Skocz do zawartości
rafakl

[Oracle] Jak zrobić hardening 11gr2 database?

Polecane posty

Witam,

 

Jak w temacie.

Szukałem w angielskich i niemieckich stronach czegoś interesującego ale nie udało mi się znaleźć. Wydaje mi się, że Oracle zakłada że jego bazy są bezpieczne i oferują tylko wysoko płatne zabezpieczenia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

O jakie dokladnie aspekty bezpieczenstwa chodzi ?

 

Wiele elementow security mozna rozwiazac na poziomie sieci(dostepy,tunele,firewalle), narzedzi systemowych(iptables,uprawnienia,itp) oraz z pomoca oracle - logowanie polaczen, logowanie zapytan(audit), ograniczenie dostepu na poziomie bazy(np. triggery after loggon) itp.

Dodatkowo ustawienia listenera(np. tcp.invited_nodes), bazy, parametrow na niej wplywajace na bezpieczenstwo, polityka zarzadzania rolami userami itp.

Jasne ze oracle kasuje za zabawki do zwiekszenia bezpieczenstwa i danych np. DAta Vault, szyfrowane backupu OSB itp ale mozna np. dostosowac baze do norm np. PCI-DSS przy pomocy posiadanych juz narzedzi.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej tuxo,

 

Właśnie chodziło mi o zabezpieczenie bazy oraz ustawienie monitorowania co dany uzytkownik zrobił.

Zewnętrzne zabezpieczenie do samego serwera nie jest żadnym problemem, natomiast mi chodzi o samą bazę Oracle.

Dałbyś radę mnie nakierować jak rozwiązać ten problem?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej,

Udało mi się zrobić jakiś mniej więcej hardening Oracle 11gr2 EE,

Mam problem przy SE, z zaszayfrowaniem tablespace,

Postepuję dokładnie tak samo jak przy EE i przy tworzeniu zaszyfrowanego tablespace mam komunikat że funkcja TDE nie jest włączona, szukam rozwiązania ale nie mogę nic znaleźć już od paru dni. Portfel jest już stworzony wraz z kluczem. Z paczek mam odpalone catalog.sql i catproc.sql

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Heja,

Skoro tak ladnie doceniles moja pomoc w poprzednich postach/watkach odpowiem:

 

"TDE czesc zapewne Oracle Advanced Security -- super platny dodatek do oracle dostepny tylko w wersji EE.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej tuxo,

Doceniam każdą Twoją pomoc z Oracle :) Bez Twojej pomocy miałbym nie lada tarapaty.

W Oracle 11gr2 w wersji EE nie płaciłem za ten dodatek a ładnie zadziałało. Czyli wychodzi z tego że w SE ani XE to nie zadziała?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej tuxo,

Doceniam każdą Twoją pomoc z Oracle :) Bez Twojej pomocy miałbym nie lada tarapaty.

W Oracle 11gr2 w wersji EE nie płaciłem za ten dodatek a ładnie zadziałało. Czyli wychodzi z tego że w SE ani XE to nie zadziała?

Nie zadziala -- chyba zeby uzyc super hiper magicznych trickow

 

Z oracle'em to tak nie dziala tj:

W EE masz kazda super platna opcje wlasciwie dostepna/uruchomiona -- placisz jak uzyjesz-- a uzywa sie czesto tego przez przypadek np. kompresja/szyfrowanie/awr( Database Diagnostic Pack

) itp. Oracle czeka, az uzyjesz tej opcji, a przy audycie legalnosci softu itp pociagnie cie do odpowiedzialnosci i wystawi fakture. Kazde uzycie jest logowane na bazie i mozna cie szarpnac wstecz.

 

select name,version,detected_usages, currently_used, last_usage_date, feature_info from dba_feature_usage_statistics where (detected_usages > 0 or currently_used='YES');

 

http://docs.oracle.com/cd/B28359_01/server.111/b28320/statviews_3166.htm

Edytowano przez tuxopodobny (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dziękuję za odpowiedź!

Już teraz rozumiem jak to wygląda, heh ciekawe rozwiązanie z tymi fakturami.

 

EDIT: Znalazłem w pliku utlpwdmg.sql funkcje odpowiadające za jakość hasła, jak one mają się do utworzonych profili?

Edytowano przez rafakl (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dziękuję za odpowiedź!

Już teraz rozumiem jak to wygląda, heh ciekawe rozwiązanie z tymi fakturami.

 

EDIT: Znalazłem w pliku utlpwdmg.sql funkcje odpowiadające za jakość hasła, jak one mają się do utworzonych profili?

 

utlpwdmg.sql - script for Default Password Resource Limits

This is a script for enabling the password management features by setting the default password resource limits.

 

Uruchomisz skrypt na bazie to utworzy funkcje weryfikujaca zlozonosc hasla oraz zmodyfikuje DEFAULT profile odpowiednimi parametrami/wartosciami np. ilosc nieudanych prob, ile haslo jest wazne itp.

Zwykle konto zakladane konto ma profile DEFAULT wiec lapie sie pod powyzsze (chyba ze zakladajac schemat/usera zmieniasz profile).

Mozesz sam zmodyfikowac kazdy profile lub utworzyc nowy ze swoimi wartosciami i ze swoja wlasna procedure, ktora podczepiasz pod

 

ALTER PROFILE TWOJ_GENIALNY_PROFIL LIMIT

PASSWORD_LIFE_TIME 180 --wartosc przykladowa

PASSWORD_GRACE_TIME 7 --wartosc przykladowa

PASSWORD_REUSE_TIME UNLIMITED --wartosc przykladowa

PASSWORD_REUSE_MAX UNLIMITED --wartosc przykladowa

FAILED_LOGIN_ATTEMPTS 10 --wartosc przykladowa

PASSWORD_LOCK_TIME 1 --wartosc przykladowa

PASSWORD_VERIFY_FUNCTION TWOJA_GENIALNA_FUNKCJA;

 

jak bedzie profile to

ALTER USER twoj_user/schemat PROFILE TWOJ_GENIALNY_PROFIL;

 

i userek ma wlasny profilek

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z oracle'em to tak nie dziala tj:

W EE masz kazda super platna opcje wlasciwie dostepna/uruchomiona -- placisz jak uzyjesz-- a uzywa sie czesto tego przez przypadek np. kompresja/szyfrowanie/awr( Database Diagnostic Pack

) itp. Oracle czeka, az uzyjesz tej opcji, a przy audycie legalnosci softu itp pociagnie cie do odpowiedzialnosci i wystawi fakture. Kazde uzycie jest logowane na bazie i mozna cie szarpnac wstecz.

 

 

Wydaje mi się, że o ile ogólnie masz rację należało by Twoją wypowiedź lekko uszczegółowić. Jeśli się mylę proszę popraw mnie.

 

to co piszę dotyczy szczególnie Partitioning, OLAP, Label Security, Data Mining, Database Vault, Real Application Testing.

 

Po standardowej instalacji wersji enterprise, jednym z kroków poinstalacyjnych jest wyłącznie nie używanych komponentów. Można też ich wcale nie instalować (zaawansowania instalacja -> steep 6 of 12 Select Options).

 

W przypadku kiedy wyżej wymienione komponenty są włączone (a nie używane) Oracle zarząda opłaty za dwa lata dodatkowych licencji. Jeśli natomiast jakiekolwiek płatne opcje były użyte Oracle zarząda opłaty za cały czas od ich pierwszego użycia.

 

W przypadku Tuning Pack, Diagnostic Pack też warto się zabezpieczyć przed przypadkowym użyciem stosując parametr: control_management_pack_access

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×