Sicurezza del database e parametri del profilo utente e come controllare la politica delle password in Oracle 12c
Ciao,
Vi spiegherò su Oracle Database Security , Database e parametri di sicurezza del profilo in questo articolo.
Dovresti leggere i seguenti articoli prima di questo per capire molto bene la sicurezza del database Oracle.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
Ci sono molte soluzioni di sicurezza nel database Oracle come segue.
Una delle soluzioni di sicurezza più basilari è la politica e le regole della password utente. La password utente è gestita dai profili utente.
Il database Oracle richiede controlli delle password in base ai profili.
Nel database è possibile definire più profili che consentono differenze nei controlli tra utenti che richiedono diversi livelli di sicurezza.
I parametri e le descrizioni nei profili utente definiti per gli utenti Oracle sono i seguenti.
TEMPO DI VITA DELLA PASSWORD: esso consente di visualizzare il numero di giorni di validità della password prima della scadenza
PASSWORD GRAZIA TEMPO: visualizza il numero di giorni di grazia per l’utente di modificare la password
PASSWORD RIUTILIZZO MAX: visualizza il numero di volte che l’utente può utilizzare il già utilizzato la password
PASSWORD RIUTILIZZO TEMPO: visualizza il numero di giorni dopo che l’utente può utilizzare il già utilizzato la password
PASSWORD FUNZIONE di VERIFICA: Prevede l’uso di password complesse. Ciò include l’uso di password con caratteri alfabetici e numerici, la lunghezza della password e la determinazione di password che non appartengono a elenchi di parole non consentiti. Il valore di questa opzione profilo può essere modificato in seguito. Questo valore può essere univoco per ogni profilo definito. Un valore NULL indica che il controllo non è abilitato.
TENTATIVI DI ACCESSO NON RIUSCITI: visualizza il numero massimo di volte in cui l’utente è consentito in un accesso non riuscito prima di bloccare l’account utente
TEMPO DI BLOCCO DELLA PASSWORD: visualizza il numero di giorni in cui l’account utente rimane bloccato dopo l’accesso non riuscito. Se questo valore è impostato su ILLIMITATO e i TENTATIVI DI ACCESSO non RIUSCITI non sono ILLIMITATI, l’account viene bloccato a tempo indeterminato.
Nei casi in cui gli utenti del database non sono soggetti alle regole di sicurezza delle password, l’accesso alle password mediante attacco di forza bruta o stime fortunate aumenterà il rischio di accesso non autorizzato al database. Il metodo di attacco a forza bruta è un metodo molto comune per attaccare il database e viene eseguito eseguendo un programma che tenta di collegare parole al database utilizzando parole specifiche (password note come “12345” “ciao” e così via. ) nel dizionario come password.
In caso di utilizzo insufficiente o debole della password, ci sarà un problema di sicurezza del database. Ciò aumenta il rischio che i dati conservati all’interno del database possano essere modificati da utenti non autorizzati, è possibile un’irregolarità e importanti decisioni operative possono essere prese sulla base di informazioni errate.
Le regole di sicurezza delle password esistenti dovrebbero essere riviste per garantire che siano coerenti con gli obiettivi dell’organizzazione e la politica di sicurezza delle aziende.
L’amministratore del database deve risolvere il problema dell’utilizzo di profili utente sicuri per eseguire controlli di sicurezza delle password degli utenti nel database. Ciò garantirà che le password degli account vengano modificate regolarmente e non possano essere ripetute di nuovo, a seconda della complessità e della lunghezza minima, e che le voci non riuscite vengano bloccate.
La creazione di più profili di database personalizzati consentirà modifiche nei controlli delle password tra utenti che richiedono diversi livelli di sicurezza.
La tabella seguente elenca alcuni dei parametri che forniscono Oracle database security.
| NOME | VALORE | DESCRIZIONE |
| audit_trail | NESSUNO | abilita il controllo di sistema |
| db_name | MUH | nome del database specificato nel CREARE DATABASE |
| 07_DICTIONARY_ACCESSIBILITY | FALSE | Versione 7 Dizionario il Supporto per l’Accessibilità |
| os_roles | FALSE | recuperare i ruoli dal sistema operativo |
| remote_login_passwordfile | ESCLUSIVA | password utilizzo di file di parametro |
| remote_os_authent | FALSE | consenti non-secure client remoti per uso auto-account di accesso |
| remote_os_roles | FALSE | consenti non-secure client remoti per uso os ruoli |
| sql92_security | FALSE | richiedono selezionare il privilegio cercato di update/delete |
| utl_file_dir | /oracle/app/file/utl1 | utl_file accessibile directory elenco |
La definizione di questi parametri è il seguente.
AUDIT_TRAIL: determina se l’audit del database è abilitato o meno. Se NESSUNO è selezionato, i record di controllo non vengono conservati.
DB_NAME: visualizza il nome del database.
DB_LINK_ENCRYPT_LOGIN: indica che le password crittografate devono essere utilizzate nei tentativi di connessione al database Oracle remoto tramite collegamenti al database. Un valore di FALSE indica che questo non è abilitato.
OS_ROLES: specifica se il sistema operativo viene utilizzato per determinare i privilegi dell’utente. Il valore FALSE indica che non è abilitato.
REMOTE_LOGIN_PASSWORDFILE: Specifica se viene utilizzato un file di password separato per l’accesso alle connessioni remote. Il file della password può contenere utenti SYS e non SYS. Un valore di NONE indica che non è abilitato.
REMOTE_OS_AUTHENT: specifica se i client remoti verranno autenticati con il valore del parametro OS_AUTHENT_PREFIX.
REMOTE_OS_ROLES-specifica se i ruoli del sistema operativo sono consentiti per i client remoti.
Senza regole di sicurezza del database appropriate, il rischio per la sicurezza nelle applicazioni può essere sfruttato per fornire un accesso controllato che aumenta i rischi di accesso autorizzato e uso improprio del database. Nei casi in cui le password sicure non vengono utilizzate nel database, gli identificatori utente e le password possono essere inviati in chiaro attraverso la rete e possono essere catturati da persone non autorizzate.
Ogni impostazione di sicurezza nel database dovrebbe essere resa più difficile. Le impostazioni di controllo devono essere abilitate utilizzando i record e i trigger della traccia di controllo, le password devono essere crittografate, il parametro O7_DICTIONARY_ACCESSIBILITY deve essere FALSE e il parametro SQL92_SECURITY deve essere abilitato.
I DBA dovrebbero esaminare tutti gli utenti che dispongono dei diritti di amministratore del database e verificarne l’idoneità. Un utente di database dovrebbe avere solo i diritti effettivamente necessari per eseguire attività in modo efficiente e rapido, per lo più il livello più basso di privilegi dovrebbe essere concesso.
Gli utenti di database”generici” dovrebbero essere eliminati, ogni utente dovrebbe usare il proprio utente (unico).