杜绝安全隐患:杜绝安全隐患 容易忽视的Oracle安全问题来源: 发布时间:星期日, 2009年3月29日 浏览:0次 评论:0
="t18">
数据库安全问题直是人们关注焦点的我们知道个企业或者机构数据库假如遭到黑客攻击而这些数据库又保存着非常重要数据象银行、通信等数据库后果将不堪设想Oracle数据库使用了多种手段来保证数据库安全性如密码角色权限等等
作为Oracle数据库治理员都知道数据库系统典型安装后般sys和system以及ernal这 3个用户具有默认口令数据库安装成功后系统治理员作第件工作就是修改这些用户口令保证数据库安全性然而众多治理员往往忽视了其中个安全问题下面我们就将具体讨论这个问题
Oracle数据库系统假如采用典型安装后除了创建前面介绍几个用户外另外还自动创建了个叫做DBSNMP用户该用户负责运行Oracle系统智能代理(Intelligent Agent)该用户缺省密码也是“DBSNMP”假如忘记修改该用户口令任何人都可以通过该用户存取数据库系统现在我们来看下该用户具有哪些权限和角色然后来分析下该用户对数据库系统可能造成损失 启动SQL/PLUS使用该用户登录进入: SQL>select * from session_privs; 可以看到该用户不是SYS或SYSTEM治理用户然而它却具有两个系统级权限:UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM 看到这两个权限你应该马上想到这些都是安全隐患尤其是UNLIMITED TABLESPACE它是破坏数据库系统攻击点的假如这时候你还依然认为即使有人利用这个没有修改口令登录进数据库也造成不了什么损失话我就不得不提醒你:该用户具有UNLIMITED TABLESPACE系统权限它可以写个小脚本然后恶意将系统用垃圾数据填满这样数据库系统也就无法运行并将直接导致最终瘫痪目前很多数据库系统都要求7X24工作假如出现了系统用垃圾数据填满情况那么等数据库系统恢复时恐怕不可挽回损失已经造成了 为了保证Oracle数据库系统运行绝对安全强烈建议数据库治理员修改该用户默认口令不要为不怀好意人留下“方便的门” 0
相关文章读者评论发表评论 |
|