Seguridad de la base de datos y Parámetros del Perfil de Usuario y Cómo Comprobar la Política de Contraseñas en Oracle 12c
Hola,
En este artículo le explicaré sobre la Seguridad de la Base de datos de Oracle , los Parámetros de Seguridad de la Base de datos y del Perfil.
Debe leer los siguientes artículos antes de esto para comprender muy bien la seguridad de la base de datos de Oracle.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
Hay muchas soluciones de seguridad en la base de datos de Oracle de la siguiente manera.
Una de las soluciones de seguridad más básicas es la política y las reglas de contraseña de usuario. La contraseña de usuario se administra mediante perfiles de usuario.
La base de datos Oracle requiere comprobaciones de contraseña basadas en perfiles.
Se pueden definir múltiples perfiles en la base de datos que permiten diferencias en los controles entre usuarios que requieren diferentes niveles de seguridad.
Los parámetros y descripciones de los perfiles de usuario definidos para los usuarios de Oracle son los siguientes.
DURACIÓN DE LA CONTRASEÑA: muestra el número de días que la contraseña es válida antes de su vencimiento
TIEMPO DE GRACIA DE LA CONTRASEÑA: muestra el número de días de gracia para que el usuario cambie la contraseña
REUTILIZACIÓN DE la contraseña MAX: muestra el número de veces que el usuario puede usar la contraseña ya utilizada
TIEMPO DE REUTILIZACIÓN DE la contraseña: muestra el número de días después de que el usuario pueda usar la contraseña ya utilizada
FUNCIÓN DE VERIFICACIÓN DE CONTRASEÑA: Proporciona el uso de contraseñas complejas. Esto incluye el uso de contraseñas con caracteres alfabéticos y numéricos, la longitud de la contraseña y la determinación de contraseñas que no pertenecen a listas de palabras no permitidas. El valor de esta opción de perfil se puede cambiar más adelante. Este valor puede ser único para cada perfil definido. Un valor NULO indica que el control no está habilitado.
INTENTOS DE INICIO DE SESIÓN FALLIDOS: muestra el número máximo de veces que se permite al usuario iniciar sesión fallida antes de bloquear la cuenta de usuario
TIEMPO DE BLOQUEO DE CONTRASEÑA: muestra el número de días que la cuenta de usuario permanece bloqueada después de un inicio de sesión fallido. Si este valor se establece en ILIMITADO y los INTENTOS FALLIDOS de INICIO de SESIÓN no son ILIMITADOS, la cuenta se bloquea indefinidamente.
En los casos en que los usuarios de la base de datos no estén sujetos a las reglas de seguridad de contraseñas, el acceso a las contraseñas por ataque de fuerza bruta o estimaciones afortunadas aumentará el riesgo de acceso no autorizado a la base de datos. El método de ataque de fuerza bruta es un método muy común de atacar la base de datos y se realiza ejecutando un programa que intenta conectar palabras a la base de datos utilizando palabras específicas (contraseñas conocidas como «12345», «hola», etc.). ) en el diccionario como contraseñas.
En caso de uso insuficiente o débil de la contraseña, habrá un problema de seguridad de la base de datos. Esto aumenta el riesgo de que los datos almacenados en la base de datos puedan ser modificados por usuarios no autorizados, de que se produzcan irregularidades y de que se puedan tomar decisiones operativas importantes sobre la base de información incorrecta.
Las reglas de seguridad de contraseñas existentes deben revisarse para garantizar que sean coherentes con los objetivos de la organización y la política de seguridad de la empresa.
El Administrador de la base de datos debe resolver el problema de usar perfiles de usuario seguros para realizar comprobaciones de seguridad de contraseñas de los usuarios de la base de datos. Esto asegurará que las contraseñas de las cuentas se cambien regularmente y no se puedan repetir de nuevo, sujeto a la complejidad y la longitud mínima, y que las entradas fallidas se bloqueen.
La creación de múltiples perfiles de base de datos personalizados permitirá cambios en las comprobaciones de contraseñas entre usuarios que requieren diferentes niveles de seguridad.
La siguiente tabla enumera algunos de los parámetros que proporcionan seguridad a la base de datos de Oracle.
| NOMBRE de | VALOR | DESCRIPCIÓN |
| audit_trail | NINGUNO | habilitar la auditoría de los sistemas |
| db_name | MUH | nombre de base de datos especificado en CREAR BASE de datos |
| 07_DICTIONARY_ACCESSIBILITY | FALSE | Versión 7 Diccionario de la Accesibilidad |
| os_roles | FALSE | recuperar las funciones del sistema operativo |
| remote_login_passwordfile | EXCLUSIVO | contraseña parámetro de uso de archivos |
| remote_os_authent | FALSE | permitir que los clientes remotos no seguros utilicen cuentas de inicio de sesión automático |
| funciones remotas | FALSE | permitir que los clientes remotos no seguros usen roles de so |
| sql92_security | FALSE | requerir privilegios de selección para actualizar/eliminar búsquedas |
| utl_file_dir | / oracle / app / file / utl1 | lista de directorios accesibles de utl_file |
La definición de estos parámetros es la siguiente.
AUDIT_TRAIL: Determina si la auditoría de la base de datos está habilitada o no. Si no se selecciona NINGUNA, no se conservarán los registros de auditoría.
DB_NAME: Muestra el nombre de la base de datos.
DB_LINK_ENCRYPT_LOGIN: Indica que las contraseñas cifradas deben usarse en los intentos de conexión a la base de datos Oracle remota a través de enlaces a la base de datos. Un valor de FALSE indica que esto no está habilitado.
OS_ROLES: Especifica si el sistema operativo se utiliza para determinar los privilegios de usuario. El valor FALSE indica que no está habilitado.
REMOTE_LOGIN_PASSWORDFILE: Especifica si se utiliza un archivo de contraseña independiente para el inicio de sesión de conexiones remotas. El archivo de contraseña puede contener tanto usuarios SYS como no SYS. Un valor de NONE indica que no está habilitado.
REMOTE_OS_AUTHENT: Especifica si los clientes remotos se autenticarán con el valor del parámetro OS_AUTHENT_PREFIX.
REMOTE_OS_ROLES: especifica si se permiten roles de sistema operativo para clientes remotos.
Sin reglas de seguridad de base de datos adecuadas, el riesgo de seguridad en las aplicaciones se puede aprovechar para proporcionar acceso controlado que aumenta los riesgos de acceso autorizado y uso indebido de la base de datos. En los casos en que las contraseñas seguras no se utilizan en la base de datos, los identificadores de usuario y las contraseñas pueden enviarse en texto claro a través de la red y pueden ser capturadas por personas no autorizadas.
Cada configuración de seguridad en la base de datos debería ser más difícil. La configuración de auditoría debe habilitarse mediante registros de seguimiento de auditoría y disparadores, las contraseñas deben estar cifradas, el parámetro O7_DICTIONARY_ACCESSIBILITY debe ser FALSO y el parámetro SQL92_SECURITY debe habilitarse.
Los DBA deben revisar a todos los usuarios que tengan derechos de administrador de bases de datos y verificar su elegibilidad. Un usuario de base de datos solo debe tener los derechos realmente necesarios para realizar tareas de manera eficiente y rápida, en su mayoría se debe otorgar el nivel más bajo de privilegios.
Los usuarios de base de datos» genéricos » deben ser eliminados, cada usuario debe usar su propio usuario (único).