مرروي بر روش هاي امن سازي ساختار پايگاه داده Oracle

[پرشین هک]

پرشین هک از مشورت-درفاز اول پروژه امن سازي پايگاه داده بيشتر به مباحث اصلي و پايه اي امنيت پرداخته مي شود كه مي توان با استفاده از مراحل زير و قسمت هاي بعدي اين نكات امنيتي را رعايت كرد.

1.        مرحله اول :

1.1 Remove Default Passwords

در زمان نصب نرم افزار اوراكل و ايجاد پايگاه داده ، معمولا مجوزهاي دسترسي ايجاد شده ،كه پس از نصب فراموش مي شوند. اين مجوزها معمولا داراي كلمات عبور پيش فرض هستند، مانند"tiger" for SCOTT)) كه بسيار مورد توجه نفوذ گرها قرار دارند. بسياري از مراحل نصب اوراكل با كلمات عبور" Oracle" يا "change_on_install" براي كاربر SYS انجام مي شود.اولين قدم شناخت و حذف اينگونه دسترسي ها و كلمات پيش فرض مي باشد.

 
 
 
 
 
 
 

·          راهكار:

چگونه مجوزهاي دسترسي پيش فرض را مشخص كنيم؟

يك انتخاب ، تلاش براي ورود با مجوزهاي دسترسي با كلمات پيش فرض مي باشد ، يقينا اين روش طاقت فرسايي خواهد بود. خوشبختانه روش بهتري براي اين كار وجود دارد. نگاهي كوتاه به ستون كلمات عبور در DBA_USERS، اين مشكل را حل خواهد كرد:

SQL> select username, password

2          from dba_users

3          where username = ''''''''''''''''SCOTT'''''''''''''''';

USERNAME                                             PASSWORD

---------------------------------------------------

SCOTT                                                  F894844C34402B67

همانطوري كه در خروجي دستور قبل مشخص شده، كلمه عبور به صورت Hash ذخيره شده و قابل تشخيص نمي باشد ، ولي مي دانيم كه كلمه عبور SCOTT ، tiger است. بنابراين Hash كلمه عبور tiger زماني كه نام كاربري scott مي باشد برابر F894844C34402B67 است. اكنون اگر كلمه عبور Scott تغيير كند نتيجه hash نيز متفاوت خواهد بود. مي*توانيد با مرور مجدد DBA_USERS از وضعيت كلمه عبور اطمينان حاصل كنيد.

در حالتي كه كلمه عبور tiger  بوده  ولي نام كاربري متفاوت باشد hash خروجي با خروجي قبلي يكسان نيست.

SQL> create user scott2 identified by tiger;

User created.

SQL> select username, password

2 from dba_users

3 where username = ''''''''''''''''SCOTT2'''''''''''''''';

USERNAME                     PASSWORD

------------------------------ --------------------

SCOTT2             C44C11D4C34DB67D

ژانويه 2006 اوراكل ابزاري را براي تشخيص كلمات عبور پيش فرض ارائه كرد كه اين ابزار از طريق Metalink قابل دريافت است. براي شروع مي توانيد روش زير را انجام دهيد. جدولي را كه محتوي نام هاي كاربري و كلمات عبور پيش فرض هستند ايجاد كنيد.

CREATE TABLE osp_accounts

(

product             VARCHAR2(30),

security_level    NUMBER(1),

username          VARCHAR2(30),

password           VARCHAR2(30),

hash_value        VARCHAR2(30),

commentary      VARCHAR2(200)

)

سپس با دستورات ساده زير مي توانيد كلمات عبور پيش فرض را مشخص كنيد.

col  password format a20

col  account_status format a20

col  username format a15

select  o.username, o.password, d.account_status

from  dba_users d, osp_accounts o

where  o.hash_value = d.password

/

USERNAME                     PASSWORD                                ACCOUNT_STATUS

---------------                     --------------------                             --------------------------

CTXSYS                         CHANGE_ON_INSTALL                 OPEN

OLAPSYS                       MANAGER                                  OPEN

DIP                               DIP                                           EXPIRED & LOCKED

DMSYS                          DMSYS                                      OPEN

EXFSYS                         EXFSYS                                     EXPIRED & LOCKED

SYSTEM                        ORACLE                                     OPEN

WMSYS                         WMSYS                                     EXPIRED & LOCKED

XDB                              CHANGE_ON_INSTALL                 EXPIRED & LOCKED

OUTLN                          OUTLN                                      OPEN

OUTLN                         OUTLN                                       OPEN

SCOTT                         TIGER                                        OPEN

SYS                            ORACLE                                       OPEN

 
اينجا مي*توانيد خطراتي كه پايگاه داده را تهديد مي كنند را ببينيد. بخصوص رديف آخر كه مربوط به SYS مي باشد. در اوراكل هاي سري قبل از 10g، پايگاه داده هيچگونه اعلاني به كاربر در مورد تعويض كلمه عبور پيش فرض ندارد ولي در سري 10g و بعد از آن، اوراكل به كاربر در مورد تعويض كلمه عبور پيام خواهد داد. درمورد مجوز دسترسي Scott ، اين مجوز تنها براي development database مورد استفاده قرار مي گيرد ، پيشنهاد مي شود براي جلوگيري از نفوذ به صورت Back-door اين مجوز را حذف نماييد.

 
 
 
 
 
 

مجوز هايي شببه CTXSYS, DMSYS, OLAPSYS ، براي ابزار هاي اوراكل مورد نياز است. بهترين روش، حذف اين مجوز ها (درصورتيكه نيازي به  استفاده از اين ابزار ها نداريد) مي باشد. اگر در مورد استفاده از اين مجوز ها اطمينان نداريد، حداقل مي توانيد امكان استفاده از اين مجوزها را براي اتصال، غير فعال كنيد. براي اين كار از دستور زير استفاده كنيد:

Alter user dmsys account lock expire password;

اين دستور  وضعيت مجوز دسترسي را در حالت غير فعال و منقضي شدن، قرار مي دهد. هنگاميكه ارتباطي از طريق اين كاربر به پايگاه وصل شود، پيام زير نشان داده خواهد شد:

ERROR:

ORA-28000: the account is locked

Warning: You are no longer connected to ORACLE.
 

 


1.2 Configure Oracle Binary Permissions

پايگاه داده اوركل  از فايل هاي باينري زيادي استفاده مي كند، مهمترين آنها و البته اجرايي ، Oracle در لينوكس يا يونيكس و يا Oracle.exe در ويندوز مي باشد.

توجه داشته باشيد كه  حق دسترسي روي اين فايل ها ، بعنوان مثال در يونيكس، مانند مثال زير است:

 

# cd $ORACLE_HOME/bin

# ls -l oracle

-rwsr-s--x            1 oracle  oinstall              69344968 Jun 10 14:05 oracle
 

 

 

 
 
 


مرروي بر انواع دسترسي فايل در سيستم عامل ها بر پايه يونيكس:

اولين قسمت(1) نشان دهنده نوع فايل مي باشد. همانطوري كه اطلاع داريد ،در يونيكس ، همه چيز به صورت فايل نمايش داده مي شود ، بنابراين اين قسمت به صورت "-" نمايش داده مي شود.

بخش دوم(2) نشانگر مجوز داده شده به فايل است كه به سه صورت نشان داده مي شود، خواندني، نوشتني و اجرايي.

 
 
 
 

سه بخش ابتدايي مربوط به ، مالك يا دارنده فايل است و سه بخش بعدي مشخصات گروهي است، كه فايل عضو آن مي باشد.

 بخش انتهايي مشخصات خارج از اين دو گروه است.
 

 

 


Limit SYSDBA Login  1.3  

 

همانطوريكهمي*دانيد، تمامي كاربراني كه به صورت *nix بوده و عضو گروه”dba” مي باشند مي*توانند به صورت SYSDBA به پايگاه داده وارد شوند.

sqlplus / as sysdba

اين روش زماني رخ مي دهد كه معمولا كاربران براي راحت كاركردن، كلمه عبور براي كاربر SYS را  مقدار دهي  نمي كنند و اين خود يك خطر محسوب مي شود. هر كاربري كه بتواند به عنوان گروه DBA به پايگاه داده وارد شود، مي تواند با دسترسي و كاربري SYS به پايگاه داده وارد شود.
 

 


 

 

 

 

 

 

 

 

 

 

 

 

 


پروسه كنترل ورود به سيستم توسط پارامتر SQLNET.AUTHENTICATION_SERVICES  كه در فايل SQLNET.ORA وجود دارد تنظيم مي شود. اگر اين بخش داراي مقدار None باشد،  وارد شده اتوماتيك كاربر SYSDBA به پايگاه داده غير فعال مي شود. روش كار به صورت زير مي باشد:

$ORACLE_HOME/network/admin directory.

SQLNET.AUTHENTICATION_SERVICES=(NONE)
 

 


در اين حالت اگر كاربري كه در گروه dba قرار دارد، درخواست ورود به پايگاه داده را داشته باشد:
 


$ sqlplus / as sysdba
 


پيغام زير براي كاربر نمايش داده مي شود:

ERROR:

ORA-01031: insufficient privileges

براي برقراري ارتباط ، مي بايست كلمه عبور SYS را به صورت زير وارد نماييد:

$ sqlplus /nolog

SQL> connect sys/oracle as sysdba

 

 

 

 

 

 

 

 

در خواست هاي خود را براي دريافت فايل اصلي به آدرس  Mahdis@systemgroup.net ارسال نماييد.