Bezpieczeństwo bazy danych i parametry profilu użytkownika i jak sprawdzić Politykę haseł w Oracle 12c
cześć,
w tym artykule wyjaśnię Ci bezpieczeństwo bazy danych Oracle , parametry bezpieczeństwa bazy danych i profilu.
aby dobrze zrozumieć bezpieczeństwo bazy danych Oracle, należy przeczytać poniższe artykuły.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
istnieje wiele rozwiązań bezpieczeństwa w bazie danych Oracle w następujący sposób.
jednym z najbardziej podstawowych rozwiązań bezpieczeństwa jest polityka i zasady dotyczące haseł użytkownika. Hasło użytkownika jest zarządzane przez profile użytkowników.
baza danych Oracle wymaga sprawdzania haseł na podstawie profili.
w bazie danych można zdefiniować wiele profili, które pozwalają na różnice w kontroli między użytkownikami, które wymagają różnych poziomów bezpieczeństwa.
parametry i opisy w profilach użytkowników zdefiniowanych dla użytkowników Oracle są następujące.
CZAS ŻYCIA HASŁA: wyświetla liczbę dni hasło jest ważne przed wygaśnięciem
czas łaski hasła: wyświetla liczbę dni łaski dla użytkownika, aby zmienić hasło
ponowne użycie hasła MAX: wyświetla liczbę razy użytkownik może użyć już używanego hasła
czas ponownego użycia hasła: wyświetla liczbę dni po tym, jak użytkownik może użyć już używanego hasła
funkcja weryfikacji hasła: zapewnia użycie złożonych haseł. Obejmuje to stosowanie haseł ze znakami alfabetycznymi i numerycznymi, długość hasła oraz określenie haseł, które nie należą do niedozwolonych list słów. Wartość tej opcji profilu może zostać zmieniona później. Wartość ta może być unikalna dla każdego zdefiniowanego profilu. Wartość NULL oznacza, że kontrolka nie jest włączona.
nieudane próby logowania: wyświetla maksymalny czas, w którym użytkownik może się zalogować przed zablokowaniem konta użytkownika
czas blokady hasła: wyświetla liczbę dni, w których konto użytkownika pozostaje zablokowane po nieudanym zalogowaniu. Jeśli ta wartość jest ustawiona na UNLIMITED, a nieudane próby logowania nie są nieograniczone, konto jest zablokowane na czas nieokreślony.
w przypadkach, gdy użytkownicy baz danych nie podlegają zasadom bezpieczeństwa haseł, dostęp do haseł za pomocą ataku brute force lub lucky estimates zwiększy ryzyko nieautoryzowanego dostępu do bazy danych. Metoda ataku brute force jest bardzo popularną metodą atakowania bazy danych i jest wykonywana przez uruchomienie programu, który próbuje połączyć słowa z bazą danych za pomocą określonych słów (znanych haseł, takich jak „12345” „hello” I itp. ) w słowniku jako hasła.
w przypadku niewystarczającego lub słabego użycia hasła, wystąpi problem z bezpieczeństwem bazy danych. Zwiększa to ryzyko, że dane przechowywane w bazie danych mogą zostać zmienione przez nieupoważnionych użytkowników, możliwe są nieprawidłowości, a ważne decyzje operacyjne mogą być podejmowane na podstawie nieprawidłowych informacji.
istniejące zasady bezpieczeństwa haseł powinny zostać zweryfikowane, aby upewnić się, że są one zgodne z celami organizacji i polityką bezpieczeństwa firmy.
Administrator bazy danych powinien rozwiązać problem użycia bezpiecznych profili użytkowników do przeprowadzania kontroli bezpieczeństwa haseł użytkowników w bazie danych. Zapewni to, że hasła do kont będą regularnie zmieniane i nie będą mogły być powtarzane, w zależności od złożoności i minimalnej długości, a nieudane wpisy zostaną zablokowane.
tworzenie wielu niestandardowych profili bazy danych pozwoli na zmiany w sprawdzaniu haseł między użytkownikami, które wymagają różnych poziomów bezpieczeństwa.
poniższa tabela zawiera listę niektórych parametrów zapewniających bezpieczeństwo bazy danych Oracle.
| nazwa | wartość | opis |
| audit_trail | brak | włącz audit systemu |
| db_name | MUH | nazwa bazy danych podana w Utwórz bazę danych |
| 07_DOSTĘPNOŚĆ słownikowa | FALSE | Wersja 7 Wsparcie dostępności słownika |
| os_roles | FALSE | Pobierz role z systemu operacyjnego |
| remote_login_passwordfile | EXCLUSIVE | password parametr użycia pliku |
| remote_os_authent | FALSE | Zezwalaj niezabezpieczonym klientom zdalnym na używanie kont automatycznego logowania |
| remote_os_roles | FALSE | Zezwalaj niezabezpieczonym klientom zdalnym na używanie ról systemu operacyjnego |
| sql92_security | FALSE | wymagaj uprawnień select dla wyszukiwanej aktualizacji / usunięcia |
| utl_file_dir | /oracle/app/file/utl1 | lista dostępnych katalogów utl_file |
definicja tych parametrów jest następująca.
AUDIT_TRAIL: określa, czy audyt bazy danych jest włączony, czy nie. Jeśli nie wybrano żadnego, zapisy audytu nie są przechowywane.
DB_NAME: wyświetla nazwę bazy danych.
DB_LINK_ENCRYPT_LOGIN: wskazuje, że szyfrowane hasła powinny być używane przy próbach połączenia ze zdalną bazą danych Oracle za pomocą łączy do bazy danych. Wartość FALSE oznacza, że opcja ta nie jest włączona.
OS_ROLES: określa, czy system operacyjny jest używany do określania uprawnień użytkownika. Wartość FALSE oznacza, że nie jest włączona.
REMOTE_LOGIN_PASSWORDFILE: Określa, czy do logowania połączeń zdalnych używany jest osobny plik hasła. Plik hasła może zawierać zarówno sys, jak i użytkowników innych niż SYS. Wartość NONE oznacza, że nie jest włączona.
REMOTE_OS_AUTHENT: określa, czy zdalne klienty będą uwierzytelniane wartością parametru OS_AUTHENT_PREFIX.
REMOTE_OS_ROLES-określa, czy role systemu operacyjnego są dozwolone dla klientów zdalnych.
bez odpowiednich reguł bezpieczeństwa bazy danych, ryzyko bezpieczeństwa w aplikacjach może być wykorzystane w celu zapewnienia kontrolowanego dostępu, który zwiększa ryzyko autoryzowanego dostępu i niewłaściwego korzystania z bazy danych. W przypadkach, gdy bezpieczne hasła nie są używane w bazie danych, identyfikatory użytkowników i hasła mogą być przesyłane w czytelnym tekście przez Sieć i mogą zostać przechwycone przez osoby nieupoważnione.
każde ustawienie zabezpieczeń w bazie danych powinno być utrudnione. Ustawienia audytu muszą być włączone za pomocą rekordów ścieżki audytu i wyzwalaczy, Hasła muszą być zaszyfrowane, parametr O7_DICTIONARY_ACCESSIBILITY powinien być fałszywy, a parametr sql92_security powinien być włączony.
bazy danych powinny sprawdzać wszystkich użytkowników, którzy mają uprawnienia administratora bazy danych i zweryfikować ich uprawnienia. Użytkownik bazy danych powinien posiadać jedynie uprawnienia faktycznie wymagane do sprawnego i szybkiego wykonywania zadań, w większości przypadków należy przyznać najniższy poziom uprawnień.
użytkownicy baz danych”Generic” powinni zostać usunięci, każdy użytkownik powinien użyć własnego (unikalnego) użytkownika.