Essential Oracle Security Internal For DBA(V1.01)

Slides:

Advertisements

Similar presentations

第二章简单的 SQL 语句. 本章要点  创建一个简单的表  SQL 语句介绍  最简单的查询语句 select  带有限制条件的查询  查询结果的排序显示.

Advertisements

作業一 : USING DBMS ( 使用 DB2 及 SQL 基本練習 ) 報告人：學生楊群期學號：課程 : 高等資料庫講師 : 楊維邦教授.

2010 年 6 月课件制作人：王亚楠 1 模块 2 项目开发概论教学课件年 6 月课件制作人：王亚楠 2 目录目标了解：数据库技术的基本概念与结构理解：数据模型的分类与结构组成掌握：关系数据库及 SQL 的基本理论知识掌握：数据库设计的方法与步骤内容 2.1 数据库技术基础.

Java 技术与应用数据库应用 ( 第 14 章 ) 西安交大卫颜俊 2008 年 12 月电子信箱： QQ: 网站 : /java.

第 7 章数据库 1. Overview  数据库概述  数据库管理系统  数据库的体系结构和数据库模型  SQL 语言  数据库技术  构建数据库系统 2.

《 ORACLE 》计算机技术与软件工程学院胡斌学习情境 6 系统安全管理（ 8 学时）按照系统的职能范围不同，可将Oracle的安全体系结构分成三个部分；（1）数据库内部的管理：主要包括用户标识/口令；角色与权限等。（2）资源管理：主要通过系统概要文件限制连接会话等。（ 3.

第2章資料庫系統 2-1 資料庫環境的四大組成元件 2-2 ANSI/SPARC的三層資料庫系統架構

第5章关系数据库标准语言SQL 主讲：张丽芳.

6 Copyright © Oracle Corporation, All rights reserved. 维护控制文件.

OceanBase 0.4：从API到SQL 日照

第14章預存程序 14-1 預存程序的基礎 14-2 建立與執行預存程序 14-3 預存程序的參數傳遞 14-4 預存程序的傳回值

第4章关系数据库标准语言SQL 4.1 SQL语言概述 4.2 SQL数据查询功能 4.3 SQL数据操作功能 4.4 SQL数据定义功能.

資料庫 (Database) SQL Server 2008實作

第3章 SQL的基础知识数据库管理及应用 3.1 SQL简介 3.2 SQL的数据模型 3.3 标识符 3.4 使用SQL语句管理数据库

数据库概述简而言之，数据库（DataBase）就是一个存储数据的仓库。为了方便数据的存储和管理，它将数据按照特定的规律存储在磁盘上。通过数据库管理系统，可以有效的组织和管理存储在数据库中的数据。如今，已经存在了Oracle、SQL Server、MySQL等诸多优秀的数据库。在这一章中将讲解的内容包括。

数据库原理及设计 --作业.

MySQL 使用者名稱：USERNAME (上限16個字元)

MySQL資料庫安全管理.

第八章資料庫安全本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

第4讲 MySQL服务器的配置与应用.

第6章資料庫管理系統 6-1 關聯式資料庫管理系統 6-2 SQL Server資料庫管理系統

資料庫設計 Database Design.

Oracle数据库 Oracle 子程序.

PL/SQL程序设计过程, 函数 Trigger 对象关系数据库技术.

An Introduction to Database System

主机DB2数据库应用与编程任课老师：王湖南四川大学计算机（软件）学院.

第7章建立資料表與完整性限制條件 7-1 資料型別 7-2 資料表的建立 7-3 建立完整性限制條件 7-4 修改與刪除資料表

在PHP和MYSQL中实现完美的中文显示

J2EE与中间件技术 ——Lab.

第十五章常見的資料庫管理系統目的 Oracle 微軟SQL Server 微軟Access MySQL Oracle 應用伺服器

第四章：触发器触发器类似于过程、函数，因为它们都是拥有说明部分、语句执行部分和异常处理部分的有名的PL/SQL块。与包类似，触发器必须存储在数据库中，并且不能被块进行本地化说明。但是，对于过程而言，可以从另一个块中通过过程调用显式地执行一个过程，同时在调用时可以传递参数。对于触发器而言，当触发事件发生时就会显式地执行该触发器，并且触发器不接受参数。

課程名稱：資料庫系統授課老師：李春雄博士

Essential Oracle Security Internal For DBA(V1.0)

第十一章資料庫設計與權限設定.

二.資料庫系統建立與管理 Access 資料庫:windows下的單機資料庫 Access 操作 Mysql資料庫介紹.

Chap 10 SQL定義、操作與控制指令.

資料庫安全 (Database Security)

数据库实验指导(一)

第16讲数据库系统的增强安全性第7章：数据库系统的增强安全性.

Transact-SQL 語言設計教學.

SQL Server 2000 数据库入门.

課程名稱：資料庫系統授課老師：李春雄博士

課程名稱：資料庫系統授課老師：李春雄博士

第3章 MySQL教學範本主從式資料庫系統 - CH3.

第5章資料倉儲的資料建置.

第三章：包包(package)是一个可以将相关对象存储在一起的PL/SQL结构。包包含了两个分离的部件------包说明(specification)和包主体(body)。每个部件都单独被存储在数据字典中。包只能存储在数据库中，不能是本地的。除了可以将相关对象作为一组存在一起以外，包也是十分有用的，因为它们在依赖性方面的限制是比较小的。也有许多性能上的优点。

实验4:PL-SQL编程 1.实验目的 2.实验原理 PL/SQL是一种过程化语言,属于第三代语言,本实验在与熟悉使用PL/SQL编程.

資料庫系統導論.

第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库数据库中数据的组织由低到高分为四级：字段、记录、表、数据库四种。

Ch4.SQL Server 2005資料庫組成員元件介紹

第4章(1) 空间数据库 —数据库理论基础北京建筑工程学院王文宇.

軟體工程:如何開發軟體? 把它看成是一件工程。那麼就會有一些工具、技術、方法，也有管理的議題。

数据库应用技术 SQL Server 2005.

第20章 MySQL数据库.

数据库技术与应用.

ORACLE 第九讲触发器.

Microsoft TechNet 技術講座--資料庫技術升級系列三精誠公司恆逸資訊楊先民

An Introduction to Database System

CS, ZJU 4/18/2019 Chapter 7 数据库.

3.2 Mysql 命令行 1 查看数据库 SHOW DATABASES; 2 创建一个数据库test1 CREATE DATABASE test1; 3 选择你所创建的数据库 USE test1; (按回车键出现Database changed 时说明操作成功！) 4 查看现在的数据库中存在什么表.

從 ER 到 Logical Schema ──兼談Schema Integration

OceanBase 0.4：从API到SQL 日照

VB与Access数据库的连接.

第六類資料庫備份與回復.

Oracle Database 10g基础教程清华大学出版社

Visual Basic程序设计第13章访问数据库

11 檢視表的建立 11-1 檢視表的基礎 11-2 建立檢視表 11-3 修改與刪除檢視表 11-4 編輯檢視表的內容.

VB与Access数据库的连接.

数据库应用技术天津电大翟迎建.

Presentation transcript:

Essential Oracle Security Internal For DBA(V1.01) 刘相兵(Maclean Liu) liu.maclean@gmail.com www.askmaclean.com

个人介绍刘相兵（Maclean） IOUG，ACOUG用户组成员 Oracle 10g & 11g OCM 国内高级Oracle在线交流论坛 Ask Maclean创始人云和恩墨技术专家 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

章节介绍基础身份验证访问控制对象级别的安全控制数据级别的安全(RLS/VPD) Audit审计记录用户行为 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

介绍 www.askmaclean.com www.askmaclean.com www.askmaclean.com

介绍数据库安全实现控制允许或禁止Oracle DB中的用户行为(user action)，包括其中的对象通过以下实现：登录身份验证(Authentication)，连接到数据库访问控制，访问模式对象和数据(access control) 审计，记录用户行为(audit) www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

基础身份验证 www.askmaclean.com www.askmaclean.com www.askmaclean.com

基础身份验证数据库管理员(以SYSDBA/SYSOPER)身份在DB之外被身份验证操作系统身份验证密码文件身份验证举例来说 sqlplus “/ as sysdba” 登录，OS用户在Unix上为DBA组用户，在 Windows上是ORADBA组用户普通数据库用户只能在数据库启动(alter database open)后身份验证并等登录也可以采用OS 身份验证例如: create user maclean identified externally . www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

基础身份验证数据库身份认证例如： create user maclean identified by oracle; 可以通过数据字典视图来查看用户信息 DBA_USERS 描述数据库中所有的用户user信息 ALL_USERS 列出当前用户可见的用户列表，但不描述详细信息 USER_TS_QUOTAS 描述数据库用户的表空间份额 V$SESSION 列出当前已连接的session会话信息，包含用户名 V$PWFILE_USERS 列出password file中记录的，被赋予 sysdba/sysoper权限的用户 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

访问控制 www.askmaclean.com www.askmaclean.com www.askmaclean.com

访问控制对象级别的安全（最小权限原则）通过对象权限通过角色数据级别的安全(细粒度访问控制) -通过RLS(Row Level Security) www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制 www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制将自身拥有对象的权限显示地授权给其他用户，包括查询和修改数据举例来说： CONN MACLEAN/ORACLE GRANT SELECT ON wallet to hanna; 角色(roles)是一组已被命名的权限，可以直接授权给用户或者其他角色: 举例来说： CREATE ROLE developer; GRANT SELECT ON wallet1 to developer; GRANT INSERT ON wallet1 to developer; GRANT role1 to hanna; www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制内核函数Kzpchkbu()负责完成为给定用户检查某个对象上权限的任务。该函数可能被多种路径调用，以检查对象上的必要权限。大致的算法如下： If 检查需要被授权的用户是否对象的拥有者若是，则返回授权验证成功(表示不需要做权限检查) Else 该对象权限是否被授予了 PUBLIC 若是，则返回授权验证成功 Else 检查该用户是否被显示地授予了该对象权限或角色 Else 检查该用户是否被显示地授予了对应的系统权限否则报错，ORA-01031,ORA-00942 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制 SQL> alter system set events '942 trace name errorstack level 3'; System altered. SQL> conn maclean/oracle Connected. SQL> select * from sys.obj$; select * from sys.obj$ * ERROR at line 1: ORA-00942: table or view does not exist www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制 Kzpchkbu对象权限检测实际触发了ORA-00942错误 www.askmaclean.com

对象级别的安全控制 SQL> alter system set events '1031 trace name errorstack level 3'; System altered. SQL> grant select on scott.emp to maclean; Grant succeeded. SQL> conn maclean/oracle Connected. SQL> update scott.emp set comm=1; update scott.emp set comm=1 * ERROR at line 1: ORA-01031: insufficient privileges www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制 www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制普通用户访问 SYS schema下的对象？ (越来越困难！) 从9i开始，’ANY’权限无法访问SYS用户对象默认O7_DICTIONARY_ACCESSIBILITY=false ，设置为TRUE可以让’ANY’权限访问SYS对象否则普通用户必须显示地拥有SYS对象的权限。 SQL> create user maclean_priv identified by oracle; User created. SQL> grant connect ,select any table to maclean_priv; Grant succeeded. SQL> conn maclean_priv/oracle Connected. SQL> select count(*) from sys.obj$; select count(*) from sys.obj$ * ERROR at line 1: ORA-00942: table or view does not exist SQL> alter system set O7_DICTIONARY_ACCESSIBILITY=TRUE scope=spfile; System altered. Reboot instance COUNT(*) ---------- 52140 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

对象级别的安全控制常用数据字典视图，帮助了解对象和系统权限的信息： - DBA_SYS_PRIVS describes system privileges granted to users and roles (USER_SYS_PRIVS for connected user). - SESSION_PRIVS lists the privileges that are currently available to the user. - SESSION_ROLES lists the roles that are currently enabled to the user. - DBA_TAB_PRIVS describes all object grants in the database. (USER_TAB_PRIVS for connected user). www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全控制 www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全(RLS/VPD) Virtual Private Database(VPD)有时候也叫做Fine Grained Access Control (FGAC)，亦即Row Level Security (RLS)，在 Oracle 8i中被引入；由于该特性是基于实际的数据内容而非数据库对象，因此被叫做RLS。仅在discretionary access control (DAC) 满足的情况下RLS生效，例如 user1尝试访问user2所拥有的存在RLS policy的表，前提是在user2的表上有SELECT权限其内部工作原理是透明地将SQL语句修改成基于预定义准则的临时视图。在运行时，谓词会被附加到原查询上以便过滤查询所能看到的数据 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全(RLS/VPD) 通过Oracle提供的标准 DBMS_RLS Package的过程来将表/视图/同义词等对象和策略关联起来 RLS策略包含一个PL/SQL函数以返回谓词串，这个谓词串会被在语句被执行前被加入到查询条件中例如： CONNECT scott/tiger create table t1 (c1 int); insert into t1 values (10); insert into t1 values (20); insert into t1 values (30); commit; www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全(RLS/VPD) CREATE OR REPLACE FUNCTION func1 (schema_name VARCHAR2, table_name VARCHAR2) RETURN VARCHAR2 IS BEGIN RETURN 'c1 = 10'; END; / SQL> EXEC DBMS_RLS.ADD_POLICY ('scott','t1','pol1','scott','func1'); PL/SQL procedure successfully completed. SQL> select * from t1; C1 ---------- 10 SQL> alter session set events '10046 trace name context forever,level 8'; Session altered. SQL> SQL> alter system flush shared_pool; System altered. SQL> / SQL> select * from t1; C1 ---------- 10 10046 trace: select * from t1 begin :con := FUNC1(:sn, :on); end; 10053 trace: sql_id=cvta8kmh9uc3z. Current SQL statement for this session: select * from scott.t1 ============ Plan Table -------------------------------------+-----------------------------------+ | Id | Operation | Name | Rows | Bytes | Cost | Time | | 0 | SELECT STATEMENT | | | | 3 | | | 1 | TABLE ACCESS FULL | T1 | 1 | 2 | 3 | 00:00:01 | Predicate Information: ---------------------- 1 - filter("C1"=10) www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全(RLS/VPD) 内核函数kzrtevw()完成为存在RLS policy的表/视图/同义词创建临时视图的工作在语义解析阶段，从数据字典层kkmfcblo()调用kzrtevw() 一个查询语句” select * from maclean” 在语义解析阶段被装换为 Select * from (select * from maclean where t1=10); ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^  临时视图 kzrtevw()生成的临时视图会再次被硬解析hard parse www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全(RLS/VPD) 若存在参考完整性约束例如一张启用了RLS Policy的子表上有外键约束，RLS机制会检查相关的父表上是否有RLS Policy以判断是否真的可以从父表上读取数据以验证约束。这通过内核函数kzrtppg() 完成，若无法从父表读取到数据，则报错ORA-28117。 [oracle@vrh8 ~]$ oerr ora 28117 28117, 00000, "integrity constraint violated - parent record not found" // *Cause: try to update/insert a child record with new foreign key // values, but the corresponding parent row is not visible // because of fine-grained security in the parent. // *Action: make sure that the updated foreign key values must also visible in the parent o Errors in alert.log file: ORA-07445: exception encountered: core dump [] [] [] [] [] [] o INSERT or UPDATE statements uses Foreign Key/Primary Key enforcement. o The FK / PK enforcement is protected by OLS policies. o kzrtppg exists in the call stack printed in the trace file indicating that a Foreign Key Table is accessing a Parent table with an OLS Policy on it. A call stack example is: kzrtppg kglsscn kqlsscn kkmfcblo kkmpfcbk qcsprfro qcspafq qcspqb kkmdrv opiSem opiprs kksald Cause The Foreign Key/Primary Key reinforcement is protected by an OLS Policy on the Primary Key column that prevents the Foreign Key column from reading the Primary Key column. @ It can be caused by bug:4620832 Solution To implement the solution, please execute the following steps: 1.Enable OLS so that the FKs can select from the primary key. 2.Do not use OLS @ 3. Look for a solution of bug:4620832. A workaround for this bug is to pin the insert or update cursor @ using dbms_shared_pool.keep www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

数据级别的安全(RLS/VPD) SYS对任何行级安全策略(RLS)均享有豁免权可以通过系统权限 “EXEMPT ACCESS POLICY”让普通用户也对RLS Policy豁免 RLS policies相关的一些有用字典视图： ALL_POLICIES describes the security policies on the synonyms, tables, and views accessible to the current user. DBA_POLICIES describes all security policies in the database. USER_POLICIES describes the security policies on the synonyms, tables, and views owned by the current user. www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

审计 www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为在部署安全措施后仍有发生恶意数据库行为的可能性审计和记录用户行为可以发现各种可疑的或伪装的恶意行为有助于进一步加强安全措施 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为 Audit审计的种类强制审计：为每一次实例启动写出审计记录到OS文件，shutdown以及权限登录的记录存放在$ORACLE_HOME/rdbms/audit 目录下(注意定期清理哦，亲！) SYS审计:记录SYSDBA/SYSOPER等权限用户的操作，审计记录存放在OS 文件，SYSLOG中。标准审计：记录用户针对数据库对象、语句、权限级别的行为。审计记录可以存放在OS文件、XML文件或数据库中(AUD$基表) 对象级别审计权限级别审计语句级别审计细粒度控制：基于用户访问的数据记录用户行为。审计记录存放在数据库内(FGA_LOG$)或者XML文件中。 [oracle@vrh8 adump]$ cat g10r25_ora_3630_1.aud Audit file /s01/admin/G10R25/adump/g10r25_ora_3630_1.aud Oracle Database 10g Enterprise Edition Release 10.2.0.5.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options ORACLE_HOME = /s01/oracle/product/10.2.0.5/db_1 System name: Linux Node name: vrh8.oracle.com Release: 2.6.32-200.13.1.el5uek Version: #1 SMP Wed Jul 27 21:02:33 EDT 2011 Machine: x86_64 Instance name: G10R25 Redo thread mounted by this instance: 1 Oracle process number: 18 Unix process pid: 3630, image: oracle@vrh8.oracle.com (TNS V1-V3) Sat Jul 7 02:26:52 2012 LENGTH : '160' ACTION :[7] 'CONNECT' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[5] 'pts/0' STATUS:[1] '0' DBID:[10] '2652277393' www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为 www.askmaclean.com www.askmaclean.com www.askmaclean.com 示例审计文件: Audit file /s01/admin/G10R25/adump/g10r25_ora_3724_1.aud Oracle Database 10g Enterprise Edition Release 10.2.0.5.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options ORACLE_HOME = /s01/oracle/product/10.2.0.5/db_1 System name: Linux Node name: vrh8.oracle.com Release: 2.6.32-200.13.1.el5uek Version: #1 SMP Wed Jul 27 21:02:33 EDT 2011 Machine: x86_64 Instance name: G10R25 Redo thread mounted by this instance: 1 Oracle process number: 15 Unix process pid: 3724, image: oracle@vrh8.oracle.com (TNS V1-V3) Sat Jul 7 02:29:41 2012 LENGTH : '160' ACTION :[7] 'CONNECT' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[5] 'pts/0' STATUS:[1] '0' DBID:[10] '2652277393' Sat Jul 7 02:29:42 2012 LENGTH : '173' ACTION :[19] 'ALTER DATABASE OPEN' Sat Jul 7 02:29:46 2012 LENGTH : '172' ACTION :[18] 'select * from dual' www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为内核函数Kzasydmp()为强制的SYSDBA/SYSOPER审计写出审计记录到OS 文件、SYSLOG或者XML文件在windows系统上，打印审计记录到EventLog(DB_User, OS_Privilege, Client_User, Client_Termninal, Status, SQL_Text) 在Unix平台上若设置了AUDIT_SYSLOG_LEVEL，审计记录发送给syslog这个后台服务否则生成一个审计文件<program_code>_<OS_processid>.aud www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为对象级别的审计例如： AUDIT SELECT ON MACLEAN.TEST; 语句级别的审计例如：AUDIT CREATE TABLE BY MACLEAN; 权限级别的审计例如：AUDIT SELECT ANY TABLE BY MACLEAN; www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为部分标准审计选项： AUDIT BY SESSION—针对用户和会话例如:AUDIT SELECT ON MACLEAN.TAB BY SESSION; AUDIT BY ACCESS—针对每一个可审计的操作例如： AUDIT SELECT ON MACLEAN.TAB BY ACCESS; AUDIT WHENEVER SUCCESSFUL—仅审计执行成功的操作例如： AUDIT CONNECT WHENEVER SUCCESSFUL; Audit WHENEVER NOT SUCCESSFUL—仅审计执行失败的操作例如： AUDIT CONNECT WHENEVER NOT SUCCESSFUL www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为细粒度审计Fine Grained Auditing (FGA) FGA 策略通过DBMS_FGA包与表/视图/同义词关联起来例如：begin DBMS_FGA.ADD_POLICY(object_schema => 'scott', object_name => 'emp', policy_name => 'mypolicy1', audit_condition => 'sal < 100', audit_column => 'comm,sal', handler_schema => NULL, handler_module => NULL, enable => TRUE, statement_types => 'INSERT, UPDATE', audit_trail => DBMS_FGA.XML + DBMS_FGA.EXTENDED, audit_column_opts => DBMS_FGA.ANY_COLUMNS); end; www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为标准审计： audsucc()/audfail()是审计的主要入口，针对成功/不成功的审计操作会进一步调用auddft() 例如 maclean用户下的test表为成功操作审计 … -> opiexe() -> audsucc() -> auddft() -> audsel() -> audfro() … auddft()判断行为代码决定合适的审计路径 audsel()调用audfro()，记录审计链上的信息 audfro()首先设置已使用的对象权限，进一步检查该对象相关的审计选项，例如到底这个对象是audit by access 还是by session。 By access 调用audins()， By session调用audses() Audit cleanup is implicit in audsucc, but audsucc is never called. www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Audit审计记录用户行为启动审计必要的Init.ora实例初始化参数 AUDIT_TRAIL = { none | os | db | db,extended | xml | xml,extended }. AUDIT_SYS_OPERATIONS Oracle 9i以后版本中通过设置该参数为TURE可以记录不限于CONNECT,STARTUP,SHUTDOWN的以 SYSDBA或SYSOPER进行的操作。 AUDIT_FILE_DEST 指定审计目录(默认为$ORACLE_BASE/admin/$SID/adump) 一些有用的字典视图： DBA_AUDIT_POLICIES – Lists FGA policies in the database. DBA_AUDIT_TRAIL – Lists all audit trail entries. DBA_AUDIT_OBJECT - Lists audit trail records for all objects in the database. DBA_FGA_AUDIT_TRAIL - Lists all audit records for fine-grained auditing. DBA_COMMON_AUDIT_TRAIL - Lists all standard and fine-grained audit trail entries, mandatory and SYS audit records written in XML format. 数据库中由SYS用户或其他管理员用户所作的操作均可以被审计且记录到由root用户拥有的系统级日志中。这样就可以避免有人使用Oracle的 OS账户修改普通审计日志删除相关操作信息。启用(AUDIT_TRAIL=OS)在Oracle审计目录中记录日志或启用（AUDIT_TRAIL=DB）在数据库中记录审计信息都是不妥当的，显然DBA总是可以修改它们。通过UNIX系统级的日志组件来进行审计对防止黑客侵入和“内鬼“捣乱都很有效。结合UNIX中的SYSLOG组件记录审计信息是Oracle 10g的一个新特性。该组件包括一个守护进程(daemon)名叫syslogd（你可以通过man syslogd查询其相关手册），该进程用以接受由应用程序调用syslog的C函数库所发送的日志信息。Syslogd服务(service)的配置文件一般是/etc/syslog.conf，日志信息一般被记录在/var/log或/var/adm视乎不同的UNIX发行版本。日志文件名由相关组件名，重要性和级别组成。在/etc/syslog.conf每条记录为特定的组件与重要性指定文件名。在该配置文件中加入记录：user.notice /var/log/oracle_dbms,并使syslogd进程重启，接下来修改Oracle 参数 AUDIT_SYSLOG_LEVEL=user.notice，则相关的审计记录将出现在文件/var/log/oracle_dbms中。在UNIX系统上，以SYSDBA或SYSOPER权限进行的CONNECT,STARTUP与SHUTDOWN操作均会被无条件地记录到$ORACLE_HOME/rdbms/audit或AUDIT_FILE_DEST指定的目录中，并使用扩展名为.aud。 Oracle 9i以后版本中通过设置AUDIT_SYS_OPERATIONS=TURE可以记录不限于CONNECT,STARTUP,SHUTDOWN的以 SYSDBA或SYSOPER进行的操作。 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

Questions& Answers 。。。。 www.askmaclean.com www.askmaclean.com 数据库中由SYS用户或其他管理员用户所作的操作均可以被审计且记录到由root用户拥有的系统级日志中。这样就可以避免有人使用Oracle的 OS账户修改普通审计日志删除相关操作信息。启用(AUDIT_TRAIL=OS)在Oracle审计目录中记录日志或启用（AUDIT_TRAIL=DB）在数据库中记录审计信息都是不妥当的，显然DBA总是可以修改它们。通过UNIX系统级的日志组件来进行审计对防止黑客侵入和“内鬼“捣乱都很有效。结合UNIX中的SYSLOG组件记录审计信息是Oracle 10g的一个新特性。该组件包括一个守护进程(daemon)名叫syslogd（你可以通过man syslogd查询其相关手册），该进程用以接受由应用程序调用syslog的C函数库所发送的日志信息。Syslogd服务(service)的配置文件一般是/etc/syslog.conf，日志信息一般被记录在/var/log或/var/adm视乎不同的UNIX发行版本。日志文件名由相关组件名，重要性和级别组成。在/etc/syslog.conf每条记录为特定的组件与重要性指定文件名。在该配置文件中加入记录：user.notice /var/log/oracle_dbms,并使syslogd进程重启，接下来修改Oracle 参数 AUDIT_SYSLOG_LEVEL=user.notice，则相关的审计记录将出现在文件/var/log/oracle_dbms中。在UNIX系统上，以SYSDBA或SYSOPER权限进行的CONNECT,STARTUP与SHUTDOWN操作均会被无条件地记录到$ORACLE_HOME/rdbms/audit或AUDIT_FILE_DEST指定的目录中，并使用扩展名为.aud。 Oracle 9i以后版本中通过设置AUDIT_SYS_OPERATIONS=TURE可以记录不限于CONNECT,STARTUP,SHUTDOWN的以 SYSDBA或SYSOPER进行的操作。 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com

谢谢！ www.askmaclean.com www.askmaclean.com www.askmaclean.com 数据库中由SYS用户或其他管理员用户所作的操作均可以被审计且记录到由root用户拥有的系统级日志中。这样就可以避免有人使用Oracle的 OS账户修改普通审计日志删除相关操作信息。启用(AUDIT_TRAIL=OS)在Oracle审计目录中记录日志或启用（AUDIT_TRAIL=DB）在数据库中记录审计信息都是不妥当的，显然DBA总是可以修改它们。通过UNIX系统级的日志组件来进行审计对防止黑客侵入和“内鬼“捣乱都很有效。结合UNIX中的SYSLOG组件记录审计信息是Oracle 10g的一个新特性。该组件包括一个守护进程(daemon)名叫syslogd（你可以通过man syslogd查询其相关手册），该进程用以接受由应用程序调用syslog的C函数库所发送的日志信息。Syslogd服务(service)的配置文件一般是/etc/syslog.conf，日志信息一般被记录在/var/log或/var/adm视乎不同的UNIX发行版本。日志文件名由相关组件名，重要性和级别组成。在/etc/syslog.conf每条记录为特定的组件与重要性指定文件名。在该配置文件中加入记录：user.notice /var/log/oracle_dbms,并使syslogd进程重启，接下来修改Oracle 参数 AUDIT_SYSLOG_LEVEL=user.notice，则相关的审计记录将出现在文件/var/log/oracle_dbms中。在UNIX系统上，以SYSDBA或SYSOPER权限进行的CONNECT,STARTUP与SHUTDOWN操作均会被无条件地记录到$ORACLE_HOME/rdbms/audit或AUDIT_FILE_DEST指定的目录中，并使用扩展名为.aud。 Oracle 9i以后版本中通过设置AUDIT_SYS_OPERATIONS=TURE可以记录不限于CONNECT,STARTUP,SHUTDOWN的以 SYSDBA或SYSOPER进行的操作。 www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com www.askmaclean.com