securitatea bazei de date și parametrii profilului utilizatorului și cum să verificați Politica de parolă în Oracle 12c
bună,
vă voi explica despre securitatea bazei de date Oracle , parametrii de securitate a bazei de date și a profilului în acest articol.
ar trebui să citiți următoarele articole înainte de aceasta pentru a înțelege foarte bine Oracle database security.
https://ittutorial.org/data-redaction-in-oracle-database-2/
https://ittutorial.org/transparent-data-encryption-in-oracle/
există o mulțime de soluții de securitate în baza de date Oracle, după cum urmează.
una dintre cele mai de bază soluții de securitate este politica și regulile parolei utilizatorului. Parola de utilizator este gestionată de profilurile de utilizator.
baza de date Oracle necesită verificări de parolă pe baza profilurilor.
profiluri Multiple pot fi definite în baza de date care permit diferențe de control între utilizatori care necesită niveluri diferite de securitate.
parametrii și descrierile din profilurile de utilizator definite pentru utilizatorii Oracle sunt următoarele.
DURATA DE VIAȚĂ A PAROLEI: se afișează numărul de zile parola este valabilă înainte de expirare
parola timp de grație: se afișează numărul de zile de grație pentru utilizator pentru a schimba parola
parola reutilizare MAX: se afișează numărul de ori utilizatorul poate folosi parola deja utilizate
parola timp de reutilizare: se afișează numărul de zile după ce utilizatorul poate folosi parola deja utilizate
parola verifica funcția: prevede utilizarea de parole complexe. Aceasta include utilizarea parolelor cu caractere alfabetice și numerice, lungimea parolei și determinarea parolelor care nu aparțin listelor de cuvinte nepermise. Valoarea acestei opțiuni de profil poate fi modificată ulterior. Această valoare poate fi unică pentru fiecare profil definit. O valoare nulă indică faptul că controlul nu este activat.
încercări de conectare eșuate: afișează timpii maximi în care utilizatorul este permis în autentificare nereușită înainte de a bloca contul de utilizator
timp de blocare a parolei: afișează numărul de zile în care contul de utilizator rămâne blocat după autentificarea eșuată. Dacă aceste valori sunt setate la nelimitat și încercările de conectare eșuate nu sunt nelimitate, contul este blocat pe o perioadă nedeterminată.
în cazurile în care utilizatorii bazei de date nu sunt supuși regulilor de securitate a parolei, accesul la parole prin atac de forță brută sau estimări norocoase va crește riscul accesului neautorizat la baza de date. Metoda de atac cu forță brută este o metodă foarte obișnuită de atacare a bazei de date și se realizează prin rularea unui program care încearcă să conecteze cuvinte la baza de date folosind cuvinte specifice (parole cunoscute precum „12345” „Bună ziua” și etc. ) în dicționar ca parole.
în caz de utilizare insuficientă sau slabă a parolei, va exista o problemă de securitate a bazei de date. Acest lucru crește riscul ca datele păstrate în baza de date să poată fi modificate de utilizatori neautorizați, să fie posibile nereguli și să se poată lua decizii operaționale importante pe baza informațiilor incorecte.
regulile existente de securitate a parolei trebuie revizuite pentru a se asigura că acestea sunt în concordanță cu obiectivele organizației și Politica de securitate a companiilor.
administratorul bazei de date ar trebui să rezolve problema utilizării profilurilor de utilizator sigure pentru a efectua verificări de securitate a parolei utilizatorilor din Baza de date. Acest lucru va asigura că parolele contului sunt modificate în mod regulat și nu pot fi repetate din nou, în funcție de complexitate și lungime minimă, iar intrările eșuate vor fi blocate.
crearea mai multor profiluri de baze de date personalizate va permite modificări ale verificărilor de parole între utilizatori care necesită niveluri diferite de securitate.
următorul tabel listează câțiva dintre parametrii care furnizează securitatea bazei de date Oracle.
| nume | valoare | descriere |
| audit_trail | niciunul | activați auditul sistemului |
| db_name | MUH | numele bazei de date specificate în Creare bază de date |
| 07_DICTIONARY_ACCESSIBILITY | FALSE | versiunea 7 dicționar accesibilitate suport |
| os_roles | FALSE | preluați roluri din sistemul de operare |
| remote_login_passwordfile | exclusiv | parolă parametrul de utilizare a fișierului |
| remote_os_authent | FALSE | permiteți clienților de la distanță care nu sunt securizați să utilizeze conturi de conectare automată |
| remote_os_roles | FALSE | permite clienților de la distanță non-sigure pentru a utiliza roluri os |
| SQL92_SECURITY | FALSE | necesită selectați privilegiu pentru actualizare căutat / șterge |
| utl_file_dir | / oracle/app / file / utl1 | lista de directoare accesibile utl_file |
definiția acestor parametri este următoarea.
AUDIT_TRAIL: determină dacă auditul bazei de date este activat sau nu. Dacă nu este selectată niciuna, înregistrările de audit nu sunt păstrate.
DB_NAME: afișează numele bazei de date.
DB_LINK_ENCRYPT_LOGIN: indică faptul că parolele criptate ar trebui utilizate în încercările de conectare la baza de date Oracle de la distanță prin legături de baze de date. O valoare de fals indică faptul că acest lucru nu este activat.
OS_ROLES: specifică dacă sistemul de operare este utilizat pentru a determina privilegiile utilizatorului. Valoarea falsă indică faptul că nu este activată.
REMOTE_LOGIN_PASSWORDFILE: Specifică dacă un fișier de parolă separat este utilizat pentru conectarea conexiunilor la distanță. Fișierul parola poate conține SYS, precum și utilizatorii non-SYS. O valoare de nici unul indică faptul că nu este activată.
REMOTE_OS_AUTHENT: specifică dacă clienții la distanță vor fi autentificați cu valoarea parametrului OS_AUTHENT_PREFIX.
REMOTE_OS_ROLES – specifică dacă rolurile sistemului de operare sunt permise pentru clienții la distanță.
fără reguli adecvate de securitate a bazei de date, riscul de securitate în aplicații poate fi exploatat pentru a oferi acces controlat care crește riscurile de acces autorizat și utilizarea necorespunzătoare a bazei de date. În cazurile în care parolele sigure nu sunt utilizate în baza de date, identificatorii de utilizator și parolele pot fi trimise în text clar prin rețea și pot fi capturate de persoane neautorizate.
fiecare setare de securitate din Baza de date ar trebui să fie mai dificilă. Setările de audit trebuie să fie activate folosind înregistrări și declanșatoare ale traseului de audit, parolele trebuie criptate, parametrul O7_DICTIONARY_ACCESSIBILITY ar trebui să fie la fel de fals și parametrul sql92_security ar trebui să fie activat.
DBA-urile ar trebui să revizuiască toți utilizatorii care au drepturi de administrator de baze de date și să verifice eligibilitatea acestora. Un utilizator al bazei de date ar trebui să aibă doar drepturile necesare pentru a îndeplini sarcinile în mod eficient și rapid, în mare parte ar trebui acordat cel mai scăzut nivel de privilegii.
utilizatorii bazei de date”generice” ar trebui să fie abandonat, fiecare utilizator ar trebui să utilizeze propriul utilizator (unic).