tietokannan turvallisuus-ja Käyttäjäprofiiliparametrit sekä Salasanakäytännön tarkistaminen Oracle 12c: ssä
Hi,
selitän sinulle Oraclen tietokannan tietoturvasta , tietokannan ja Profiilin Suojausparametreista tässä artikkelissa.
tätä ennen kannattaa lukea seuraavat artikkelit, jotta ymmärtää Oraclen tietokannan tietoturvan erittäin hyvin.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
Oraclen tietokannassa on paljon tietoturvaratkaisuja seuraavasti.
yksi perusturvaratkaisu on käyttäjän Salasanakäytäntö ja säännöt. Käyttäjän salasanaa hallitaan käyttäjäprofiileilla.
Oraclen tietokanta vaatii salasanojen tarkistamista profiilien perusteella.
tietokannassa voidaan määritellä useita profiileja, joiden avulla käyttäjien kontrolleissa on eroja, jotka edellyttävät eritasoista tietoturvaa.
Oraclen käyttäjille määriteltyjen käyttäjäprofiilien parametrit ja kuvaukset ovat seuraavat.
SALASANAN KESTOAIKA: se näyttää montako päivää salasana on voimassa ennen voimassaolon päättymistä
salasana armonaika: se näyttää kuinka monta armonpäivää käyttäjä voi vaihtaa salasanan
salasanan uudelleenkäyttö MAX: se näyttää kuinka monta kertaa käyttäjä voi käyttää jo käytettyä salasanaa
salasanan UUDELLEENKÄYTTÖAIKA: se näyttää päivän kuluttua siitä, kun käyttäjä voi käyttää jo käytettyä salasanaa
salasanan tarkistustoiminto: tarjoaa monimutkaisten salasanojen käytön. Tähän kuuluvat sekä aakkos-että numeromerkillä varustettujen salasanojen käyttö, salasanan pituus ja sellaisten salasanojen määrittäminen, jotka eivät kuulu ei-sallittuihin sanaluetteloihin. Tämän profiilivalinnan arvoa voidaan muuttaa myöhemmin. Tämä arvo voi olla yksilöllinen jokaiselle määritellylle profiilille. NULL-arvo osoittaa, että ohjaus ei ole käytössä.
epäonnistuneet kirjautumisyritykset: se näyttää enimmäisajat, jolloin Käyttäjä saa epäonnistua kirjautumisessa ennen käyttäjätilin lukitsemista
salasanan LUKITSEMISAIKA: se näyttää kuinka monta päivää käyttäjätili pysyy lukittuna epäonnistuneen kirjautumisen jälkeen. Jos nämä arvot on asetettu RAJATTOMIKSI ja epäonnistuneet kirjautumisyritykset eivät ole rajattomia, tili lukitaan loputtomiin.
tapauksissa, joissa tietokannan käyttäjiin ei sovelleta salasanojen suojaussääntöjä, salasanojen käyttö brute force-hyökkäyksellä tai onnekkailla estimaateilla lisää luvattoman pääsyn riskiä tietokantaan. Brute force attack-menetelmä on hyvin yleinen tapa hyökätä tietokantaan ja se suoritetaan ajamalla ohjelma, joka yrittää liittää sanoja tietokantaan käyttämällä tiettyjä sanoja (tunnettuja salasanoja kuten ”12345” ”hello” ja jne. ) sanakirjassa salasanoina.
jos salasanojen käyttö on riittämätöntä tai heikkoa, tulee tietokannan tietoturvaongelmia. Tämä lisää riskiä, että luvattomat käyttäjät voivat muuttaa tietokannassa olevia tietoja, sääntöjenvastaisuus on mahdollista ja virheellisen tiedon perusteella voidaan tehdä tärkeitä operatiivisia päätöksiä.
olemassa olevia salasanojen suojaussääntöjä tulisi tarkistaa, jotta ne olisivat yhdenmukaisia organisaation tavoitteiden ja yritysten turvallisuuspolitiikan kanssa.
tietokannan ylläpitäjän tulisi ratkaista ongelma, joka koskee suojattujen käyttäjäprofiilien käyttämistä tietokannan käyttäjien salasanojen turvatarkastuksiin. Näin varmistetaan, että tilien salasanoja vaihdetaan säännöllisesti eikä niitä voida toistaa uudelleen monimutkaisuuden ja vähimmäispituuden vuoksi, ja epäonnistuneet merkinnät estetään.
useiden kustomoitujen tietokantaprofiilien luominen mahdollistaa käyttäjien välisten salasanatarkistusten muutokset, jotka edellyttävät eritasoista tietoturvaa.
seuraavassa taulukossa on lueteltu joitakin muuttujia, jotka tarjoavat Oraclen tietokannan turvallisuuden.
| nimi | arvo | kuvaus |
| audit_trail | NONE | enable system auditing |
| db_nimi | MUH | tietokannan nimi määritelty Luo tietokanta |
| 07_DICTIONARY_ accessibility | FALSE | Version 7 Dictionary Accessibility Support |
| os_roolit | väärät | Hae roolit käyttöjärjestelmästä |
| remote_login_passwordfile | EXCLUSIVE | password tiedoston käyttöparametri |
| remote_os_authent | FALSE | salli suojaamattomien etäasiakkaiden käyttää automaattisia kirjautumistilejä |
| remote_os_roles | FALSE | salli suojaamattomien etäasiakkaiden käyttää käyttöjärjestelmärooleja |
| sql92_security | FALSE | require select privilege for search update/delete |
| utl_file_dir | / oracle / app / file / utl1 | utl_file accessible directories list |
näiden parametrien määritelmä on seuraava.
AUDIT_TRAIL: määrittää, onko tietokannan tarkastus käytössä vai ei. Jos mitään ei ole valittu, tarkastuspöytäkirjoja ei pidetä.
DB_NAME: näyttää tietokannan nimen.
DB_LINK_ENCRYPT_LOGIN: tarkoittaa, että salattuja salasanoja tulisi käyttää yhteyden muodostamisyrityksissä Oraclen tietokannan etittämiseksi tietokantalinkkien kautta. FALSE-arvo osoittaa, että tämä ei ole käytössä.
OS_ROLES: määrittää, käytetäänkö käyttöjärjestelmää käyttäjän oikeuksien määrittämiseen. Väärä arvo osoittaa, että se ei ole käytössä.
REMOTE_LOGIN_PASSWORDFILE: Määrittää, käytetäänkö erillistä salasanatiedostoa etäyhteyksien kirjaamiseen. Salasanatiedosto voi sisältää SYS-käyttäjiä sekä ei-SYS-käyttäjiä. Arvo NONE osoittaa, että se ei ole käytössä.
REMOTE_OS_AUTHENT: määrittää, todennetaanko etäasiakkaat os_authent_prefix-parametrin arvolla.
REMOTE_OS_ROLES-määrittää, sallitaanko käyttöjärjestelmäroolit etäasiakkaille.
ilman asianmukaisia tietokannan turvasääntöjä sovellusten tietoturvariskiä voidaan käyttää hyväksi, jotta voidaan tarjota hallittu pääsy, joka lisää auktorisoidun käytön ja tietokannan väärinkäytön riskejä. Tapauksissa, joissa suojattuja salasanoja ei käytetä tietokannassa, käyttäjätunnukset ja salasanat voidaan lähettää selvänä tekstinä verkon yli ja ne voivat olla luvattomien henkilöiden kaappaamia.
jokaista tietokannan tietoturva-asetusta olisi vaikeutettava. Auditointiasetusten on oltava käytössä kirjausketjun tietueiden ja käynnistimien avulla, salasanojen on oltava salattuja, o7_dictionary_accessibility-parametrin on oltava epätosi ja parametrin SQL92_SECURITY on oltava käytössä.
DBAs: n tulisi käydä läpi kaikki käyttäjät, joilla on tietokannan ylläpitäjän oikeudet, ja tarkistaa heidän kelpoisuutensa. Tietokannan käyttäjällä pitäisi olla vain oikeudet, joita todella tarvitaan tehtävien suorittamiseen tehokkaasti ja nopeasti, useimmiten alin priviliges olisi myönnettävä.
”geneeriset” tietokantakäyttäjät tulee pudottaa, jokaisen käyttäjän tulee käyttää omaa (yksilöllistä) käyttäjäänsä.