SlideShare ist ein Scribd-Unternehmen logo

Oracle Security 101

Dahui Feng
Dahui Feng

这是我2007年做的一份文档。因为之前分享出来的文件已经找不到了,因而重新上传了一下。 该文档内容有删节,另外,用的时候注意内容的时效性。

TechnologieNews & Politik
1 von 24
Downloaden Sie, um offline zu lesen
Oracle 安全之实践入门篇    冯大辉 (Fenng) 
个人介绍 l  Blog: http://www.dbanotes.net  l  Oracle ACE  l  DBA@支付宝(Alipay.com)  l  IM/Mail: dbanotes@gmail.com  l  Books 
议程  l  我们身边的安全问题  l  发现、收集、侦测  l  安全加固(三板斧)᠋᠌᠍᠎ 1)OS安全加固᠋᠌᠍᠎ 2)Oracle 网络加固᠋᠌᠍᠎ 3)RDBMS 安全加固᠋᠌᠍᠎ N)...  l  其他、更多Oracle安全功能选件  l  演示 
我们身边的数据库安全问题 l  eg: 内部人员通过后门入侵数据库,盗取用户 账户信息。᠋᠌᠍᠎  l  eg: 应用程序错误,暴露数据库配置信息。᠋᠌᠍᠎  l  eg: 数据库管理员监守自盗,盗取客户资料
发现、收集问题 (1) l  Oracle CPU (Critical Patch Update) 跟 踪᠋᠌᠍᠎ Oracle Security Alert ᠋᠌᠍᠎ 首次发布 CPU :2005 年 3 月 15 日 ᠋᠌᠍᠎ 要注意:“不提供除 CPU 或安全警报通告、安装前说明、自述文件和常 见问题解答中所提供信息外的其他具体信息 ” ,也没有“...对产品中的 漏洞开发或发布可利用的入侵代码(或“验证性代码”)”  l  Metalink Hacking /Google hacking/ Yahoo Hacking᠋᠌᠍᠎ eg: http://www.red-database-security.com/wp/ oracle_metalink_hacking_us.pdf 
发现、收集问题 (2) l  内部安全审计、扫描᠋᠌᠍᠎ eg: Nessus ᠋᠌᠍᠎ 面对一个新系统的最好办法: scan ...  l  安全邮件列表 
侦测:Nessus 简介  l  Top 100 Network Security Tools No.1  l  http://www.nessus.org/  l  跨平台  l  非 GPL 版权 (个人用户有免费版本可用)  l  扫描报告示例 ᠋᠌᠍᠎ next pageà 
安全加固 l  策略᠋᠌᠍᠎ 性能、可用性与安全之间的平衡᠋᠌᠍᠎  l  递进式改进᠋᠌᠍᠎ 一蹴而就是不可能的᠋᠌᠍᠎  l  Log, Log, Log᠋᠌᠍᠎ 操作Log、软件Log,有记录可依 
OS 安全加固  l  关闭不必要的端口与服务᠋᠌᠍᠎ eg: snmp  l  文件完整性检验  Tripwire, AIDE, Integrit , AIX Security Expert  l  相关工具:nmap lsof netstat ......  # nmap -sTU localhost  # find / -path /proc -prune -o -type f - perm +6000 –ls  
Oracle 网络安全加固 l  Top 1 Problem: Listener 密码设定᠋᠌᠍᠎ 演示在后面᠋᠌᠍᠎  l  Oracle 10g 新增本地操作系统验证功能  l  Log 设定与审计  l  防火墙 
RDBMS 安全加固  l  最小授权原则᠋᠌᠍᠎ grant resouce to scott ; NO, NO, NO!  l  取消不必要的权限᠋᠌᠍᠎ resouce, unlimited tablespace...create session  l  权限审计᠋᠌᠍᠎ eg: who has dba role ? 
Package 调用溢出权限提升  l  UTL_SMTP  l  UTL_TCP  l  UTL_HTTP  l  DBMS_FLASHBACK  l  DBMS_OBFUSCATION_TOOLKIT  l  DBMS_METADATA  l  DBMS_JOB  l  DBMS_RANDOM  l  更多......关注 Oracle CPU 
避免坏习惯 (1) l  命令行中的密码:$sqlplus scott/tiger ᠋᠌᠍᠎ $ ps –ef |grep sqlplus ᠋᠌᠍᠎ 好的习惯:᠋᠌᠍᠎ sqlplus “/ nolog” ᠋᠌᠍᠎ @connect scott Enter password: *****
避免坏习惯 (2) l  Shell 脚本中存在密码明文᠋᠌᠍᠎ 1) 操作系统验证用户᠋᠌᠍᠎ ᠋᠌᠍᠎ 2) Oracle Password Repository (OPR)᠋᠌᠍᠎ http://sourceforge.net/projects/opr᠋᠌᠍᠎ ᠋᠌᠍᠎ sqlplus -s /NOLOG EOF᠋᠌᠍᠎ connect system/`opr -r foodb system`@foo  l  没有或者不遵守密码策略  l  过度授权᠋᠌᠍᠎ grant resource to scott; NO! 
更为深入的 Oracle 安全选项组件  l  Oracle Audit  l  Fine-Grained Access Control  l  Oracle Database Vault  l  Secure Backup  l  加密与透明数据加密᠋᠌᠍᠎ ᠋᠌᠍᠎ Again: 可用性、安全、性能之间的平衡 
出发角度对比
Oracle Database Vault 的意义 
安全策略 l  安全策略的建立 难点在于执行 l  安全与可用性、性能之间的平衡 具体情况具体分析
Oracle Listener 密码设定演示(1)  l  LSNRCTL change_password  l  Old password:  l  New password:  l  Reenter new password:  l  Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC)))  l  Password changed for listener  l  The command completed successfully  l  LSNRCTL set password  l  Password:  l  The command completed successfully  l  LSNRCTL save_config  l  Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC)))  l  Saved LISTENER configuration parameters.  l  Listener Parameter File /opt/oracle/products/9.2.0/network/admin/listener.ora  l  Old Parameter File /opt/oracle/products/9.2.0/network/admin/listener.bak  l  The command completed successfully  l  LSNRCTL exit 
Oracle Listener 密码设定演示(2)  l  $ lsnrctl status᠋᠌᠍᠎ ᠋᠌᠍᠎ LSNRCTL for IBM/AIX RISC System/6000: Version 9.2.0.6.0 - Production on 07-SEP-2007 18:18:01᠋᠌᠍᠎ Copyright (c) 1991, 2002, Oracle Corporation. All rights reserved.᠋᠌᠍᠎ Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC)))᠋᠌᠍᠎ TNS-01169: The listener has not recognized the password᠋᠌᠍᠎ ᠋᠌᠍᠎ $ cat /opt/oracle/products/9.2.0/network/admin/listener.ora᠋᠌᠍᠎ ᠋᠌᠍᠎ #----ADDED BY TNSLSNR 07-SEP-2007 18:17:54---  PASSWORDS_LISTENER = A072C8903DA55A33  #-------------------------------------------- 
Listener 信息窥探  l  $ ./tnscmd status -h 10.0.0.94 -p 1521 --indent l  sending (CONNECT_DATA=(COMMAND=status)) to 10.0.0.94:1521 l  writing 89 bytes l  reading l  . .......6.........u. .................... l  DESCRIPTION= l  (内容略) l  ALIAS=LISTENER l  SECURITY=OFF l  VERSION=TNSLSNR for IBM/AIX RISC System/6000: Version 9.2.0.6.0 - Production l  START_DATE=25-JUN-2007 13:02:37 l  SIDNUM=1 l  LOGFILE=/opt/oracle/products/9.2.0/network/log/listener.log l  PRMFILE=/opt/oracle/products/9.2.0/network/admin/listener.ora l  TRACING=off l  UPTIME=443684410 l  SNMP=OFF l  PID=221398 l  (内容略) l  SERVICE= l  SERVICE_NAME=test l  INSTANCE= l  INSTANCE_NAME=test l  NUM=1 l  INSTANCE_STATUS=UNKNOWN l  NUMREL=1
资源 l  tnscmd᠋᠌᠍᠎ http://www.jammed.com/~jwa/hacks/security/tnscmd/  l  Metalink Note: 92602.1 ᠋᠌᠍᠎ “How to Password Protect the Listener”  l  Oracle Database Listener Security Guide᠋᠌᠍᠎ http://www.integrigy.com/security-resources/ whitepapers/ Integrigy_Oracle_Listener_TNS_Security.pdf 
QA l  http://www.dbanotes.net 订阅RSS,获取 动态 

Empfohlen

蔡学镛 - 深入浅出符合事件处理
蔡学镛 - 深入浅出符合事件处理蔡学镛 - 深入浅出符合事件处理
蔡学镛 - 深入浅出符合事件处理d0nn9n
 
深入浅出复合事件处理(CEP)
深入浅出复合事件处理(CEP)深入浅出复合事件处理(CEP)
深入浅出复合事件处理(CEP)Dahui Feng
 
从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计mysqlops
 
Html5@taobao
Html5@taobaoHtml5@taobao
Html5@taobaojay li
 
The Rules of Scalable database
The Rules of Scalable databaseThe Rules of Scalable database
The Rules of Scalable databaseDahui Feng
 
垂直互联网站点的技术改造
垂直互联网站点的技术改造垂直互联网站点的技术改造
垂直互联网站点的技术改造Dahui Feng
 
产品设计与用户体验(据说是马化腾用来做培训的PPT)
产品设计与用户体验(据说是马化腾用来做培训的PPT)产品设计与用户体验(据说是马化腾用来做培训的PPT)
产品设计与用户体验(据说是马化腾用来做培训的PPT)Dahui Feng
 
Install Oracle11g For Aix 5 L
Install Oracle11g For Aix 5 LInstall Oracle11g For Aix 5 L
Install Oracle11g For Aix 5 Lheima911
 

Empfohlen

蔡学镛 - 深入浅出符合事件处理
蔡学镛 - 深入浅出符合事件处理蔡学镛 - 深入浅出符合事件处理
蔡学镛 - 深入浅出符合事件处理d0nn9n
 
深入浅出复合事件处理(CEP)
深入浅出复合事件处理(CEP)深入浅出复合事件处理(CEP)
深入浅出复合事件处理(CEP)Dahui Feng
 
从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计mysqlops
 
Html5@taobao
Html5@taobaoHtml5@taobao
Html5@taobaojay li
 
The Rules of Scalable database
The Rules of Scalable databaseThe Rules of Scalable database
The Rules of Scalable databaseDahui Feng
 
垂直互联网站点的技术改造
垂直互联网站点的技术改造垂直互联网站点的技术改造
垂直互联网站点的技术改造Dahui Feng
 
产品设计与用户体验(据说是马化腾用来做培训的PPT)
产品设计与用户体验(据说是马化腾用来做培训的PPT)产品设计与用户体验(据说是马化腾用来做培训的PPT)
产品设计与用户体验(据说是马化腾用来做培训的PPT)Dahui Feng
 
Install Oracle11g For Aix 5 L
Install Oracle11g For Aix 5 LInstall Oracle11g For Aix 5 L
Install Oracle11g For Aix 5 Lheima911
 
2, OCP - installing and creating a database
2, OCP - installing and creating a database2, OCP - installing and creating a database
2, OCP - installing and creating a databaseted-xu
 
Asm+aix
Asm+aixAsm+aix
Asm+aixLouis liu
 
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wangOrclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wangmaclean liu
 
Osc scott linux下的数据库优化for_postgresql
Osc scott linux下的数据库优化for_postgresqlOsc scott linux下的数据库优化for_postgresql
Osc scott linux下的数据库优化for_postgresqlOpenSourceCamp
 
Aix操作系统培训文档
Aix操作系统培训文档Aix操作系统培训文档
Aix操作系统培训文档lwj2012
 
Oraliux+mysql5单机多实例安装文档
Oraliux+mysql5单机多实例安装文档Oraliux+mysql5单机多实例安装文档
Oraliux+mysql5单机多实例安装文档xuebao_zx
 
第11讲 管理Cisco互联网络
第11讲 管理Cisco互联网络第11讲 管理Cisco互联网络
第11讲 管理Cisco互联网络F.l. Yu
 
九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)heima911
 
九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)heima911
 
构建ActionScript游戏服务器,支持超过15000并发连接
构建ActionScript游戏服务器,支持超过15000并发连接 构建ActionScript游戏服务器,支持超过15000并发连接
构建ActionScript游戏服务器,支持超过15000并发连接 Renaun Erickson
 
Erlang游戏开发
Erlang游戏开发Erlang游戏开发
Erlang游戏开发litaocheng
 
unixtoolbox_zh_CN
unixtoolbox_zh_CNunixtoolbox_zh_CN
unixtoolbox_zh_CNwensheng wei
 
Unixtoolbox zh cn
Unixtoolbox zh cnUnixtoolbox zh cn
Unixtoolbox zh cnxdboy2006
 
Deployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnDeployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnahnlabchina
 
4, OCP - oracle networking
4, OCP - oracle networking4, OCP - oracle networking
4, OCP - oracle networkingted-xu
 
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)acqua young
 
Elastic stack day-2
Elastic stack day-2Elastic stack day-2
Elastic stack day-2YI-CHING WU
 
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUGYingSiang Geng
 
Deployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnDeployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnahnlabchina
 
开源应用日志收集系统
开源应用日志收集系统开源应用日志收集系统
开源应用日志收集系统klandor
 
垂直社区的产品改造
垂直社区的产品改造垂直社区的产品改造
垂直社区的产品改造Dahui Feng
 
丁香园用药助手产品经验 「极客公园创新大会」版
丁香园用药助手产品经验 「极客公园创新大会」版丁香园用药助手产品经验 「极客公园创新大会」版
丁香园用药助手产品经验 「极客公园创新大会」版Dahui Feng
 

Weitere ähnliche Inhalte

Ähnlich wie Oracle Security 101

2, OCP - installing and creating a database
2, OCP - installing and creating a database2, OCP - installing and creating a database
2, OCP - installing and creating a databaseted-xu
 
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wangOrclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wangmaclean liu
 
Osc scott linux下的数据库优化for_postgresql
Osc scott linux下的数据库优化for_postgresqlOsc scott linux下的数据库优化for_postgresql
Osc scott linux下的数据库优化for_postgresqlOpenSourceCamp
 
Aix操作系统培训文档
Aix操作系统培训文档Aix操作系统培训文档
Aix操作系统培训文档lwj2012
 
Oraliux+mysql5单机多实例安装文档
Oraliux+mysql5单机多实例安装文档Oraliux+mysql5单机多实例安装文档
Oraliux+mysql5单机多实例安装文档xuebao_zx
 
第11讲 管理Cisco互联网络
第11讲 管理Cisco互联网络第11讲 管理Cisco互联网络
第11讲 管理Cisco互联网络F.l. Yu
 
九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)heima911
 
九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)heima911
 
构建ActionScript游戏服务器,支持超过15000并发连接
构建ActionScript游戏服务器,支持超过15000并发连接 构建ActionScript游戏服务器,支持超过15000并发连接
构建ActionScript游戏服务器,支持超过15000并发连接 Renaun Erickson
 
Erlang游戏开发
Erlang游戏开发Erlang游戏开发
Erlang游戏开发litaocheng
 
Unixtoolbox zh cn
Unixtoolbox zh cnUnixtoolbox zh cn
Unixtoolbox zh cnxdboy2006
 
Deployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnDeployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnahnlabchina
 
4, OCP - oracle networking
4, OCP - oracle networking4, OCP - oracle networking
4, OCP - oracle networkingted-xu
 
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)acqua young
 
Elastic stack day-2
Elastic stack day-2Elastic stack day-2
Elastic stack day-2YI-CHING WU
 
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUGYingSiang Geng
 
Deployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnDeployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnahnlabchina
 
开源应用日志收集系统
开源应用日志收集系统开源应用日志收集系统
开源应用日志收集系统klandor
 

Ähnlich wie Oracle Security 101 (20)

2, OCP - installing and creating a database
2, OCP - installing and creating a database2, OCP - installing and creating a database
2, OCP - installing and creating a database
 
Asm+aix
Asm+aixAsm+aix
Asm+aix
 
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wangOrclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
Orclrecove 1 pd-prm-dul testing for oracle database recovery_20141030_biot_wang
 
Osc scott linux下的数据库优化for_postgresql
Osc scott linux下的数据库优化for_postgresqlOsc scott linux下的数据库优化for_postgresql
Osc scott linux下的数据库优化for_postgresql
 
Aix操作系统培训文档
Aix操作系统培训文档Aix操作系统培训文档
Aix操作系统培训文档
 
Oraliux+mysql5单机多实例安装文档
Oraliux+mysql5单机多实例安装文档Oraliux+mysql5单机多实例安装文档
Oraliux+mysql5单机多实例安装文档
 
第11讲 管理Cisco互联网络
第11讲 管理Cisco互联网络第11讲 管理Cisco互联网络
第11讲 管理Cisco互联网络
 
九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)
 
九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)九州通 Tsm重新配置文档(2008 11 10)
九州通 Tsm重新配置文档(2008 11 10)
 
构建ActionScript游戏服务器,支持超过15000并发连接
构建ActionScript游戏服务器,支持超过15000并发连接 构建ActionScript游戏服务器,支持超过15000并发连接
构建ActionScript游戏服务器,支持超过15000并发连接
 
Erlang游戏开发
Erlang游戏开发Erlang游戏开发
Erlang游戏开发
 
unixtoolbox_zh_CN
unixtoolbox_zh_CNunixtoolbox_zh_CN
unixtoolbox_zh_CN
 
Unixtoolbox zh cn
Unixtoolbox zh cnUnixtoolbox zh cn
Unixtoolbox zh cn
 
Deployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnDeployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cn
 
4, OCP - oracle networking
4, OCP - oracle networking4, OCP - oracle networking
4, OCP - oracle networking
 
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
Install oracle ebs r12.1.1 on OEL5.6 x86(include demo)
 
Elastic stack day-2
Elastic stack day-2Elastic stack day-2
Elastic stack day-2
 
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
 
Deployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnDeployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cn
 
开源应用日志收集系统
开源应用日志收集系统开源应用日志收集系统
开源应用日志收集系统
 

Mehr von Dahui Feng

垂直社区的产品改造
垂直社区的产品改造垂直社区的产品改造
垂直社区的产品改造Dahui Feng
 
丁香园用药助手产品经验 「极客公园创新大会」版
丁香园用药助手产品经验 「极客公园创新大会」版丁香园用药助手产品经验 「极客公园创新大会」版
丁香园用药助手产品经验 「极客公园创新大会」版Dahui Feng
 
Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统
Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统
Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统Dahui Feng
 
据说是新浪内部对腾讯公司的深度解析
据说是新浪内部对腾讯公司的深度解析据说是新浪内部对腾讯公司的深度解析
据说是新浪内部对腾讯公司的深度解析Dahui Feng
 
Linux必备知识与Unix基础文化
Linux必备知识与Unix基础文化Linux必备知识与Unix基础文化
Linux必备知识与Unix基础文化Dahui Feng
 
Database And User Experience for Web Apps
Database And User Experience for Web AppsDatabase And User Experience for Web Apps
Database And User Experience for Web AppsDahui Feng
 
Wind Computing
Wind ComputingWind Computing
Wind ComputingDahui Feng
 
尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)
尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)
尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)Dahui Feng
 
面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立Dahui Feng
 
手机之家新系统介绍及架构分享
手机之家新系统介绍及架构分享手机之家新系统介绍及架构分享
手机之家新系统介绍及架构分享Dahui Feng
 
大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)
大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)
大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)Dahui Feng
 
可扩展的 MySQL 数据库设计
可扩展的 MySQL 数据库设计可扩展的 MySQL 数据库设计
可扩展的 MySQL 数据库设计Dahui Feng
 
可扩展网站架构(for 网志年会)
可扩展网站架构(for 网志年会)可扩展网站架构(for 网志年会)
可扩展网站架构(for 网志年会)Dahui Feng
 

Mehr von Dahui Feng (13)

垂直社区的产品改造
垂直社区的产品改造垂直社区的产品改造
垂直社区的产品改造
 
丁香园用药助手产品经验 「极客公园创新大会」版
丁香园用药助手产品经验 「极客公园创新大会」版丁香园用药助手产品经验 「极客公园创新大会」版
丁香园用药助手产品经验 「极客公园创新大会」版
 
Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统
Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统
Yupoo! (花瓣网/又拍云) 架构中的消息与任务系统
 
据说是新浪内部对腾讯公司的深度解析
据说是新浪内部对腾讯公司的深度解析据说是新浪内部对腾讯公司的深度解析
据说是新浪内部对腾讯公司的深度解析
 
Linux必备知识与Unix基础文化
Linux必备知识与Unix基础文化Linux必备知识与Unix基础文化
Linux必备知识与Unix基础文化
 
Database And User Experience for Web Apps
Database And User Experience for Web AppsDatabase And User Experience for Web Apps
Database And User Experience for Web Apps
 
Wind Computing
Wind ComputingWind Computing
Wind Computing
 
尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)
尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)
尼古丁加咖啡因,不瞌睡的简报設計模式 (Caffeine+Nicotine)
 
面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立
 
手机之家新系统介绍及架构分享
手机之家新系统介绍及架构分享手机之家新系统介绍及架构分享
手机之家新系统介绍及架构分享
 
大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)
大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)
大规模SOA系统中的分布事务处理 (DTP By Alipay Cheng Li)
 
可扩展的 MySQL 数据库设计
可扩展的 MySQL 数据库设计可扩展的 MySQL 数据库设计
可扩展的 MySQL 数据库设计
 
可扩展网站架构(for 网志年会)
可扩展网站架构(for 网志年会)可扩展网站架构(for 网志年会)
可扩展网站架构(for 网志年会)
 

Oracle Security 101

  • 1. Oracle 安全之实践入门篇    冯大辉 (Fenng) 
  • 2. 个人介绍 l  Blog: http://www.dbanotes.net  l  Oracle ACE  l  DBA@支付宝(Alipay.com)  l  IM/Mail: dbanotes@gmail.com  l  Books 
  • 3. 议程  l  我们身边的安全问题  l  发现、收集、侦测  l  安全加固(三板斧)᠋᠌᠍᠎ 1)OS安全加固᠋᠌᠍᠎ 2)Oracle 网络加固᠋᠌᠍᠎ 3)RDBMS 安全加固᠋᠌᠍᠎ N)...  l  其他、更多Oracle安全功能选件  l  演示 
  • 4. 我们身边的数据库安全问题 l  eg: 内部人员通过后门入侵数据库,盗取用户 账户信息。᠋᠌᠍᠎  l  eg: 应用程序错误,暴露数据库配置信息。᠋᠌᠍᠎  l  eg: 数据库管理员监守自盗,盗取客户资料
  • 5. 发现、收集问题 (1) l  Oracle CPU (Critical Patch Update) 跟 踪᠋᠌᠍᠎ Oracle Security Alert ᠋᠌᠍᠎ 首次发布 CPU :2005 年 3 月 15 日 ᠋᠌᠍᠎ 要注意:“不提供除 CPU 或安全警报通告、安装前说明、自述文件和常 见问题解答中所提供信息外的其他具体信息 ” ,也没有“...对产品中的 漏洞开发或发布可利用的入侵代码(或“验证性代码”)”  l  Metalink Hacking /Google hacking/ Yahoo Hacking᠋᠌᠍᠎ eg: http://www.red-database-security.com/wp/ oracle_metalink_hacking_us.pdf 
  • 6. 发现、收集问题 (2) l  内部安全审计、扫描᠋᠌᠍᠎ eg: Nessus ᠋᠌᠍᠎ 面对一个新系统的最好办法: scan ...  l  安全邮件列表 
  • 7. 侦测:Nessus 简介  l  Top 100 Network Security Tools No.1  l  http://www.nessus.org/  l  跨平台  l  非 GPL 版权 (个人用户有免费版本可用)  l  扫描报告示例 ᠋᠌᠍᠎ next pageà 
  • 8.
  • 9. 安全加固 l  策略᠋᠌᠍᠎ 性能、可用性与安全之间的平衡᠋᠌᠍᠎  l  递进式改进᠋᠌᠍᠎ 一蹴而就是不可能的᠋᠌᠍᠎  l  Log, Log, Log᠋᠌᠍᠎ 操作Log、软件Log,有记录可依 
  • 10. OS 安全加固  l  关闭不必要的端口与服务᠋᠌᠍᠎ eg: snmp  l  文件完整性检验  Tripwire, AIDE, Integrit , AIX Security Expert  l  相关工具:nmap lsof netstat ......  # nmap -sTU localhost  # find / -path /proc -prune -o -type f - perm +6000 –ls  
  • 11. Oracle 网络安全加固 l  Top 1 Problem: Listener 密码设定᠋᠌᠍᠎ 演示在后面᠋᠌᠍᠎  l  Oracle 10g 新增本地操作系统验证功能  l  Log 设定与审计  l  防火墙 
  • 12. RDBMS 安全加固  l  最小授权原则᠋᠌᠍᠎ grant resouce to scott ; NO, NO, NO!  l  取消不必要的权限᠋᠌᠍᠎ resouce, unlimited tablespace...create session  l  权限审计᠋᠌᠍᠎ eg: who has dba role ? 
  • 13. Package 调用溢出权限提升  l  UTL_SMTP  l  UTL_TCP  l  UTL_HTTP  l  DBMS_FLASHBACK  l  DBMS_OBFUSCATION_TOOLKIT  l  DBMS_METADATA  l  DBMS_JOB  l  DBMS_RANDOM  l  更多......关注 Oracle CPU 
  • 14. 避免坏习惯 (1) l  命令行中的密码:$sqlplus scott/tiger ᠋᠌᠍᠎ $ ps –ef |grep sqlplus ᠋᠌᠍᠎ 好的习惯:᠋᠌᠍᠎ sqlplus “/ nolog” ᠋᠌᠍᠎ @connect scott Enter password: *****
  • 15. 避免坏习惯 (2) l  Shell 脚本中存在密码明文᠋᠌᠍᠎ 1) 操作系统验证用户᠋᠌᠍᠎ ᠋᠌᠍᠎ 2) Oracle Password Repository (OPR)᠋᠌᠍᠎ http://sourceforge.net/projects/opr᠋᠌᠍᠎ ᠋᠌᠍᠎ sqlplus -s /NOLOG EOF᠋᠌᠍᠎ connect system/`opr -r foodb system`@foo  l  没有或者不遵守密码策略  l  过度授权᠋᠌᠍᠎ grant resource to scott; NO! 
  • 16. 更为深入的 Oracle 安全选项组件  l  Oracle Audit  l  Fine-Grained Access Control  l  Oracle Database Vault  l  Secure Backup  l  加密与透明数据加密᠋᠌᠍᠎ ᠋᠌᠍᠎ Again: 可用性、安全、性能之间的平衡 
  • 18. Oracle Database Vault 的意义 
  • 19. 安全策略 l  安全策略的建立 难点在于执行 l  安全与可用性、性能之间的平衡 具体情况具体分析
  • 20. Oracle Listener 密码设定演示(1)  l  LSNRCTL change_password  l  Old password:  l  New password:  l  Reenter new password:  l  Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC)))  l  Password changed for listener  l  The command completed successfully  l  LSNRCTL set password  l  Password:  l  The command completed successfully  l  LSNRCTL save_config  l  Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC)))  l  Saved LISTENER configuration parameters.  l  Listener Parameter File /opt/oracle/products/9.2.0/network/admin/listener.ora  l  Old Parameter File /opt/oracle/products/9.2.0/network/admin/listener.bak  l  The command completed successfully  l  LSNRCTL exit 
  • 21. Oracle Listener 密码设定演示(2)  l  $ lsnrctl status᠋᠌᠍᠎ ᠋᠌᠍᠎ LSNRCTL for IBM/AIX RISC System/6000: Version 9.2.0.6.0 - Production on 07-SEP-2007 18:18:01᠋᠌᠍᠎ Copyright (c) 1991, 2002, Oracle Corporation. All rights reserved.᠋᠌᠍᠎ Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC)))᠋᠌᠍᠎ TNS-01169: The listener has not recognized the password᠋᠌᠍᠎ ᠋᠌᠍᠎ $ cat /opt/oracle/products/9.2.0/network/admin/listener.ora᠋᠌᠍᠎ ᠋᠌᠍᠎ #----ADDED BY TNSLSNR 07-SEP-2007 18:17:54---  PASSWORDS_LISTENER = A072C8903DA55A33  #-------------------------------------------- 
  • 22. Listener 信息窥探  l  $ ./tnscmd status -h 10.0.0.94 -p 1521 --indent l  sending (CONNECT_DATA=(COMMAND=status)) to 10.0.0.94:1521 l  writing 89 bytes l  reading l  . .......6.........u. .................... l  DESCRIPTION= l  (内容略) l  ALIAS=LISTENER l  SECURITY=OFF l  VERSION=TNSLSNR for IBM/AIX RISC System/6000: Version 9.2.0.6.0 - Production l  START_DATE=25-JUN-2007 13:02:37 l  SIDNUM=1 l  LOGFILE=/opt/oracle/products/9.2.0/network/log/listener.log l  PRMFILE=/opt/oracle/products/9.2.0/network/admin/listener.ora l  TRACING=off l  UPTIME=443684410 l  SNMP=OFF l  PID=221398 l  (内容略) l  SERVICE= l  SERVICE_NAME=test l  INSTANCE= l  INSTANCE_NAME=test l  NUM=1 l  INSTANCE_STATUS=UNKNOWN l  NUMREL=1
  • 23. 资源 l  tnscmd᠋᠌᠍᠎ http://www.jammed.com/~jwa/hacks/security/tnscmd/  l  Metalink Note: 92602.1 ᠋᠌᠍᠎ “How to Password Protect the Listener”  l  Oracle Database Listener Security Guide᠋᠌᠍᠎ http://www.integrigy.com/security-resources/ whitepapers/ Integrigy_Oracle_Listener_TNS_Security.pdf 
  • 24. QA l  http://www.dbanotes.net 订阅RSS,获取 动态