Nuevas Implementaciones de Seguridad en Oracle Database 11g

Posted by Paola Pullas | Posted in Noticias | Posted on 10-07-2008

2

Oracle Database 11g nos ofrece algunas mejoras a nivel de seguridades de la base de datos, a continuación pongo en consideración algunas de ellas para que los DBA’s que ya estén utilizando esta nueva versión le saquen provecho a éstas características , y los que seguimos trabajando con versiones inferiores conozcamos de estas ventajas que nos ofrece Oracle 11g.

Identificación de Passwords por Default

Oracle 11g nos proporciona una nueva vista del diccionario llamada DBA_USERS_WITH_DEFPWD en la cual se encuentran registrados los usuarios que aún están utilizando sus passwords por default.
Antes de la versión Oracle 11g existían mecanismos a través de los cuales se podía identificar estos usuarios, pero era necesario ejecutar algunos pasos. A partir de 11g esto se simplifica a consultar una vista.

select *
from dba_users_with_defpwd

USERNAME
——————————
DIP
MDSYS
WK_TEST
CTXSYS
OLAPSYS
OUTLN
EXFSYS
SCOTT
MDDATA
ORDPLUGINS
ORDSYS
XDB
LBACSYS
SI_INFORMTN_SCHEMA
WMSYS

Contraseñas Case-Sensitive

En versiones anteriores a 11g las contraseñas de los usuarios no eran case-sensitive, es decir que daba lo mismo ingresar :

SQL> conn scott/tiger
Connected.
Que

SQL> conn scott/TIGER
Connected.

Esto era un inconveniente para algunos estándares que requerían que las contraseñas fueran case-sensitive. A partir de Oracle 11g podemos controlar que la base de datos valide las contraseñas respetando si estas fueron ingresadas en mayúsculas /minúsculas, o no, a través del parámetro

sec_case_sensitive_logon

Este parámetro puede tener los valores de TRUE / FALSE y es dinámico.

SQL> conn scott/TIGER
ERROR:
ORA-01017: invalid username/password; logon denied

Warning: You are no longer connected to ORACLE.
SQL> conn / as sysdba
Connected.
SQL> alter system set sec_case_sensitive_logon = false;

System altered.

SQL> conn scott/TIGER
Connected.

También esta opción puede ser activada automáticamente al momento de la creación de la base de datos. Cuando creamos una base de datos con el utilitario DBCA, se nos preguntará si nos queremos acualizar a los nuevos estándares de seguridad (new security standards) , entre los cuales se incluye el password case-sensitive. Si aceptamos el parámetro sec_case_sensitive_logon estará en TRUE con lo que las contraseñas se solicitarán en el mismo CASE en el que fueron ingresadas.

Mejoramiento de las opciones de Auditoría

Oracle database 11g trae dos mejoras con respecto al tema de auditorías a nivel de la base de datos.
La primera de ellas es que con la versión 11g el parámetro “AUDIT_TRAIL” viene con el valor de “DB” por default, y no con el valor de “NONE” como en versiones anteriores. Con esto ya podemos empezar a auditar ciertas tareas y activivdades en ciertos objetos sin la necesidad de modificar este parámetro y por ende de bajar a la base , como se tenía que hacer hasta la versión 10g, ya que este parámetro es estático.

La segunda mejora es nuevas opciones que se auditan por default, las cuales se listan a continuación:

ALTER SYSTEM
SYSTEM AUDIT
CREATE SESSION
CREATE USER
ALTER USER
DROP USER
ROLE
CREATE ANY TABLE
ALTER ANY TABLE
DROP ANY TABLE
CREATE PUBLIC DATABASE LINK
GRANT ANY ROLE
ALTER DATABASE
CREATE ANY PROCEDURE
ALTER ANY PROCEDURE
DROP ANY PROCEDURE
ALTER PROFILE
DROP PROFILE
GRANT ANY PRIVILEGE
CREATE ANY LIBRARY
EXEMPT ACCESS POLICY
GRANT ANY OBJECT PRIVILEGE
CREATE ANY JOB
CREATE EXTERNAL JOB

Entonces con la versión 11g por default se empiezan a auditar estas acciones, sin necesidad de cambiar el parámetro AUDIT_TRAIL y sin tener que ingresar la sentencia “AUDIT sentencia”