Keamanan - Apa yang baru di Oracle 11g?

1.Default Sandi

Oracle Database 11g sekarang menawarkan cara cepat untuk mengenali pengguna dengan standar sandi, dilaksanakan di ludicrously yang lumayan sederhana cara memeriksa satu data kamus melihat: DBA_USERS_WITH_DEFPWD. (CatatanDBA_ yang merupakan standar awalan; ia tidak hanya berisi DBA pengguna dengan default password.) Anda dapat mengidentifikasi pengguna oleh penerbitan:

* pilih dari dba_users_with_defpwd

USERNAME
------------------------------
DIP
MDSYS
WK_TEST
CTXSYS
OLAPSYS
OUTLN
EXFSYS
SCOTT
MDDATA
ORDPLUGINS
ORDSYS
XDB
LBACSYS
SI_INFORMTN_SCHEMA
WMSYS

Anda dapat melihat SCOTT tercantum di atas, karena dia adalah sandi TIGER, standarnya satu. Mengubahnya dengan:
SQL> alter user scott diidentifikasi oleh tiger1;

Pengguna diubah.
Sekarang jika Anda memeriksa melihat:
SQL> * pilih dari dba_users_with_defpwd;
Anda tidak akan melihat SCOTT pada daftar lagi. It's that simple!

2.Case-sensitif Sandi

Dalam Oracle Database 11g sebelum rilis, password pengguna yang membedakan kapitalisasi. Sebagai contoh:

SQL> conn scott / tiger
Tersambung.
SQL> conn scott / TIGER
Tersambung.

Pengaturan ini untuk menyajikan masalah standar seperti Pembayaran Kartu Industri (PCI) Standar Keamanan Data, yang memerlukan password untuk kasus sensitif.
Problem solved; dalam Oracle Database 11g password dapat kasus sensitif juga. Sewaktu membuat database melalui DBCA, Anda akan diminta apakah Anda ingin meng-upgrade ke "standar keamanan baru," salah satunya adalah kasus-sensitif sandi. Jika Anda menerima, password akan tercatat dalam kasus yang sama seperti yang mereka buat. Di sini adalah perilaku yang dihasilkan, dengan asumsi Anda telah menerima standar baru:
SQL> conn scott / tiger
Tersambung.
SQL> conn scott / TIGER
ERROR:
Ora-01017: invalid username / password; logon ditolak

Peringatan: Anda tidak terhubung ke ORACLE.

Catatan bagaimana "tiger" dan "TIGER" diperlakukan berbeda.

Sekarang, beberapa aplikasi Anda mungkin tidak lulus password benar dalam kasus sekarang. Sebuah contoh yang khas user input berupa: Banyak bentuk menerima password tanpa kasuskonversi yang dilakukan. Namun, dengan Oracle Database 11g, Mei login yang gagal kecuali pengguna memasukkan sandi dalam hal format atau perubahan pengembang aplikasi yang dikonversi ke atas atau huruf kecil (yang mungkin tidak dapat dilakukan dengan cepat).

Jika Anda ingin Namun, ia masih mungkin untuk kembali ke kasus kekurangpekaan oleh mengubah sistem parameter, SEC_CASE_SENSITIVE_LOGON, seperti terlihat pada contoh di bawah ini.
SQL> conn / sebagai sysdba
Tersambung.
SQL> merubah sistem menetapkan sec_case_sensitive_logon = false;

Sistem diubah.

SQL> conn scott / TIGER
Tersambung.

Ketika Anda meng-upgrade yang ada Oracle Database 10g ke 11g, Anda dapat bermigrasi ke password Anda yang baru standar. Anda dapat memeriksa status sandi oleh querying yang melihat DBA_USERS, terutama kolom baru PASSWORD_VERSIONS.
pilih username, password, password_versions
Dari dba_users;

USERNAME SANDI SANDI
------------------------- ------------------------- ----- --------
SISTEM 10G 11G
SYS 10G 11G
MGMT_VIEW 10G 11G
Hal pertama yang Anda perhatikan adalah bahwa sandi kolom adalah NULL, tidak diisi dengan nilai hashed seperti di Oracle Database 10g dan versi sebelumnya. Jadi apa yang terjadi dengan sandi? It's masih disimpan di database (dalam tabel PENGGUNA $) tetapi tidak terlihat di dalam DBA_USERS melihat. Bila pengguna dibuat sebagai salah satu global atau eksternal dikonfirmasi, status ditunjukkan - GLOBAL atau eksternal - tetapi nilai hash password tidak ditampilkan.
Selanjutnya, perhatikan kolom PASSWORD_VERSIONS yang baru dalam Oracle Database 11g. Kolom ini menandakan kasus sensitivitas dari sandi. Nilai "10G 11G" menandakan bahwa pengguna telah dibuat baik dalam 10g dan bermigrasi ke 11g atau langsung diciptakan di 11g.
Anda dapat menerapkan, jika anda ingin, makasensitivitas dari SYSDBA password juga dengan memasukkan parameter baru, ignorecase, saat membuat password file seperti berikut:
$ Orapwd file = orapwPRODB3 password = ABC123 masukan = 10 n = ignorecase

Dalam contoh di atas dengan SYSDBA password akan ABC123, tidak ABC123 atau variasi lainnya dalam kasus tersebut.

Kemungkinan menegakkan kasus-sensitif sandi tidak hanya membuat lebih sulit untuk crack password kasar oleh kekerasan, tetapi juga memungkinkan Anda untuk bertemu dengan lebih banyak memenuhi persyaratan. Bahkan lebih penting, Anda dapat menerapkan persyaratan password secara dinamis tanpa perlu database shutdown, yang akan menolong selama upgrade dan login debugging masalah ketika upgrade legacy apps.

3. Profil dan Fungsi Verifikasi Sandi

Ingat sandi verifikasi fungsi dalam Oracle Database? Banyak dari Anda mungkin tidak menyadari bahkan dari keberadaan, apalagi menggunakannya. Fungsi adalah cara yang cepat dan mudah untuk menegakkan kualitas database password - misalnya, mereka harus berisi beberapajumlah karakter, tidak boleh sama dengan pengguna, dan sebagainya. Mungkin yang terbaik adalah fitur yang sudah built-in, yang perlu anda lakukan adalah menyalakannya. Lebih mungkin tidak, Anda tidak.

Dalam Oracle Database 11g, password baru memiliki fungsi manajemen dan ditingkatkan verifikasi logika. Jika Anda memeriksa file verifikasi password utlpwdmg.sql di $ ORACLE_HOME / RDBMS / admin, Anda akan melihat bahwa script membuat password baru yang disebut fungsi verify_fnction_11g. Pada akhirnya, naskah memiliki baris berikut:
PROFIL merubah default LIMIT
PASSWORD_LIFE_TIME 180
PASSWORD_GRACE_TIME 7
PASSWORD_REUSE_TIME UNLIMITED
PASSWORD_REUSE_MAX UNLIMITED
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LOCK_TIME 1
PASSWORD_VERIFY_FUNCTION verify_function_11G;

Script attaches fungsi ke profil standar, yang merupakan standar untuk semua profil pengguna, kecuali sesuatu yang lain yang diberikan secara eksplisit. Hal ini membuat otentikasi yang kompatibel dengan berbagai peraturan. Yang perlu anda lakukan adalahmenjalankan script ini untuk membuat versi 11g password memeriksa fungsi, dan script akan mengaktifkan fitur sandi verifikasi oleh melampirkan sendiri ke default profil.

4. Peningkatan Out-of-Box Auditing
Audit adalah titik sakit umum lainnya. Oracle Database termasuk audit fitur canggih yang dapat digunakan untuk melacak aktivitas pengguna. Kebanyakan orang, takut sebuah I / O pertarungan isu, tidak mengambil keuntungan dari mereka. Tetapi kebenaran adalah bahwa beberapa audit dapat dihidupkan secara aman dengan risiko kecil.
Contohnya termasuk CREATE SESSION, yang menulis catatan saat sesi dimulai dan kemudian memperbarui catatan ketika berakhir. Audit ini memiliki dampak minimal I / O kuat tetapi memberikan manfaat.

Dalam Oracle Database 11g, dua perubahan sederhana yang telah dibuat untuk memberikan bahkan lebih kuat audit solusi. Pertama, database parameter audit_trail kini ditetapkan ke DB secara default, tidak NONE, seperti yang di versi sebelumnya. Hal ini memungkinkan Anda untuk mengaktifkan audit pada objek, pernyataan, atau tanpa hak istimewa daur ulangdatabase.

Perubahan yang kedua adalah lebih pernyataan telah ditempatkan di bawah standar audit oleh. Berikut adalah daftar:
Alter SISTEM
SISTEM AUDIT
CREATE SESSION
CREATE USER
Alter PENGGUNA
DROP PENGGUNA
PERAN
SETIAP CREATE TABLE
Alter SETIAP TABEL
DROP ANY TABLE
CREATE DATABASE LINK UMUM
SETIAP PERAN GRANT
Alter DATABASE
CREATE SETIAP PROSEDUR
Alter SETIAP PROSEDUR
DROP SETIAP PROSEDUR
Alter PROFIL
DROP PROFIL
GRANT SETIAP PRIVILEGE
- CREATE ANY PERPUSTAKAAN
- Exempt AKSES KEBIJAKAN
- GRANT objek apapun PRIVILEGE
- CREATE ANY JOB
- CREATE JOB EXTERNAL

Seperti yang dapat Anda lihat, kegiatan audit ini tidak akan signifikan menyebabkan I / O masalah, sehingga memungkinkan untuk mempertahankan beberapa tingkat yang dapat diterima dengan sedikit audit kinerja dampak.
Kedua membuat perubahan beberapa kemampuan audit kuat dari kotak. Tentu saja, mereka hanyaparameter database dan audit pengaturan, jika anda ingin, anda dapat mengubah mereka tidak mudah. Tetapi jika Anda melihat daftar pernyataan, Anda dapat menemukan mereka benar-benar layak audit, bahkan dalam pengembangan database. Anda mungkin ingin menyempurnakan mereka, namun. (Sebagai contoh, di gudang data, pengguna membuat dan drop banyak sementara meja sehingga audit CREATE / DROP TABLE mungkin banjir audit trail).


Untuk keterangan lebih lanjut mengenai Oracle Keamanan dapat Anda lihat pada ORACLE DBA SUPPORT