marts 14, 2022

Databasesikkerheds-og Brugerprofilparametre , og hvordan man kontrollerer adgangskodepolitik i Oracle 12c

Hej,

jeg vil forklare dig om Oracle Database Security, Database og profil sikkerhedsparametre i denne artikel.

du bør læse følgende artikler før dette for at forstå Oracle database security meget godt.

https://ittutorial.org/data-redaction-in-oracle-database-2/

https://ittutorial.org/transparent-data-encryption-in-oracle/

der er masser af sikkerhedsløsninger i Oracle-databasen som følger.

en af de mest grundlæggende sikkerhedsløsninger er Brugeradgangskodepolitikken og reglerne. Brugeradgangskode administreres af brugerprofiler.

Oracle-databasen kræver adgangskodekontrol baseret på profiler.

flere profiler kan defineres i databasen, der giver mulighed for forskelle i kontroller mellem brugere, der kræver forskellige sikkerhedsniveauer.

parametre og beskrivelser i de brugerprofiler, der er defineret for Oracle-brugere, er som følger.

ADGANGSKODE LEVETID: det viser antal dage adgangskoden er gyldig før udløb

adgangskode GRACE TIME: det viser antal grace dage for brugeren at ændre adgangskode

adgangskode genbrug maks: det viser antal gange brugeren kan bruge den allerede anvendte adgangskode

adgangskode genbrug tid: det viser antal dage efter brugeren kan bruge den allerede anvendte adgangskode

adgangskode Bekræft funktion: giver brug af komplekse adgangskoder. Dette inkluderer brugen af adgangskoder med både alfabetiske og numeriske tegn, længden af adgangskoden og bestemmelsen af adgangskoder, der ikke hører til ikke-tilladte ordlister. Værdien af denne profilindstilling kan ændres senere. Denne værdi kan være unik for hver defineret profil. En NULL-værdi angiver, at kontrolelementet ikke er aktiveret.

mislykkede loginforsøg: det viser maksimale gange brugeren er tilladt i fail login før låsning af brugerkontoen

adgangskodelås tid: det viser antal dage brugerkontoen forbliver låst efter mislykket login. Hvis disse værdier er indstillet til ubegrænset, og mislykkede loginforsøg ikke er ubegrænset, er kontoen låst på ubestemt tid.

i tilfælde, hvor databasebrugere ikke er underlagt adgangskodesikkerhedsregler, vil adgang til adgangskoder ved brute force attack eller heldige estimater øge risikoen for uautoriseret adgang til databasen. Brute force attack-metoden er en meget almindelig metode til at angribe databasen og udføres ved at køre et program, der forsøger at forbinde ord til databasen ved hjælp af specifikke ord (kendte adgangskoder som “12345” “hej” og osv. ) i ordbogen som adgangskoder.

i tilfælde af utilstrækkelig eller svag brug af adgangskode, vil der være databasesikkerhedsproblem. Dette øger risikoen for, at data, der opbevares i databasen, kan ændres af uautoriserede brugere, uregelmæssighed er mulig, og vigtige operationelle beslutninger kan træffes på grundlag af forkerte oplysninger.

de eksisterende regler for adgangskodesikkerhed skal gennemgås for at sikre, at de er i overensstemmelse med organisationens mål og virksomhedernes sikkerhedspolitik.

Databaseadministratoren skal løse problemet med at bruge sikre brugerprofiler til at udføre adgangskodesikkerhedskontrol af brugere i databasen. Dette vil sikre, at kontoadgangskoder ændres regelmæssigt og ikke kan gentages igen, underlagt kompleksitet og minimumslængde, og mislykkede poster blokeres.

oprettelsen af flere brugerdefinerede databaseprofiler tillader ændringer i adgangskodekontrol mellem brugere, der kræver forskellige sikkerhedsniveauer.

følgende tabel viser nogle af de parametre, der giver Oracle-databasesikkerhed.

navn værdi beskrivelse
audit_trail ingen aktiver systemrevision
db_name MUH databasenavn angivet i Opret DATABASE
07_DICTIONARY_ACCESSIBILITY falsk Version 7 ordbog tilgængelighed Support
os_roles falsk Hent roller fra operativsystemet
remote_login_passordfil eksklusiv adgangskode filanvendelsesparameter
remote_os_authent FALSE Tillad ikke-sikre fjernklienter at bruge auto-logon-konti
remote_os_roles FALSE Tillad ikke-sikre fjernklienter at bruge os-roller
kvl92_security falsk Kræv vælg privilegium for søgte opdatering / slet
utl_file_dir / oracle / app / file / utl1 utl_file tilgængelige mapper liste

definitionen af disse parametre er som følger.

AUDIT_TRAIL: bestemmer, om databaserevisionen er aktiveret eller ej. Hvis ingen er valgt, føres revisionsposterne ikke.

DB_NAME: Viser navnet på databasen.

DB_LINK_ENCRYPT_LOGIN: angiver, at krypterede adgangskoder skal bruges i forbindelse forsøg på at fjerne Oracle database via database links. En værdi af FALSE angiver, at dette ikke er aktiveret.

OS_ROLES: angiver, om operativsystemet bruges til at bestemme brugerrettigheder. Den falske værdi angiver, at den ikke er aktiveret.

FJERN_LOGIN_PASORDFIL: Angiver, om en separat adgangskodefil bruges til login af fjernforbindelser. Adgangskodefilen kan indeholde SYS såvel som ikke-SYS-brugere. En værdi på ingen angiver, at den ikke er aktiveret.

REMOTE_OS_AUTHENT: angiver, om fjernklienter vil blive godkendt med værdien af parameteren os_authent_prefiks.

REMOTE_OS_ROLES – angiver, om operativsystemroller er tilladt for fjernklienter.

uden passende databasesikkerhedsregler kan sikkerhedsrisiko i applikationer udnyttes til at give kontrolleret adgang, der øger risikoen for autoriseret adgang og misbrug af databasen. I tilfælde, hvor sikre adgangskoder ikke bruges i databasen, kan brugeridentifikatorer og adgangskoder sendes i klar tekst over netværket og kan fanges af uautoriserede personer.

hver sikkerhedsindstilling i databasen bør gøres vanskeligere. Revisionsindstillingerne skal aktiveres ved hjælp af revisionssporoptegnelser og udløsere, adgangskoderne skal krypteres, parameteren o7_dictionary_accessibility skal være som falsk, og parameteren KVL92_SECURITY skal være aktiveret.

DBA ‘ er skal gennemgå alle brugere, der har databaseadministratorrettigheder, og kontrollere deres berettigelse. En databasebruger bør kun have de rettigheder, der faktisk kræves for at udføre opgaver effektivt og hurtigt, for det meste bør det laveste niveau af privilegier tildeles.

“generiske” databasebrugere skal droppes, hver bruger skal bruge deres egen (unikke) bruger.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.