maart 14, 2022

Databasebeveiliging en Gebruikersprofielparameters en hoe wachtwoordbeleid te controleren in Oracle 12c

Hi,

Ik zal u in dit artikel uitleggen over Oracle Databasebeveiliging , Database-en Profielbeveiligingsparameters.

u dient hiervoor de volgende artikelen te lezen om de beveiliging van Oracle database goed te begrijpen.

https://ittutorial.org/data-redaction-in-oracle-database-2/

https://ittutorial.org/transparent-data-encryption-in-oracle/

er zijn tal van beveiligingsoplossingen in de Oracle-database als volgt.

een van de meest basale beveiligingsoplossingen is het Gebruikerswachtwoordbeleid en de regels. Gebruikerswachtwoord wordt beheerd door gebruikersprofielen.

de Oracle-database vereist wachtwoordcontroles op basis van profielen.

in de database kunnen meerdere Profielen worden gedefinieerd die verschillen in controles tussen gebruikers mogelijk maken die verschillende beveiligingsniveaus vereisen.

Parameters en beschrijvingen in de gebruikersprofielen die zijn gedefinieerd voor Oracle-gebruikers zijn als volgt.

WACHTWOORDLEVENSDUUR: het geeft het aantal dagen dat een wachtwoord geldig is voor het verstrijken

WACHTWOORD GENADE TIJD: toont het aantal dagen van genade voor de gebruiker om het wachtwoord te wijzigen

WACHTWOORD HERGEBRUIK MAX: toont het aantal keren dat de gebruiker kan gebruik maken van de reeds gebruikte wachtwoord

WACHTWOORD HERGEBRUIK TIJD: toont het nummer van de dag nadat de gebruiker kan gebruik maken van de reeds gebruikte wachtwoord

WACHTWOORD VERIFIËREN van de FUNCTIE: Levert het gebruik van complexe wachtwoorden. Dit omvat het gebruik van wachtwoorden met zowel alfabetische als numerieke tekens, de lengte van het wachtwoord en het bepalen van wachtwoorden die niet behoren tot niet-toegestane woordenlijsten. De waarde van deze profieloptie kan later worden gewijzigd. Deze waarde kan uniek zijn voor elk gedefinieerd profiel. Een NULL-waarde geeft aan dat het besturingselement niet is ingeschakeld.

mislukte aanmeldpogingen: het toont de maximale tijden dat de gebruiker is toegestaan in fail login voordat het gebruikersaccount wordt vergrendeld

WACHTWOORDVERGRENDELINGSTIJD: het toont het aantal dagen dat het gebruikersaccount vergrendeld blijft na een mislukte aanmelding. Als deze waarden op onbeperkt zijn ingesteld en mislukte aanmeldpogingen niet onbeperkt zijn, wordt het account voor onbepaalde tijd vergrendeld.

in gevallen waarin gebruikers van een database niet onderworpen zijn aan wachtwoordbeveiligingsregels, verhoogt de toegang tot wachtwoorden door brute force attack of lucky estimates het risico van onbevoegde toegang tot de database. De brute force attack methode is een veel voorkomende methode voor het aanvallen van de database en wordt uitgevoerd door het uitvoeren van een programma dat probeert om woorden te verbinden met de database met behulp van specifieke woorden (bekende wachtwoorden zoals “12345” “hallo” en etc. ) in het woordenboek als wachtwoorden.

in geval van onvoldoende of zwak gebruik van wachtwoorden, zal er een databasebeveiligingsprobleem zijn. Dit vergroot het risico dat gegevens die in de database worden bewaard door onbevoegde gebruikers kunnen worden gewijzigd, onregelmatigheden mogelijk zijn en belangrijke operationele beslissingen kunnen worden genomen op basis van onjuiste informatie.

de bestaande wachtwoordbeveiligingsregels moeten worden herzien om ervoor te zorgen dat ze in overeenstemming zijn met de doelstellingen van de organisatie en het beveiligingsbeleid van de bedrijven.

de databasebeheerder moet de kwestie van het gebruik van beveiligde gebruikersprofielen oplossen om wachtwoordbeveiligingscontroles van gebruikers in de database uit te voeren. Dit zorgt ervoor dat accountwachtwoorden regelmatig worden gewijzigd en niet opnieuw kunnen worden herhaald, afhankelijk van complexiteit en minimale lengte, en mislukte vermeldingen worden geblokkeerd.

het aanmaken van meerdere aangepaste databaseprofielen maakt wijzigingen in wachtwoordcontroles tussen gebruikers mogelijk die verschillende beveiligingsniveaus vereisen.

in de volgende tabel worden enkele parameters weergegeven die Oracle-databasebeveiliging bieden.

NAAM WAARDE BESCHRIJVING
audit_trail GEEN inschakelen systeem controle
db_name MUH database naam die is opgegeven tijdens het AANMAKEN van de DATABASE
07_DICTIONARY_ACCESSIBILITY FALSE Versie 7 Woordenboek Ondersteuning van Toegankelijkheid
os_roles FALSE ophalen rollen van het besturingssysteem
remote_login_passwordfile EXCLUSIEVE wachtwoord bestand gebruik parameter
remote_os_authent FALSE kunt u niet-beveiligde externe klanten te gebruiken auto-inlog-accounts
remote_os_roles FALSE kunt u niet-beveiligde externe klanten gebruik van de os rollen
sql92_security FALSE vereisen selecteer voorrecht voor gezocht bijwerken/verwijderen
utl_file_dir /oracle/app/file/utl1 utl_file toegankelijke mappen lijst

De definitie van deze parameters is als volgt.

AUDIT_TRAIL: bepaalt of de database-audit is ingeschakeld of niet. Als er geen is geselecteerd, worden de controleverslagen niet bijgehouden.

DB_NAME: geeft de naam van de database weer.

DB_LINK_ENCRYPT_LOGIN: geeft aan dat versleutelde wachtwoorden gebruikt moeten worden bij verbindingspogingen naar de externe Oracle-database via databaselinks. Een waarde van FALSE geeft aan dat dit niet is ingeschakeld.

OS_ROLES: geeft aan of het besturingssysteem wordt gebruikt om gebruikersrechten te bepalen. De FALSE waarde geeft aan dat het niet is ingeschakeld.

REMOTE_LOGIN_PASSWORDBESTAND: Hiermee geeft u op of een apart wachtwoordbestand wordt gebruikt voor het aanmelden van externe verbindingen. Het wachtwoordbestand kan zowel SYS als niet-SYS gebruikers bevatten. Een waarde van NONE geeft aan dat het niet is ingeschakeld.

REMOTE_OS_AUTHENT: geeft aan of externe clients worden geverifieerd met de waarde van de parameter OS_AUTHENT_PREFIX.

REMOTE_OS_ROLES-geeft aan of functies van het besturingssysteem zijn toegestaan voor externe clients.

zonder passende regels voor databasebeveiliging kunnen beveiligingsrisico ‘ s in toepassingen worden benut om gecontroleerde toegang te bieden die het risico van geautoriseerde toegang en misbruik van de database vergroot. In gevallen waarin beveiligde wachtwoorden niet worden gebruikt in de database, kunnen gebruikers-ID ‘ s en wachtwoorden worden verzonden in duidelijke tekst over het netwerk en kunnen worden vastgelegd door onbevoegde personen.

elke beveiligingsinstelling in de database moet worden bemoeilijkt. De audit instellingen moeten worden ingeschakeld met behulp van audit trail records en triggers, de wachtwoorden moeten worden versleuteld, de o7_dictionary_accessibility parameter moet als FALSE zijn, en de parameter SQL92_SECURITY moet worden ingeschakeld.

DBA ‘ s moeten alle gebruikers die databasebeheerder-rechten hebben controleren en controleren of zij in aanmerking komen. Een database-gebruiker mag alleen de rechten hebben die daadwerkelijk nodig zijn om taken efficiënt en snel uit te voeren, meestal moet het laagste niveau van privileges worden verleend.

“Generieke” databasegebruikers moeten worden geschrapt, elke gebruiker moet zijn eigen (unieke) gebruiker gebruiken.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.