Datenbanksicherheits- und Benutzerprofilparameter und so überprüfen Sie die Kennwortrichtlinie in Oracle 12c
Hallo,
In diesem Artikel erkläre ich Ihnen die Parameter Oracle Database Security , Database und Profile Security.
Sie sollten vorher die folgenden Artikel lesen, um die Sicherheit von Oracle Database sehr gut zu verstehen.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
Es gibt viele Sicherheitslösungen in der Oracle-Datenbank wie folgt.
Eine der grundlegendsten Sicherheitslösungen sind die Richtlinien und Regeln für Benutzerkennwörter. Das Benutzerkennwort wird von Benutzerprofilen verwaltet.
Die Oracle-Datenbank erfordert Kennwortprüfungen basierend auf Profilen.
In der Datenbank können mehrere Profile definiert werden, die unterschiedliche Steuerelemente zwischen Benutzern ermöglichen, die unterschiedliche Sicherheitsstufen erfordern.
Parameter und Beschreibungen in den für Oracle-Benutzer definierten Benutzerprofilen lauten wie folgt.
PASSWORT LEBENSDAUER: es zeigt anzahl der tage das passwort ist gültig vor ablauf
PASSWORT GNADE ZEIT: es zeigt anzahl der gnade tage für benutzer zu ändern passwort
PASSWORT WIEDERVERWENDUNG MAX: es zeigt anzahl der mal die benutzer verwenden können die bereits verwendet passwort
PASSWORT WIEDERVERWENDUNG ZEIT: es zeigt anzahl der tag nach der benutzer verwenden können die bereits verwendet passwort
PASSWORT ÜBERPRÜFEN FUNKTION: Bietet die verwendung von komplexen passwörter. Dies umfasst die Verwendung von Passwörtern mit alphabetischen und numerischen Zeichen, die Länge des Passworts und die Bestimmung von Passwörtern, die nicht zu nicht zulässigen Wortlisten gehören. Der Wert dieser Profiloption kann später geändert werden. Dieser Wert kann für jedes definierte Profil eindeutig sein. Ein Nullwert gibt an, dass das Steuerelement nicht aktiviert ist.
FEHLGESCHLAGENE ANMELDEVERSUCHE: Es zeigt die maximale Zeit an, die der Benutzer bei der fehlgeschlagenen Anmeldung zulässt, bevor das Benutzerkonto gesperrt wird
PASSWORTSPERRZEIT: Es zeigt die Anzahl der Tage an, an denen das Benutzerkonto nach einer fehlgeschlagenen Anmeldung gesperrt bleibt. Wenn dieser Wert auf UNBEGRENZT festgelegt ist und FEHLGESCHLAGENE ANMELDEVERSUCHE nicht UNBEGRENZT sind, wird das Konto auf unbestimmte Zeit gesperrt.
In Fällen, in denen Datenbankbenutzer nicht den Kennwortsicherheitsregeln unterliegen, erhöht der Zugriff auf Kennwörter durch Brute-Force-Angriffe oder zufällige Schätzungen das Risiko eines unbefugten Zugriffs auf die Datenbank. Die Brute-Force-Angriffsmethode ist eine sehr verbreitete Methode zum Angriff auf die Datenbank und wird ausgeführt, indem ein Programm ausgeführt wird, das versucht, Wörter mithilfe bestimmter Wörter (bekannte Kennwörter wie „12345“ „Hallo“) mit der Datenbank zu verbinden usw. ) im Wörterbuch als Passwörter.
Bei unzureichender oder schwacher Kennwortverwendung tritt ein Datenbanksicherheitsproblem auf. Dies erhöht das Risiko, dass in der Datenbank gespeicherte Daten von unbefugten Benutzern geändert werden, Unregelmäßigkeiten möglich sind und wichtige betriebliche Entscheidungen auf der Grundlage falscher Informationen getroffen werden können.
Die bestehenden Kennwortsicherheitsregeln sollten überprüft werden, um sicherzustellen, dass sie mit den Zielen der Organisation und den Sicherheitsrichtlinien der Unternehmen übereinstimmen.
Der Datenbankadministrator sollte das Problem der Verwendung sicherer Benutzerprofile lösen, um Kennwortsicherheitsprüfungen von Benutzern in der Datenbank durchzuführen. Dadurch wird sichergestellt, dass Kontokennwörter regelmäßig geändert werden und je nach Komplexität und Mindestlänge nicht wiederholt werden können.
Die Erstellung mehrerer benutzerdefinierter Datenbankprofile ermöglicht Änderungen bei der Kennwortprüfung zwischen Benutzern, die unterschiedliche Sicherheitsstufen erfordern.
In der folgenden Tabelle sind einige der Parameter aufgeführt, die Oracle Database Security bereitstellen.
NAME | WERT | BESCHREIBUNG |
audit_trail | KEINE | Systemüberwachung aktivieren |
db_name | MUH | Datenbankname in DATENBANK ERSTELLEN angegeben |
07_DICTIONARY_ACCESSIBILITY | FALSCH | Version 7 Wörterbuch Zugänglichkeit Unterstützung |
os_roles | FALSE | Rollen vom Betriebssystem abrufen |
remote_login_passworddatei | EXKLUSIV | Passwort Dateiverwendungsparameter |
remote_os_authent | FALSE | Zulassen, dass nicht sichere Remote-Clients automatische Anmeldekonten verwenden |
remote_os_roles | FALSE | Zulassen, dass nicht sichere Remote-Clients Betriebssystemrollen verwenden |
sql92_security | FALSE | erfordert select-Berechtigung für gesuchtes Update / Löschen |
utl_file_dir | /oracle/app/file/utl1 | utl_file Liste der zugänglichen Verzeichnisse |
Die Definition dieser Parameter ist wie folgt.
AUDIT_TRAIL: Bestimmt, ob die Datenbanküberwachung aktiviert ist oder nicht. Wenn KEINE ausgewählt ist, werden die Audit-Datensätze nicht gespeichert.
DB_NAME: Zeigt den Namen der Datenbank an.
DB_LINK_ENCRYPT_LOGIN: Gibt an, dass verschlüsselte Kennwörter bei Verbindungsversuchen mit einer entfernten Oracle-Datenbank über Datenbankverknüpfungen verwendet werden sollen. Der Wert FALSE zeigt an, dass dies nicht aktiviert ist.
OS_ROLES: Gibt an, ob das Betriebssystem zum Bestimmen der Benutzerrechte verwendet wird. Der Wert FALSE zeigt an, dass er nicht aktiviert ist.
REMOTE_LOGIN_PASSWORTDATEI: Gibt an, ob eine separate Kennwortdatei für die Anmeldung von Remoteverbindungen verwendet wird. Die Kennwortdatei kann sowohl SYS- als auch Nicht-SYS-Benutzer enthalten. Der Wert NONE gibt an, dass er nicht aktiviert ist.
REMOTE_OS_AUTHENT: Gibt an, ob Remoteclients mit dem Wert des Parameters OS_AUTHENT_PREFIX authentifiziert werden.
REMOTE_OS_ROLES – gibt an, ob Betriebssystemrollen für Remoteclients zulässig sind.
Ohne geeignete Datenbanksicherheitsregeln können Sicherheitsrisiken in Anwendungen ausgenutzt werden, um einen kontrollierten Zugriff bereitzustellen, der das Risiko eines autorisierten Zugriffs und eines Missbrauchs der Datenbank erhöht. In Fällen, in denen sichere Passwörter nicht in der Datenbank verwendet werden, können Benutzerkennungen und Passwörter im Klartext über das Netzwerk gesendet und von unbefugten Personen erfasst werden.
Jede Sicherheitseinstellung in der Datenbank sollte erschwert werden. Die Überwachungseinstellungen müssen mithilfe von Audit-Trail-Datensätzen und -Triggern aktiviert werden, die Kennwörter müssen verschlüsselt sein, der Parameter O7_DICTIONARY_ACCESSIBILITY sollte FALSE und der Parameter SQL92_SECURITY sollte aktiviert sein.
DBAs sollten alle Benutzer mit Datenbankadministratorrechten überprüfen und ihre Berechtigung überprüfen. Ein Datenbankbenutzer sollte nur über die Rechte verfügen, die tatsächlich erforderlich sind, um Aufgaben effizient und schnell auszuführen.
„Generische“ Datenbankbenutzer sollten gelöscht werden, jeder Benutzer sollte seinen eigenen (eindeutigen) Benutzer verwenden.