亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

【安全】Oracle 安全管理與審計(二)

發布時間:2020-08-09 22:46:08 來源:ITPUB博客 閱讀:268 作者:bluedee9 欄目:關系型數據庫
《Oracle 安全管理與審計(二)》
新年新群招募: 中國Oracle精英聯盟 170513055群介紹:本群是大家的一個技術分享社區,在這里可以領略大師級的技術講座,還有機會參加Oracle舉辦的技術沙龍,與興趣相投的小伙伴一起笑談風云起,感悟職場情!
數據庫版本

SYS@LEO1>select * from v$version;

BANNER

--------------------------------------------------------------------------------

Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production

PL/SQL Release 11.2.0.1.0 - Production

CORE    11.2.0.1.0      Production

TNS for Linux: Version 11.2.0.1.0 - Production

NLSRTL Version 11.2.0.1.0 – Production

操作系統信息

[oracle@leonarding1 admin]$ uname -a

Linux leonarding1.oracle.com 2.6.32-200.13.1.el5uek #1 SMP Wed Jul 27 21:02:33 EDT 2011 x86_64 x86_64 x86_64 GNU/Linux

再談Oracle安全管理

1.上一篇我們聊到《洪興社的Oracle情節之安全管理篇(一)》 http://space.itpub.net/26686207/viewspace-763470

主要介紹了“安全認證” “TDE透明數據加密” “細粒度權限控制”這三個方面的Oracle安全技術。從原理到實踐我們由淺入深分析了技術細節和應用場景,使大家從整體上了解Oracle技術的發展狀態,下面展示一下Oracle安全產品的發展路線

【安全】Oracle 安全管理與審計(二)

下面是Oracle常見安全解決方案

【安全】Oracle 安全管理與審計(二)

本文重點講述內容列表

1.VPN 虛擬私有數據庫訪問控制

2.OLS 標簽安全訪問控制

3.Database vault 數據庫保險箱

4.FGA細粒度審計

5.SYS管理員級審計

什么是重點:Oracle產品的原理并不復雜,關鍵是知道在什么場合下適用什么樣的產品,產品特性,帶來的效果。

 

演示一個VPD進行數據訪問控制的示例

1.什么是VPDVirtual Private Database 虛擬私有數據庫,聽起來像是一個獨立自主的數據庫,其實在邏輯上是獨立的,物理上就是一個數據庫。原理就是通過指定過濾策略,對用戶的SQL添加謂詞條件,來達到過濾數據的目的。

 

2.VPD優點:

精細化訪問

對業務透明,不同的客戶發出相同SQL語句,查詢到的結果集不一樣,可以讓不同客戶只看其相關的數據

對用戶透明,用戶感知不到

不對數據本身做任何操作,只在SQL層面進行過濾處理

VPD是數據庫默認自帶的,無需獨立安裝

 

3.實驗

我們建一張業務表car,有汽車名,汽車數量,汽車價格三個字段,插入9條記錄,分成高中低三個檔次

LEO1@LEO1>create table car (name varchar2(20),num number,cost number);

Table created.

LEO1@LEO1>insert into car values('toyota',10,30);         高級車

1 row created.

LEO1@LEO1>insert into car values('volvo',50,30);

1 row created.

LEO1@LEO1>insert into car values('honda',60,30);

1 row created.

 

LEO1@LEO1>insert into car values('biaozhi',70,20);        中級車

1 row created.

LEO1@LEO1>insert into car values('xuetielong',80,20);

1 row created.

LEO1@LEO1>insert into car values('polo',90,20);

1 row created.

 

LEO1@LEO1>insert into car values('xiali',20,10);          低級車

1 row created.

LEO1@LEO1>insert into car values('jili',30,10);

1 row created.

LEO1@LEO1>insert into car values('byd',40,10);

1 row created.

LEO1@LEO1>commit;

Commit complete.

LEO1@LEO1>select * from car;

NAME                        NUM       COST

-------------------- ---------- -------------------- -------------------- ----------

toyota                       10         30

volvo                        50         30

honda                       60         30

biaozhi                      70         20

xuetielong                   80         20

polo                         90         20

xiali                         20         10

jili                          30         10

byd                         40         10

9 rows selected.

 

我們的思路:car表上添加過濾策略“filter_name”和“filter_num”,當select語句中有name字段時觸發“filter_name”策略,當select語句中有num字段時觸發“filter_num”策略,過濾策略由函數“fun_name”和“fun_num”實現。

 

創建函數“fun_name”

LEO1@LEO1>create or replace function fun_name (fun_scheme  varchar2,fun_object  varchar2)

return varchar2 as fun_cost varchar2(20);

begin

fun_cost:='cost=30';

return(fun_cost);

end fun_name;

/

  2    3    4    5    6    7 

Function created.

 

創建函數“fun_num”

LEO1@LEO1>create or replace function fun_num (fun_scheme varchar2,fun_object varchar2)

return varchar2 as fun_cost varchar2(20);

begin

fun_cost:='cost=10';

return(fun_cost);

end fun_num;

/

  2    3    4    5    6    7 

Function created.

 

添加過濾策略“filter_name”

LEO1@LEO1>begin

dbms_rls.add_policy(

object_schema => 'leo1',

object_name => 'car',

policy_name => 'filter_name',

policy_function => 'fun_name',

sec_relevant_cols => 'name');

end;

/

  2    3    4    5    6    7    8    9 

PL/SQL procedure successfully completed.

 

添加過濾策略“filter_num”

 

LEO1@LEO1>begin

dbms_rls.add_policy(

object_schema => 'leo1',

object_name => 'car',

policy_name => 'filter_num',

policy_function => 'fun_num',

sec_relevant_cols => 'num');

end;

/

 

  2    3    4    5    6    7    8    9 

PL/SQL procedure successfully completed.

 

當我們要查詢汽車名的時候,會觸發filter_name過濾策略,從而調用fun_name函數限制where cost=30的記錄顯示

LEO1@LEO1>select name,cost from car;

NAME                       COST

-------------------- ----------

toyota                       30

volvo                        30

honda                       30

 

當我們要查詢汽車數量的時候,會觸發filter_num過濾策略,從而調用fun_num函數限制where cost=10的記錄顯示

LEO1@LEO1>select num,cost from car;

       NUM       COST

---------- ----------

        20         10

        30         10

        40         10

 

當我們不想使用過濾策略的時候,如何刪除?

 

使用drop_policy存儲過程來刪除,filter_name和filter_num過濾策略

LEO1@LEO1>execute dbms_rls.drop_policy('leo1','car','filter_name');

PL/SQL procedure successfully completed.

 

LEO1@LEO1>execute dbms_rls.drop_policy('leo1','car','filter_num');

PL/SQL procedure successfully completed.

 

LEO1@LEO1>select * from car;

NAME                        NUM       COST

-------------------- ---------- ----------

toyota                       10         30

volvo                        50         30

honda                        60         30

biaozhi                      70         20

xuetielong                   80         20

polo                         90         20

xiali                        20         10

jili                         30         10

byd                          40         10

9 rows selected.

 

利用VPD隱藏敏感列信息

我們設計一個新的“filter_num”策略,只顯示cost=10的記錄,隱藏num列的汽車數量

LEO1@LEO1>begin

dbms_rls.add_policy(

object_schema => 'leo1',

object_name => 'car',

policy_name => 'filter_num',

policy_function => 'fun_num',

sec_relevant_cols => 'num',

sec_relevant_cols_opt => dbms_rls.all_rows);      只顯示相關的行信息

end;

/

  2    3    4    5    6    7    8    9   10 

PL/SQL procedure successfully completed.

 

LEO1@LEO1>select * from car;

NAME                        NUM       COST

-------------------- ---------- ----------

toyota                                   30

volvo                                    30

honda                                   30

biaozhi                                  20

xuetielong                               20

polo                                    20

xiali                         20         10

jili                          30          10

byd                         40          10

9 rows selected.

小結:VPD是一種行級安全控制,操作簡單無需添加任何組件即可實施。

 

演示一個OLS進行數據訪問控制的示例

1.什么是OLSOracle Label Security 甲骨文標簽安全訪問控制,通過創建標簽來過濾結果集,這種方式會修改表結構,會增加一列叫“標簽列”又叫“偽列”,通過給不同的記錄指定不同的標簽,從而達到顯示不同的結果集。OLSVPD功能更強大一些,并且不是數據庫默認自帶的,需要獨立安裝。

 

2.Oracle Label Security的安裝

Oracle 10g 安裝OLS

運行Oracle程序安裝文件

./runInstaller 安裝組件->選擇“Oracle Label Security 10.2.0.1.0

 

Oracle 11g 安裝OLS

11g不需安裝OLS組件,已經安裝好了,只需要啟動就好。

Red Hat Linux

1[oracle@leonarding1 oracle]$ chopt enable lbac                啟動OLS,寫入OLS日志

 

Writing to /u02/app/oracle/product/11.2.0/db_1/install/enable_lbac.log...

%s_unixOSDMakePath% -f /u02/app/oracle/product/11.2.0/db_1/rdbms/lib/ins_rdbms.mk lbac_on

%s_unixOSDMakePath% -f /u02/app/oracle/product/11.2.0/db_1/rdbms/lib/ins_rdbms.mk ioracle

 

2)啟動dbca安裝Oracle Label Security數據庫對象和專屬用戶

[oracle@leonarding1 oracle]$ dbca

【安全】Oracle 安全管理與審計(二)

配置數據庫選項,點擊“下一步”

【安全】Oracle 安全管理與審計(二)

選擇哪個數據庫->LEO1” 點擊“下一步”

【安全】Oracle 安全管理與審計(二)

Oracle Label Security 組件上挑勾,點擊“下一步”

【安全】Oracle 安全管理與審計(二)

這里就出現了不可思議的場景,Oracle Label Security是灰框框,不可打勾,如果這里是白框框那么恭喜你可以成功繼續下一步了。當然沒有安裝上的筒子們也不要氣餒,條條大路通羅馬,請看下面的腳本方法。

 

Oracle Label Security 組件的腳本安裝法

1)我們使用Oracle自帶的OLS安裝腳本來部署OLS組件$ORACLE_HOME/rdbms/admin/catols.sql

[oracle@leonarding1 ~]$ sqlplus / as sysdba

SQL*Plus: Release 11.2.0.1.0 Production on Fri Jun 14 18:57:08 2013

Copyright (c) 1982, 2009, Oracle.  All rights reserved.

Connected to:

Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production

With the Partitioning, OLAP, Data Mining and Real Application Testing options

SYS@LEO1>@?/rdbms/admin/catols.sql

<<<<<<<<<<<<<<省略腳本執行信息>>>>>>>>>>>>>>>

請注意在創建完數據庫對象后會自動關閉數據庫,你需要重新啟動

Database closed.

Database dismounted.

ORACLE instance shut down.

 

2)檢查OLS專屬用戶LBACSYS的狀態,正常安裝腳本后為OPEN,如果是LOCKED,請執行下面解鎖步驟

SYS@LEO1>select username,account_status from dba_users;

。。。。。。省略無用內容。。。。。。

USERNAME                       ACCOUNT_STATUS

------------------------------ --------------------------------

LBACSYS                         OPEN

SYS                             OPEN

SYSTEM                         OPEN

OUTLN                          EXPIRED & LOCKED

MGMT_VIEW                     EXPIRED & LOCKED

33 rows selected.

解鎖并設置密碼,如果要是OPEN狀態,可跳過這一步

alter user lbacsys account unlock;

alter user lbacsys identified by lbacsys;

小結:LBACSYSOLS管理員用戶,安裝OLS之后就會自動創建,如果有鎖請解鎖即可使用。

 

3)檢查LBACSYS用戶中涉及到的數據庫對象信息

LBACSYS用戶中不存在無效的數據庫對象。

SYS@LEO1>select object_type,object_name from dba_objects where owner='LBACSYS' and status='INVALID';

no rows selected

SYS@LEO1>set pagesize 999           設置999行才有一個分界符

SYS@LEO1>select object_type,count(*) from dba_objects where owner='LBACSYS' group by object_type;

OBJECT_TYPE           COUNT(*)

--------------------------------------------------

SEQUENCE                     2

PROCEDURE                    5

LIBRARY                       10

PACKAGE                      24

LOB                           1

PACKAGE BODY                 23

TYPE BODY                     5

TRIGGER                       3

FUNCTION                     35

TABLE                         21

INDEX                        28

VIEW                         57

TYPE                         10

13 rows selected.

這就是Oracle Label Security所使用的數據庫對象,以上我們完成了Oracle Label Security組件的安裝。

4)如何卸載Oracle Label Security組件

有安裝腳本自然就會有卸載腳本,執行catnools.sql腳本就可自動卸載OLS

SYS@LEO1>@?/rdbms/admin/catnools.sql

PL/SQL procedure successfully completed.           刪除存儲過程

 

PL/SQL procedure successfully completed.

 

Trigger dropped.                                刪除觸發器

 

Trigger dropped.

 

Trigger dropped.

 

PL/SQL procedure successfully completed.          

 

PL/SQL procedure successfully completed.

 

User dropped.                                  最后刪除用戶

 

2 rows deleted.

 

Commit complete.

先刪除Oracle Label Security對應的數據庫對象再刪除LBACSYS用戶。

5)如何使用好Oracle Label Security

創建標簽策略

SYS@LEO1>alter user lbacsys identified by lbacsys;      設置密碼

User altered.

 

SYS@LEO1>conn lbacsys/lbacsys                     切換lbacsys用戶

Connected.

 

LBACSYS@LEO1>execute sa_sysdba.create_policy(policy_name => 'ACCESS_LEO1',column_name => 'OLS_COLUMN');

BEGIN sa_sysdba.create_policy(policy_name => 'ACCESS_LEO1',column_name => 'OLS_COLUMN'); END;

 

*

ERROR at line 1:

ORA-00439: feature not enabled: Oracle Label Security

ORA-06512: at "LBACSYS.LBAC_SYSDBA", line 113

ORA-06512: at "LBACSYS.SA_SYSDBA", line 44

ORA-06512: at line 1

####################################################################################################

 

安裝database vault

1)啟動chopt enable dv 服務

2)依賴Oracle Label Security

3)重啟數據庫startup force

4dbca創建數據庫對象

 

啟動chopt enable dv 服務

[oracle@leonarding1 ~]$ chopt enable dv

 

Writing to /u02/app/oracle/product/11.2.0/db_1/install/enable_dv.log...

%s_unixOSDMakePath% -f /u02/app/oracle/product/11.2.0/db_1/rdbms/lib/ins_rdbms.mk dv_on

%s_unixOSDMakePath% -f /u02/app/oracle/product/11.2.0/db_1/rdbms/lib/ins_rdbms.mk ioracle

 

演示一個通過觸發器進行審計的示例。

Car表是一個非常重要的表,記錄了4S店汽車的銷量情況,我們要對操作這個表動作進行審計

LEO1@LEO1>select * from car;

 

NAME                        NUM       COST

-------------------- ---------- ----------

toyota                       10         30

volvo                        50         30

honda                        60         30

biaozhi                      70         20

xuetielong                   80         20

polo                         90         20

xiali                        20         10

jili                         30         10

byd                          40         10

 

9 rows selected.

創建審計表car_audit

LEO1@LEO1>create table car_audit (

name varchar2(20),

num number,

cost number,

uuser varchar2(20),

ddate date);  2    3    4    5    6 

 

Table created.

 

創建審計觸發器

LEO1@LEO1>create trigger trg_car_audit

after insert or delete or update on car

for each row

declare

a_name  varchar2(20);

a_num   number;

a_cost  number;

begin

a_name :=:old.name;

a_num  :=:old.num;

a_cost :=:old.cost;

insert into car_audit values(a_name,a_num,a_cost,user,sysdate);

end;

/

  2    3    4    5    6    7    8    9   10   11   12   13   14 

Trigger created.

刪除記錄

LEO1@LEO1>delete from car where num=100;

1 row deleted.

LEO1@LEO1>commit;

Commit complete.

插入記錄

LEO1@LEO1>insert into car values('kia',100,50);

1 row created.

LEO1@LEO1>commit;

Commit complete.

更新記錄

LEO1@LEO1>update car set num=200 where num=100;

1 row updated.

LEO1@LEO1>commit;

Commit complete.

凡是對car表進行DML操作都會觸發審計觸發器,并在car_audit表中留下審計記錄

LEO1@LEO1>select * from car_audit;

NAME        NUM      COST      UUSER                DDATE

-------------------- ---------- ---------- -------------------- ---------

kia            100       50       LEO1                 15-JUN-13

                                  LEO1                 15-JUN-13

kia            100       50       LEO1                 15-JUN-13

 

分別演示對sys用戶和普通用戶進行審計的示例。

我們在操作數據庫的時候,知道SYS用戶的權限是最大的干什么事很方便,同時帶來的問題就是非常危險,沒有人可以束縛住。因此我們有時需要對SYS用戶進行審計

SYS@LEO1>show parameter audit

NAME                                 TYPE        VALUE

------------------------------------ ----------- ------------------------------

audit_file_dest                      string      /u02/app/oracle/admin/LEO1/adump

audit_sys_operations                 boolean     FALSE        默認SYS用戶審計是關閉的,這個參數是開啟審計SYS用戶所有SQL語句

audit_syslog_level                   string                    默認是關閉的,這個參數指出SYS用戶審計日志的存放位置

audit_trail                          string      DB

SYS@LEO1>alter system set audit_sys_operations=true scope=spfile;         打開SYS用戶審計

 

System altered.

SYS@LEO1>alter system set audit_syslog_level='user.notice' scope=spfile;     用戶日志

 

System altered.

SYS@LEO1>startup force                                          重啟數據庫使靜態參數生效

ORACLE instance started.

 

Total System Global Area  471830528 bytes

Fixed Size                  2214456 bytes

Variable Size             285214152 bytes

Database Buffers          176160768 bytes

Redo Buffers                8241152 bytes

Database mounted.

Database opened.

SYS@LEO1>show parameter audit

 

NAME                                 TYPE        VALUE

------------------------------------ ----------- ------------------------------

audit_file_dest                      string      /u02/app/oracle/admin/LEO1/adump

audit_sys_operations                 boolean     TRUE             審計啟動

audit_syslog_level                   string      USER.NOTICE   

audit_trail                          string      DB

 

設置sys用戶審計日志輸出位置,Linux syslog.conf文件配置了各種類型日志的輸出位置和消息源

我們只需要將Oracle日志輸出配置信息添加到該文件中就可以了

[root@leonarding1 log]# vi /etc/syslog.conf

添加如下信息

# About Oracle SysLog

user.notice                                            /var/log/oracle_dbms

 

添加完之后,我們還要重新加載一下配置信息,syslog.conf文件生效

[root@leonarding1 log]# ps -ef | grep syslogd

root      2385     1  0 Jun14 ?        00:00:01 syslogd -m 0

root     29740 29502  0 17:25 pts/1    00:00:00 grep syslogd

[root@leonarding1 log]# kill -HUP 2385                        重新加載

Ok,操作系統的配置內容完成了。

下面我們來演示一下SYS用戶的審計

SYS@LEO1>create table test as select * from dba_objects;      我們創建一個表

 

Table created.

 

SYS@LEO1>drop table test purge;                          再刪除一個表

 

Table dropped.

 

好了,SYS用戶操作做完了,我們來看看oracle_dbms審計日志中有沒有抓取到SQL語句

[root@leonarding1 log]# cat oracle_dbms

Jun 15 18:08:40 leonarding1 Oracle Audit[29903]: LENGTH : '199' ACTION :[46] 'create table test as select * from dba_objects' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[5] 'pts/3' STATUS:[1] '0' DBID:[10] '1692458681'

Jun 15 18:08:49 leonarding1 Oracle Audit[29903]: LENGTH : '174' ACTION :[21] 'drop table test purge' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[5] 'pts/3' STATUS:[1] '0' DBID:[10] '1692458681'

Good 創建表test和刪除表test的命令都抓取到了,例如 startup  shutdown  connect等操作都是可以抓取到的。

小結:通過上面的測試實例,我們了解到了對數據庫管理員的審計也逐漸成為信息安全中的重要一項,這樣可以對管理員人員進行監督,權限限制,提高數據庫安全級別,完善安全管理制度。這里提及一個問題,為什么SYS用戶的操作記錄需要記錄在操作系統文件中呢,這里就有一個淵源了,由于SYS用戶本身權力就大,大到可以把自己的操作記錄都可以刪除,因此為了節制SYS用戶,就把記錄操作的日志放在了操作系統下面,還不是普通用戶可以訪問的,必須是操作系統管理員才能查看,這下同學們應該知道原委了吧。

 

普通用戶審計的示例

我們既可以對SYS用戶進行審計,那么在平時的時候更多的是對普通用戶的審計,對普通用戶的審計就沒有這么嚴格了,它的審計記錄是可以放在數據庫基表sys.aud$中的,我們可以在數據庫層面上進行查看。

標準審計內容

1)審計會話

2)審計對象

3)審計操作

4)審計授權

實驗

SYS@LEO1>show user

USER is "SYS"

SYS@LEO1>alter system set audit_trail=db,extended scope=spfile;          啟動審計追逐數據庫功能

 

System altered.

 

SYS@LEO1>startup force;                                           重啟數據庫使靜態參數生效

ORACLE instance started.

 

Total System Global Area  471830528 bytes

Fixed Size                  2214456 bytes

Variable Size             285214152 bytes

Database Buffers          176160768 bytes

Redo Buffers                8241152 bytes

Database mounted.

Database opened.

 

我們計劃對leo1用戶的car表進行審計

SYS@LEO1>audit select,insert,update,delete on leo1.car;

 

Audit succeeded.

指定審計對象和審計動作,對select,insert,update,delete這四個操作Oracle都會進行審計。

 

 

插入記錄

LEO1@LEO1> insert into leo1.car values('mini',150,150);

1 row created.

LEO1@LEO1>commit;

Commit complete.

LEO1@LEO1> select * from car;

。。。。。。省略。。。。。。

LEO1@LEO1>select userid,obj$name,sqltext from sys.aud$;

USERID           OBJ$NAME          SQLTEXT

--------------------------------------------------------------------------------------------------------------------------------

LEO1             CAR                select * from car

LEO1             CAR                insert into leo1.car values('mini',150,150)

 

VPD  OLS  db vault  audit  sys用戶

 

劉盛Leonarding
2013.6.16
北京&summer
分享技術~成就夢想
Blog:www.leonarding.com

 

##########################################################################################
如果喜歡我的文章就請掃下面二維碼吧!關注微信號:leonarding_public
在這里你能得到技術、實事、熱點消息等新興事物的思考和觀點,別的地方可能沒有的東西。我將為大家提供最新技術與資訊動態,傳遞正能量。
【安全】Oracle 安全管理與審計(二)

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

黔东| 武安市| 望奎县| 措勤县| 克东县| 凤台县| 九寨沟县| 玉树县| 会东县| 普格县| 三明市| 沽源县| 湄潭县| 滁州市| 上思县| 凌源市| 阳春市| 库伦旗| 浙江省| 宁陕县| 扎兰屯市| 崇仁县| 田林县| 丽江市| 育儿| 淮南市| 瓦房店市| 沧州市| 台南市| 台北市| 洱源县| 铜陵市| 高清| 米易县| 高安市| 凌海市| 乌拉特前旗| 江陵县| 介休市| 柯坪县| 福清市|