou silou nebo šťastnými odhady zvýší riziko neoprávněného přístupu do databáze. Metoda útoku hrubou silou je velmi běžnou metodou útoku na databázi a provádí se spuštěním programu, který se pokouší připojit slova k databázi pomocí konkrétních slov(známá hesla jako „12345 „“Ahoj“ atd. ) ve slovníku jako hesla.
v případě nedostatečného nebo slabého použití hesla bude problém se zabezpečením databáze. To zvyšuje riziko, že data uchovávaná v databázi mohou být změněna neoprávněnými uživateli, je možná nesrovnalost a na základě nesprávných informací lze učinit důležitá provozní rozhodnutí.
stávající pravidla zabezpečení heslem by měla být přezkoumána, aby se zajistilo, že jsou v souladu s cíli organizace a bezpečnostní politikou společností.
správce databáze by měl vyřešit problém používání zabezpečených uživatelských profilů k provádění kontrol zabezpečení heslem uživatelů v databázi. Tím zajistíte, že hesla k účtu budou pravidelně měněna a nelze je opakovat, s ohledem na složitost a minimální délku, a neúspěšné položky budou blokovány.
vytvoření více vlastních databázových profilů umožní změny v kontrolách hesel mezi uživateli, které vyžadují různé úrovně zabezpečení.
následující tabulka uvádí některé parametry, které poskytují zabezpečení databáze Oracle.
název | hodnota | popis |
audit_trail | Žádný | povolit audit systému |
db_name | MUH | název databáze zadaný v Vytvořit databázi |
07_DICTIONARY_ACCESSIBILITY | FALSE | verze 7 slovník podpora přístupnosti |
os_roles | FALSE | načíst role z operačního systému |
remote_login_passwordfile | exkluzivní | heslo parametr použití souboru |
remote_os_authent | FALSE | povolit nezabezpečeným vzdáleným klientům používat účty automatického přihlášení |
remote_os_roles | FALSE | povolit nezabezpečeným vzdáleným klientům používat role os |
sql92_security | FALSE | vyžadovat výběr oprávnění pro hledanou aktualizaci / odstranění |
utl_file_dir | / oracle/app/file / utl1 | seznam dostupných adresářů utl_file |
definice těchto parametrů je následující.
AUDIT_TRAIL: určuje, zda je audit databáze povolen nebo ne. Pokud není vybrána žádná, Záznamy auditu se nevedou.
DB_NAME: zobrazí název databáze.
DB_LINK_ENCRYPT_LOGIN: označuje, že šifrovaná hesla by měla být použita při pokusech o připojení ke vzdálené databázi Oracle prostřednictvím databázových odkazů. Hodnota FALSE znamená, že to není povoleno.
OS_ROLES: určuje, zda se operační systém používá k určení uživatelských oprávnění. Falešná hodnota znamená, že není povolena.
REMOTE_LOGIN_PASSWORDFILE: Určuje, zda se pro přihlášení vzdálených připojení používá samostatný soubor s heslem. Soubor s heslem může obsahovat SYS i non-SYS uživatele. Hodnota NONE znamená, že není povolena.
REMOTE_OS_AUTHENT: určuje, zda budou vzdálení klienti ověřeni hodnotou parametru OS_AUTHENT_PREFIX.
REMOTE_OS_ROLES-určuje, zda jsou role operačního systému povoleny pro vzdálené klienty.
bez příslušných pravidel zabezpečení databáze lze bezpečnostní riziko v aplikacích využít k zajištění řízeného přístupu, který zvyšuje rizika autorizovaného přístupu a zneužití databáze. V případech, kdy se v databázi nepoužívají zabezpečená hesla, mohou být identifikátory uživatelů a hesla zasílána v čistém textu po síti a mohou být zachycena neoprávněnými osobami.
každé nastavení zabezpečení v databázi by mělo být obtížnější. Nastavení auditu musí být povoleno pomocí záznamů a spouštěčů auditu, hesla musí být šifrována, parametr O7_DICTIONARY_ACCESSIBILITY by měl být nepravdivý a parametr SQL92_SECURITY by měl být povolen.
DBA by měly zkontrolovat všechny uživatele, kteří mají práva správce databáze, a ověřit jejich způsobilost. Uživatel databáze by měl mít pouze práva skutečně potřebná k efektivnímu a rychlému provádění úkolů, většinou by měla být udělena nejnižší úroveň privilegií.
uživatelé databáze „Generic“ by měli být vynecháni, každý uživatel by měl používat svého vlastního (jedinečného) uživatele.