• Articles
• admin

Ahoj,

vysvětlím vám o zabezpečení databáze Oracle , parametrech zabezpečení databáze a profilu v tomto článku.

před tím byste si měli přečíst následující články, abyste pochopili zabezpečení databáze Oracle velmi dobře.

https://ittutorial.org/data-redaction-in-oracle-database-2/

https://ittutorial.org/transparent-data-encryption-in-oracle/

v databázi Oracle je spousta bezpečnostních řešení následujícím způsobem.

jedním z nejzákladnějších bezpečnostních řešení jsou zásady a pravidla uživatelského hesla. Uživatelské heslo je spravováno uživatelskými profily.

databáze Oracle vyžaduje kontrolu hesla na základě profilů.

v databázi lze definovat více profilů, které umožňují rozdíly v ovládacích prvcích mezi uživateli, které vyžadují různé úrovně zabezpečení.

parametry a popisy v uživatelských profilech definovaných pro uživatele Oracle jsou následující.

DOBA ŽIVOTNOSTI HESLA: zobrazuje počet dní, kdy je heslo platné před vypršením platnosti

doba odkladu hesla: zobrazuje počet dnů odkladu pro změnu hesla

opětovné použití hesla MAX: zobrazuje počet, kolikrát může uživatel použít již použité heslo

doba opětovného použití hesla: zobrazuje počet dní poté, co uživatel může použít již použité heslo

funkce ověření hesla: poskytuje použití složitých hesel. To zahrnuje použití hesel s abecedními i číselnými znaky, délku hesla a určení hesel, která nepatří do nepovolených seznamů slov. Hodnotu této možnosti profilu lze později změnit. Tato hodnota může být jedinečná pro každý definovaný profil. Hodnota NULL označuje, že ovládací prvek není povolen.

neúspěšné pokusy o přihlášení: zobrazuje maximální časy, kdy je uživatel povolen při fail login před uzamčením uživatelského účtu

doba uzamčení hesla: zobrazuje počet dní, kdy uživatelský účet zůstane uzamčen po neúspěšném přihlášení. Pokud je tato hodnota nastavena na neomezenou hodnotu a neúspěšné pokusy o přihlášení nejsou neomezené, účet je uzamčen na dobu neurčitou.

v případech, kdy uživatelé databáze nepodléhají pravidlům zabezpečení heslem, přístup k heslům útokem hrubou silou nebo šťastnými odhady zvýší riziko neoprávněného přístupu do databáze. Metoda útoku hrubou silou je velmi běžnou metodou útoku na databázi a provádí se spuštěním programu, který se pokouší připojit slova k databázi pomocí konkrétních slov(známá hesla jako „12345 „“Ahoj“ atd. ) ve slovníku jako hesla.

v případě nedostatečného nebo slabého použití hesla bude problém se zabezpečením databáze. To zvyšuje riziko, že data uchovávaná v databázi mohou být změněna neoprávněnými uživateli, je možná nesrovnalost a na základě nesprávných informací lze učinit důležitá provozní rozhodnutí.

stávající pravidla zabezpečení heslem by měla být přezkoumána, aby se zajistilo, že jsou v souladu s cíli organizace a bezpečnostní politikou společností.

správce databáze by měl vyřešit problém používání zabezpečených uživatelských profilů k provádění kontrol zabezpečení heslem uživatelů v databázi. Tím zajistíte, že hesla k účtu budou pravidelně měněna a nelze je opakovat, s ohledem na složitost a minimální délku, a neúspěšné položky budou blokovány.

vytvoření více vlastních databázových profilů umožní změny v kontrolách hesel mezi uživateli, které vyžadují různé úrovně zabezpečení.

následující tabulka uvádí některé parametry, které poskytují zabezpečení databáze Oracle.

název	hodnota	popis
audit_trail	Žádný	povolit audit systému
db_name	MUH	název databáze zadaný v Vytvořit databázi
07_DICTIONARY_ACCESSIBILITY	FALSE	verze 7 slovník podpora přístupnosti
os_roles	FALSE	načíst role z operačního systému
remote_login_passwordfile	exkluzivní	heslo parametr použití souboru
remote_os_authent	FALSE	povolit nezabezpečeným vzdáleným klientům používat účty automatického přihlášení
remote_os_roles	FALSE	povolit nezabezpečeným vzdáleným klientům používat role os
sql92_security	FALSE	vyžadovat výběr oprávnění pro hledanou aktualizaci / odstranění
utl_file_dir	/ oracle/app/file / utl1	seznam dostupných adresářů utl_file

definice těchto parametrů je následující.

AUDIT_TRAIL: určuje, zda je audit databáze povolen nebo ne. Pokud není vybrána žádná, Záznamy auditu se nevedou.

DB_NAME: zobrazí název databáze.

DB_LINK_ENCRYPT_LOGIN: označuje, že šifrovaná hesla by měla být použita při pokusech o připojení ke vzdálené databázi Oracle prostřednictvím databázových odkazů. Hodnota FALSE znamená, že to není povoleno.

OS_ROLES: určuje, zda se operační systém používá k určení uživatelských oprávnění. Falešná hodnota znamená, že není povolena.

REMOTE_LOGIN_PASSWORDFILE: Určuje, zda se pro přihlášení vzdálených připojení používá samostatný soubor s heslem. Soubor s heslem může obsahovat SYS i non-SYS uživatele. Hodnota NONE znamená, že není povolena.

REMOTE_OS_AUTHENT: určuje, zda budou vzdálení klienti ověřeni hodnotou parametru OS_AUTHENT_PREFIX.

REMOTE_OS_ROLES-určuje, zda jsou role operačního systému povoleny pro vzdálené klienty.

bez příslušných pravidel zabezpečení databáze lze bezpečnostní riziko v aplikacích využít k zajištění řízeného přístupu, který zvyšuje rizika autorizovaného přístupu a zneužití databáze. V případech, kdy se v databázi nepoužívají zabezpečená hesla, mohou být identifikátory uživatelů a hesla zasílána v čistém textu po síti a mohou být zachycena neoprávněnými osobami.

každé nastavení zabezpečení v databázi by mělo být obtížnější. Nastavení auditu musí být povoleno pomocí záznamů a spouštěčů auditu, hesla musí být šifrována, parametr O7_DICTIONARY_ACCESSIBILITY by měl být nepravdivý a parametr SQL92_SECURITY by měl být povolen.

DBA by měly zkontrolovat všechny uživatele, kteří mají práva správce databáze, a ověřit jejich způsobilost. Uživatel databáze by měl mít pouze práva skutečně potřebná k efektivnímu a rychlému provádění úkolů, většinou by měla být udělena nejnižší úroveň privilegií.

uživatelé databáze „Generic“ by měli být vynecháni, každý uživatel by měl používat svého vlastního (jedinečného) uživatele.