Paramètres de Sécurité de la Base de données et du Profil Utilisateur et Comment Vérifier la Stratégie de Mot de passe dans Oracle 12c
Salut,
Je vais vous expliquer la Sécurité de la Base de données Oracle, les Paramètres de Sécurité de la Base de données et du Profil dans cet article.
Vous devriez lire les articles suivants avant cela pour bien comprendre la sécurité des bases de données Oracle.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
Il existe de nombreuses solutions de sécurité dans la base de données Oracle comme suit.
L’une des solutions de sécurité les plus élémentaires est la politique et les règles de mot de passe de l’utilisateur. Le mot de passe utilisateur est géré par les profils utilisateur.
La base de données Oracle nécessite des vérifications de mot de passe basées sur des profils.
Plusieurs profils peuvent être définis dans la base de données qui permettent des différences de contrôles entre les utilisateurs nécessitant différents niveaux de sécurité.
Les paramètres et descriptions des profils utilisateur définis pour les utilisateurs Oracle sont les suivants.
DURÉE DE VIE DU MOT DE PASSE: il affiche le nombre de jours de validité du mot de passe avant l’expiration
TEMPS DE GRÂCE DU mot DE PASSE: il affiche le nombre de jours de grâce pour que l’utilisateur change le mot de passe
RÉUTILISATION du mot de passe MAX: il affiche le nombre de fois que l’utilisateur peut utiliser le mot de passe déjà utilisé
TEMPS DE RÉUTILISATION DU mot de PASSE: il affiche le nombre de jours après que l’utilisateur peut utiliser le mot de passe déjà utilisé
FONCTION DE VÉRIFICATION DU mot de PASSE: Permet l’utilisation de mots de passe complexes. Cela inclut l’utilisation de mots de passe avec des caractères alphabétiques et numériques, la longueur du mot de passe et la détermination des mots de passe qui n’appartiennent pas à des listes de mots non autorisées. La valeur de cette option de profil peut être modifiée ultérieurement. Cette valeur peut être unique pour chaque profil défini. Une valeur NULL indique que le contrôle n’est pas activé.
TENTATIVES DE CONNEXION ÉCHOUÉES : il affiche le nombre maximal de fois où l’utilisateur est autorisé à échouer la connexion avant de verrouiller le compte d’utilisateur
TEMPS DE VERROUILLAGE DU MOT DE PASSE : il affiche le nombre de jours où le compte d’utilisateur reste verrouillé après l’échec de la connexion. Si ces valeurs sont définies sur ILLIMITÉ et que les TENTATIVES DE CONNEXION ÉCHOUÉES ne sont pas ILLIMITÉES, le compte est verrouillé indéfiniment.
Dans les cas où les utilisateurs de la base de données ne sont pas soumis aux règles de sécurité des mots de passe, l’accès aux mots de passe par une attaque par force brute ou des estimations chanceuses augmentera le risque d’accès non autorisé à la base de données. La méthode d’attaque par force brute est une méthode très courante d’attaque de la base de données et est effectuée en exécutant un programme qui tente de connecter des mots à la base de données en utilisant des mots spécifiques (mots de passe connus tels que « 12345 » « bonjour » et etc. ) dans le dictionnaire comme mots de passe.
En cas d’utilisation insuffisante ou faible du mot de passe, il y aura un problème de sécurité de la base de données. Cela augmente le risque que les données conservées dans la base de données soient modifiées par des utilisateurs non autorisés, que des irrégularités soient possibles et que des décisions opérationnelles importantes puissent être prises sur la base d’informations incorrectes.
Les règles de sécurité des mots de passe existantes doivent être revues pour s’assurer qu’elles sont conformes aux objectifs de l’organisation et à la politique de sécurité des entreprises.
L’administrateur de la base de données doit résoudre le problème de l’utilisation de profils d’utilisateurs sécurisés pour effectuer des vérifications de sécurité des mots de passe des utilisateurs de la base de données. Cela garantira que les mots de passe du compte sont modifiés régulièrement et ne peuvent plus être répétés, sous réserve de complexité et de longueur minimale, et que les entrées ayant échoué seront bloquées.
La création de plusieurs profils de base de données personnalisés permettra de modifier les vérifications de mots de passe entre les utilisateurs qui nécessitent différents niveaux de sécurité.
Le tableau suivant répertorie certains des paramètres qui assurent la sécurité de la base de données Oracle.
NOM | VALEUR | DESCRIPTION |
audit_trail | AUCUN | activer l’audit du système |
db_name | MUH | nom de la base de données spécifié dans CRÉER UNE BASE de DONNÉES |
07_DICTIONARY_ACCESSIBILITÉ | FALSE | Prise en charge de l’accessibilité du dictionnaire Version 7 |
os_roles | FALSE | récupère les rôles du système d’exploitation |
remote_login_passwordfile | EXCLUSIF | mot de passe paramètre d’utilisation du fichier |
remote_os_authent | FALSE | permet aux clients distants non sécurisés d’utiliser des comptes de connexion automatique |
remote_os_roles | FALSE | permet aux clients distants non sécurisés d’utiliser des rôles de système d’exploitation |
sql92_security | FALSE | nécessite le privilège select pour la mise à jour/suppression recherchée |
utl_file_dir | /oracle/app/file/utl1 | liste des répertoires accessibles utl_file |
La définition de ces paramètres est la suivante.
AUDIT_TRAIL : Détermine si l’audit de base de données est activé ou non. Si AUCUN n’est sélectionné, les registres d’audit ne sont pas conservés.
DB_NAME : Affiche le nom de la base de données.
DB_LINK_ENCRYPT_LOGIN : Indique que les mots de passe cryptés doivent être utilisés lors des tentatives de connexion à la base de données Oracle distante via des liens de base de données. La valeur FALSE indique que cette option n’est pas activée.
OS_ROLES : Spécifie si le système d’exploitation est utilisé pour déterminer les privilèges utilisateur. La valeur FALSE indique qu’elle n’est pas activée.
REMOTE_LOGIN_PASSWORDFILE: Spécifie si un fichier de mot de passe distinct est utilisé pour la connexion des connexions distantes. Le fichier de mot de passe peut contenir des utilisateurs SYS ainsi que des utilisateurs non-SYS. Une valeur NONE indique qu’elle n’est pas activée.
REMOTE_OS_AUTHENT : Spécifie si les clients distants seront authentifiés avec la valeur du paramètre OS_AUTHENT_PREFIX.
REMOTE_OS_ROLES – spécifie si les rôles du système d’exploitation sont autorisés pour les clients distants.
Sans règles de sécurité de base de données appropriées, le risque de sécurité dans les applications peut être exploité pour fournir un accès contrôlé qui augmente les risques d’accès autorisé et d’utilisation abusive de la base de données. Dans les cas où les mots de passe sécurisés ne sont pas utilisés dans la base de données, les identifiants d’utilisateur et les mots de passe peuvent être envoyés en texte clair sur le réseau et peuvent être capturés par des personnes non autorisées.
Chaque paramètre de sécurité de la base de données devrait être rendu plus difficile. Les paramètres d’audit doivent être activés à l’aide des enregistrements et des déclencheurs de la piste d’audit, les mots de passe doivent être cryptés, le paramètre O7_DICTIONARY_ACCESSIBILITY doit être égal à FALSE et le paramètre SQL92_SECURITY doit être activé.
Les administrateurs de base de données doivent examiner tous les utilisateurs disposant de droits d’administrateur de base de données et vérifier leur éligibilité. Un utilisateur de base de données ne devrait avoir que les droits réellement requis pour effectuer des tâches efficacement et rapidement, la plupart du temps le niveau de privilèges le plus bas devrait être accordé.
Les utilisateurs de base de données « génériques » doivent être supprimés, chaque utilisateur doit utiliser son propre utilisateur (unique).