Глава методы, средства и механизмы обеспечения безопасности базы

Download 1,7 Mb.

Pdf ko'rish

bet	36/116
Sana	11.06.2022
Hajmi	1,7 Mb.
	#655434
Turi	Реферат

1 ... 32 33 34 35 36 37 38 39 ... 116

Bog'liq
3.Безопасность базы данных

Проведения аудита безопасности баз данных на примере СУБД Oracle.
СУБД Oracle - функционально развитый продукт, и в нем существует
несколько возможностей проведения аудита.
Аудит Oracle может помочь в определении неавторизованного доступа
или внутреннего злоупотребления по отношению к информации
содержащейся в базе данных.
Аудит в Oracle разделен на три части:
•
аудит таких выражений как CREATE TABLE или CREATE
SESSION,
•
аудит привилегий ALTER USER и
•
аудит на объект на объектном уровне SELECT TABLE.
Основная конфигурация.
Записи аудита могут помещаться либо в
аудиторскую таблицу базы данных, либо в аудиторский журнал
операционной системы. Запись аудита в журнал операционной системы в
некоторых случаях более защищена, но эта возможность доступна не для
всех платформ. Аудит включается для записи в базу данных добавлением
следующей строки в файле init.ora.
audit_trail = db
Примеры.
Пример включения аудита для попыток доступа к базе
данных
:
SQL> audit create session;
Audit succeeded.
SQL>
Приведенная команда будет отслеживать доступ всех пользователей,
независимо от того успешен он или нет.
Формат всех команд аудита по документации Oracle выглядит
следующим образом:
audit {statement_option/privilege_option}

115
[by user] [by
{session/access}] [ whenever {successful/unsuccessful}]
Обязательными
являются
только
лишь
statement_option
и
privilege_option части выражения. Другие части являются опционными и их
использование позволяет сделать аудит более специфичным.
Чтобы пользователь мог задать команду аудита, необходимым
условием для него является наличие привилегии «AUDIT SYSTEM». Найти
пользователей, которые имеют эту привилегию, можно выполнив
следующее:
SQL> select *
2 from dba_sys_privs
3 where privilege like '%AUDIT%';
GRANTEE
PRIVILEGE
ADM
-------------------------
-----------------------
CTXSYS
AUDIT ANY
NO
CTXSYS
AUDIT SYSTEM
NO
DBA
AUDIT ANY
YES
DB
AUDIT SYSTEM
YES
IMP_FULL_DATABASE
AUDIT ANY
NO
MDSYS
AUDIT ANY
YES
MDSYS
AUDIT SYSTEM
YES
WKSYS
AUDIT ANY
NO
WKSYS
AUDIT SYSTEM
NO
9 rows selected.
SQL>
Выше приведенные результаты принадлежат базе данных Oracle 9i.
Пользователи по умолчанию MDSYS, CTXSYS и WKSYS были бы неплохой
мишенью для атакующего, так как любые действия аудита могут быть

116
выключены любым из этих пользователей, что бы скрыть любые
предпринятые действия.
Теперь аудит будет отслеживать все попытки доступа, необходимо
подождать, когда какие-нибудь пользователи войдут в систему что бы
выполнить свою работу.
Пример включения аудита для контроля изменений в базе данных.
Для краткости, не все изменения объектов схемы будем отслеживать, в
этом примере. Хотя в принципе, можно отслеживать изменения любых
объектов
БД:
таблиц,
индексов,
кластеров,
представлений,
последовательностей, процедур, триггеров, библиотек и т.д. В этом примере
аудит будет включен на выборочной группе объектов. Настройка аудита
может быть выполнена за два этапа, создание команд аудита и запуск на
исполнение, как показано ниже:
set head off
set feed off
set pages 0
spool aud.lis
select 'audit '//name//';'
from system_privilege_map
where (name like 'CREATE%TABLE%'
or name like 'CREATE%INDEX%'
or name like 'CREATE%CLUSTER%'
or name like 'CREATE%SEQUENCE%'
or name like 'CREATE%PROCEDURE%'
or name like 'CREATE%TRIGGER%'
or name like 'CREATE%LIBRARY%')
union
select 'audit '//name//';'
from system_privilege_map
where (name like 'ALTER%TABLE%'

117
or name like 'ALTER%INDEX%'
or name like 'ALTER%CLUSTER%'
or name like 'ALTER%SEQUENCE%'
or name like 'ALTER%PROCEDURE%'
or name like 'ALTER%TRIGGER%'
or name like 'ALTER%LIBRARY%')
union
select 'audit '//name//';'
from system_privilege_map
where (name like 'DROP%TABLE%'
or name like 'DROP%INDEX%'
or name like 'DROP%CLUSTER%'
or name like 'DROP%SEQUENCE%'
or name like 'DROP%PROCEDURE%'
or name like 'DROP%TRIGGER%'
or name like 'DROP%LIBRARY%')
union
select 'audit '//name//';'
from system_privilege_map
where (name like 'EXECUTE%INDEX%'
or name like 'EXECUTE%PROCEDURE%'
or name like 'EXECUTE%LIBRARY%')
/
spool off
@@aud.lis
Данный скрипт выведет набор команд аудита в спул файл, который
затем запустится для выполнения команд аудита.
После этого базу данных необходимо перезапустить. Простая проверка
покажет, что аудит действительно включен.
SQL> select name,value from v$parameter

118
2 where name like 'audit%';
NAME
VALUE
------------------------------
----------
audit_trail
DB
audit_file_dest
?/rdbms/audit
SQL>
Но контролируемые действия не отслеживаются до тех пор, пока эти
действия не заданы явно; это верно, кроме случаев привилегированного
доступа к базе данных, запуска и останова базы данных, структурных
изменений, таких как добавление файла данных. Эти действия
отслеживаются
в
файле
операционной
системы
в
$ORACLE_HOME/rdbms/audit до тех пор пока audit_file_dest не
переопределено в файле init.ora . В Windows эти события появляются в Event
Viewer.
Для того, что бы проверить наличие того, что какие-нибудь привилегии
или выражения уже используются для аудита следующее:
SQL> select * from dba_stmt_audit_opts
2 union
3 select * from dba_priv_audit_opts;
no rows selected
SQL>
Что бы найти какие объекты уже контролируются аудитом,
необходимо запросить представление dba_obj_audit_opts.

Download 1,7 Mb.

Do'stlaringiz bilan baham:

1 ... 32 33 34 35 36 37 38 39 ... 116