Elektronski fakultet Niš

Katedra za Računarstvo

O r a c l e S e c u r i t y
č e k l i s t a

Student Mentor
Aleksandar Simić 12750
Miloš Jeremić 12591 Prof. dr Leonid Stoimenov

1
Sadržaj

Šta je čeklista.................................................................................................................................3
Šta treba razmotriti pre čekliste....................................................................................................3
Neke od najbitnijih stavki čekliste................................................................................................3
Instalirajte samo ono što je neophodno.....................................................................................3
Zaključajte i podesite vreme isticanja "deafoult"-nih profila....................................................3
Promenite difoltne korisničke šifre............................................................................................4
Promenite šifre administrativnih profila...................................................................................4
Pratite princip najmanje privilegije...........................................................................................4
Autentifikacija klijenata.............................................................................................................5
Uključite zaštitu meta podataka.................................................................................................5
Ograničavanje pristupa operativnog sistema............................................................................5
Ojačajte operativni sistem..........................................................................................................6
SSL čeklista.................................................................................................................................6
Network čeklista.........................................................................................................................6
Osigurajte Oracle listener...........................................................................................................7
Instalirajte sve sigurnosne zakrpe..............................................................................................7

2
Šta je čeklista

Ček lista predstavlja listu stavki koje trebaju biti ispunjene kako bi Oracle dbms funkcionisao
stabilno i bezbedno. Ček lista ne sadrži nikakav SQL/PLSQL kod jer je njena sama namena da
pokaže šta treba da se uradi ali ne i kako. Bitno je da se sama Oracle baza ne proverava
izolovano tj. da se zanemare spoljašnji faktori kao što su operativni sistem koj je hostuje,
konfiguracija mreže, pristup preko web-a, aplikacioni serveri i klijenti...

Šta treba razmotriti pre čekliste

Operativni sistem koji hostuje bazu- Veoma je važno da operativni sistem bude siguran
pre bilo koje aplikacije, isto važi i za mrežne komponente i druge aplikacije koje se hostuju sa
istog servera sa koga i baza.

Procedura- Takođe je bitno da serveri koji hostuju bazu budu fizički obezbeđeni, što znači
da treba usvojiti bezbednosne procedure i razviti standarde za kontrolu i promenu baze.

Osetljivost podataka- Treba ustanoviti osetljivost podataka u bazi i ustanoviti pravila za

pronalaženje i prijavljivanje sigurnosnih propusta. Ovo podrazumeva dostupnost, poverljivost
i integritet podataka.

Praktičnost čekliste- Čeklista je kulminacija znanja mnogih Oracle eksperata za sigurnost i

kao takva sadrži mnoge propuste za koje pojedinci smatraju da se trebaju što pre ukoniti. Za
neke organizacije veoma je bitno da neki propusti budu što pre rešeni dok za druge to možda
čak i ne predstavlja propust zbog spoljašnjih sigurnosnih mera koje sprovode. Orakl se može
podesiti na mnogo različitih načina i ovo utiče na njegovu bezbednost.

Neke od najbitnijih stavki čekliste

Instalirajte samo ono što je neophodno

Oracle Database software instalacion ima dva moda instalacije - tipični i podesivi. Podesivi
mod se koristi kada želimo da instaliramo minimalni skup sadržaja i opcija koji je dovoljan da
naše potrebe. Ako kasnije kasnije želite da instalirate dodatne sadržaje ili opcije jednostavno
samo ponovo pokrenite Oracle installer.

Zaključajte i podesite vreme isticanja "deafoult"-nih profila

Oracle database posle instalacije sadrži pojedine deafoult-ne (predhodno kreirane) korisničke
profile. Svaki profil ima prethodno podešenu šifru. Posle uspešnog instaliranja baze podataka
database configuration assistant(DBCA) automacki zaključava većinu prethodno podešenih
3
korisničkih profila. Čak šta više, šifra za profile kao što su SISTEM je promenjena na šifru
specificiranu tokom instalacije baze.

Ako se baza kreira ručno onda nijedan difoltni korisnički profil nije zaključan jer DBCA nije
korišćen u kreiranju baze. Posle ručnog kreiranja baze trebate ručno zaključati većinu
difoltnih profila. Treba voditi računa koje profile zaključavate jer pojedini Oraklove
komponente ne mogu pravilno funkcionisati bez tih profila.

Promenite difoltne korisničke šifre

Odabir bezbedne šifre je najbitnija stavka u zaštiti od sigurnosnih propusta koji se zasnivaju
na provaljivanju šifre. Oracle preporučuje da se koriste šifre koje sadrže barem 10 karaktera.
Takođe je bitna i složenost šifre. Šifre koje se zasnivaju na rečima iz rečnika su znatno manje
bezbednije od ostalih. Kompleksna šifra treba da bude sledećeg oblika:

 Najmanje 10 karaktera
 mešavina slova i brojeva
 sadrži mešovit slučaj(podržan u Oracle Database 11g)
 sadrži simbole (podržan u Oracle Database 11g)
 Malo/nimalo veze sa smislenim rečima

Znajte da šifre ne smeju počinjati simbolom ili brojem i ne smeju prelaziti 30 karaktera.

Promenite šifre administrativnih profila

Pošto se mogu koristiti iste šifre za više administrativnih profila kao što su: SYSTEM,
SYSMAN i DBSNMP Oracle preporučuje da se koriste različite šifre za svako od njih. U bilo
kom Oracle okruženju, bilo to produkciono ili testirajuće, dodelite jake i različite šifre ovim
profilima.

Pratite princip najmanje privilegije

 Nemojte dodeljivati veće privilegije korisnicima od onih koje su im stvarno neophodne.
 Ograničite broj SYS-privilegovanih konekcija u što većoj meri.
o Na primer generalno gledano ne postoji realna potreba za dodeljivanje CREATE
ANY TABLE privilegije ne privilegovanim korisnicima.
 Izbacite sve nepotrebne privilegije i uloge iz korisničke grupe PUBLIC.
o Difoltna uloga, koja je dodeljena svakom korisniku u Oracle bazi, omogućava
neograničeno korišćenje privilegija, kao što je EXECUTE nad različitim PL/SQL
paketima. Na ovaj način čak i minimalno privilegovan korisnik može da pristupi i
da izvršava pakete koji su inače njemu nedostupni.

4
  Oracle DBA privilegija treba biti dodeljena sa oprezom i to samo onim privilegovanim
korisnicima kojima je neophodan pun pristup bazi. Posebna pažnja se treba obratiti
kada se dodeljuje privilegija aplikaciji. SYSDBA privilegija se treba dodeljivati sa
velikom opreznošću i to samo onima kojima se najviše veruje.
 Treba se koristiti revizija za posmatranje svih aktivnosti korisnika koji se povezuju sa
SYSDBA privilegijom ili drugim povlašćenim ulogama kao što su DBA i slično. Za
optimalnu reviziju treba uključiti i operativni sistem u razmatranje.

Autentifikacija klijenata
Autentifikujte klijente adekvatno. Iako se “remote authentification“  može postaviti na TRUE,
baza je sigurnija ukoliko je isključeno tj. FALSE. Kada je “remote authentification“  uključeno,
baza implicitno veruje svakom klijentu, jer podrazumeva da je svaki klijent autentifikovan od
strane udaljenog sistema za autentifikaciju. Međutim, klijentima generalno gledano (kao što
su udaljeni računari) ne može se verovati da će adekvatno obaviti autentifikaciju nad
operativnim sistemom, tako da uključivanjem ove opcije može dovesti do mnogih siurnosnih
propusta. Kako bi osigurali adekvatnu autentifikaciju klijenata na serveru obavezno ostavite
“remote authentification“  opciju na FALSE.

Uključite zaštitu meta podataka

Implementirajte zaštitu meta podataka tako da korisnici koji imaju određene privilegije ne
mogu da koriste iste nad meta podacima. Oracle postavlja
O7_DICTIONARY_ACCESSIBILITY  na FALSE. Ovo podešavanje sprečava korišćenje
sistemskih privilegija nad meta podacima, osim kada autorizovani korisnici koristi DBA
privilegovane konekcije(na primer CONNECT/AS SYSDBA).

Ograničavanje pristupa operativnog sistema

Ograničite pristup Oracle Database Host-u korisnicima koji imaju pristup operativnom
sistemu. Oracle preporučuje zabranu mogućnosti modifikovanja difoltnih dozvola nad
fajlovima u Oracle instalacionom folderu. Čak i privilegovani korisnici operativnog sistema i
Oracle vlasnik ne bi trebali da mogu da modifikuju ove dozvole.

Zabranite korišćenje simboličnih linkova na operativnom sistemu. Kada se prenosi putanja ili
fajl u bazu, ne sme postojati mogućnost promene putanja fajla i samog fajla od strane
nepoverljivog korisnika. Vlasnik fajla i svih komponenata putanje treba biti DBA ili neki
poverljiv profil operativnog sistema kao što je root.

5
Ojačajte operativni sistem

Zajedno i Linux i Windows pružaju veliki broj servisa, od kojih mnogi nisu potrebni za mnoge
konfiguracije. To su servisi kao FTP, TFTP, TELNET i tako dalje. Obavezno zatvorite UDP i
TCP portove za svako servis koji je ugašen.

SSL čeklista

SSL je standardni internet protokol za sigurnu vezu, jer pruža mehanizme za enkripciju i
integritet podataka. SSL može da zaštiti poslate i primljene podatke tako što koristi sigurnu
autentifikaciju, autorizaciju, sertifikate a kad je to neophodno i enkripciju. Za pravilno
funkcionisanje SSL-a sledeće stavke trebaju biti ispunjene:

 Osigurajte da konfiguracioni fajlovi (kao što su za klijente i lestener-e) koriste korektan

port za SSL koji se podešava prilikom instalacije. HTTPS može raditi na bilo kom portu,
ali standardno je to port 443. Takođe port može biti specificiran i u URL-u na primer:

https://secure.server.com:4445/

Ako koristite Firewall, onda i on mora koristiti iste portove za sigurnu SSL
komunikaciju.

 Budite sigurni da je tcps specificiran kao PROTOKOL u ADDRESS parametru u

tnsnames.ora fajlu(obično se nalazi na klijentu ili u LDAP direktorijumu). Identična
specifikacija treba da bude i u listener.ora fajlu (obično se nalazi u
$ORACLE_HOME/network/admin direktorijumu).
 Osigurajte da je SSL mod konzistentan na oba kraja svake komunikacije. Na primer
između baze podataka sa jedne strane i korisnika ili aplikacije sa druge. Mode može biti
određen bilo od strane autentifikacije na klijentu ili serveru (jednosmerni), na klijentu i
serveru (dvosmerni) ili bez autentifikacije.
 Budite sigurni da server podržava enkriptovanje od strane klijenta kao i algoritam koji
se koristi za proveravanje sertifikata.
 Nemojte uklanjati enkripciju sa RSA privatnog ključa koj se nalazi unutar server.key
fajla, koji zahteva da se unese šifra kako bi ovaj fajl mogo da se čita.

Network čeklista
Zaštita mreže i njenog saobraćaja od ne autorizovanog pristupa ili modifikacije je suština
mrežne zaštite. Sledeće stavke poboljšavaju mrežnu zaštitu.

 Zabranite fizičko povezivanje na mrežu. Ograničite mogućnost povezivanja uređaja na

mrežu u što većoj mogućoj meri.
 Zaštite pristupne tačke od ne atorizovanog pristupa. Ovo znači ta trebamo osigurati
mrežni softver na kompjuterima, mostovima, i ruterima koji se koristi u komunikaciji.
6
  Zbog nemogućnosti zaštite fizičkih adresa kada se prenose podaci preko inerneta,
koristite enkripciju kada je potrebno podatke bezbedno preneti.
 Koristite firewall. Adekvatno postavljen i podešen firewall može sprečiti spoljašnji
pristup intranetu vaše kompanije ukoliko ste dozvolili korisnicima da imju internet
pristup.
o Server baze podataka uvek treba da bude iz firewall-a. Oracle podržava različite
vrste firewalla od različitih proizvođača.
o Budite sigurni da je firewall postavljen izvan mreže koju štiti.
o Konfigurišite firewall tako da prihvata samo one protokole, aplikacije, ili
klijent/server izvore za koje znate da su bezbedni.
o Koristite proizvode kao što su Oracle Connection Manager kako bi upravljali više
klijentskih mrežnih sesija preko jedne mrežne konekcije sa bazom. Konekcije
mogu da se filtriraju na osnovu imena izvora ,odredišta i host-a. Ova
funkcionalnost osigurava da su veze prihvaćene samo sa fizički osiguranih
terminala ili sa web servera sa poznatom IP adresom.
o Nikad ne ostavljajte rupe u firewall-u. Na primer ne ostavljajte Oracle Listener
port 1521 otvoren, jer će te tako omogućiti da se baza poveže na internet ili
obrnuto. Ovo čini sistem veoma ranjivim što hakeri umeju da iskoriste. Hakeri
mogu čak i da otvore nove portove preko firewall-a, da kreiraju problem na
operativnom sistemu servera i da dođu do važnih informacija.

Osigurajte Oracle listener

 Oracle listener treba biti adekvatno osiguran za optimalnu bezbednost. Počev od Oracle
Database 10g Relase 1 pa nagore koriste lokalnu OS autentifikaciju ako difoltni
autentifikacioni mod. Ovaj mod zahteva da Oracle Net administrator pripada lokalnoj
DBA grupi. Postavljanje šifre za TNS listener u verzijama Orakla počev od Oracle
Database 10g pa na gore pojednostavljuje lokalnu administraciju. Međutim prilikom
postavljanja šifre treba voditi računa da šifra bude dovoljno kompleksna.
 Trebate razmotriti korišćenje firewall-a. Pravilno korišćenje firewall-a će smanjiti
dostupnost informacija o sigurnosti sistema kao što su otvoreni portovi i druge
konfiguracione informacije koje se kriju iza firewall-a.

Instalirajte sve sigurnosne zakrpe

Uvek primenite relevantne sigurnosne zakrpe za operativni sistem i Oracle bazu podataka.
Periodično proveravajte Oracle Technology Network(OTN) bezbednosni sajt
(http://www.oracle.com/technology/deploy/security/alerts.htm) za najnovije bezbednosne informacije.
Takođe proveravajte Oracle World wide Support (https://metalink.oracle.com) sigurnosne sajtove

7
o dostupnim i nadolazećim sigurnosnim zakrpama i bezbednim konfiguracijama za pojedine
aplikacije.