Professional Documents
Culture Documents
Oracle Security Čeklista-12750 I 12591
Oracle Security Čeklista-12750 I 12591
Katedra za Računarstvo
O r a c l e S e c u r i t y
č e k l i s t a
Student Mentor
Aleksandar Simić 12750
Miloš Jeremić 12591 Prof. dr Leonid Stoimenov
1
Sadržaj
Šta je čeklista.................................................................................................................................3
Šta treba razmotriti pre čekliste....................................................................................................3
Neke od najbitnijih stavki čekliste................................................................................................3
Instalirajte samo ono što je neophodno.....................................................................................3
Zaključajte i podesite vreme isticanja "deafoult"-nih profila....................................................3
Promenite difoltne korisničke šifre............................................................................................4
Promenite šifre administrativnih profila...................................................................................4
Pratite princip najmanje privilegije...........................................................................................4
Autentifikacija klijenata.............................................................................................................5
Uključite zaštitu meta podataka.................................................................................................5
Ograničavanje pristupa operativnog sistema............................................................................5
Ojačajte operativni sistem..........................................................................................................6
SSL čeklista.................................................................................................................................6
Network čeklista.........................................................................................................................6
Osigurajte Oracle listener...........................................................................................................7
Instalirajte sve sigurnosne zakrpe..............................................................................................7
2
Šta je čeklista
Ček lista predstavlja listu stavki koje trebaju biti ispunjene kako bi Oracle dbms funkcionisao
stabilno i bezbedno. Ček lista ne sadrži nikakav SQL/PLSQL kod jer je njena sama namena da
pokaže šta treba da se uradi ali ne i kako. Bitno je da se sama Oracle baza ne proverava
izolovano tj. da se zanemare spoljašnji faktori kao što su operativni sistem koj je hostuje,
konfiguracija mreže, pristup preko web-a, aplikacioni serveri i klijenti...
Operativni sistem koji hostuje bazu- Veoma je važno da operativni sistem bude siguran
pre bilo koje aplikacije, isto važi i za mrežne komponente i druge aplikacije koje se hostuju sa
istog servera sa koga i baza.
Procedura- Takođe je bitno da serveri koji hostuju bazu budu fizički obezbeđeni, što znači
da treba usvojiti bezbednosne procedure i razviti standarde za kontrolu i promenu baze.
Ako se baza kreira ručno onda nijedan difoltni korisnički profil nije zaključan jer DBCA nije
korišćen u kreiranju baze. Posle ručnog kreiranja baze trebate ručno zaključati većinu
difoltnih profila. Treba voditi računa koje profile zaključavate jer pojedini Oraklove
komponente ne mogu pravilno funkcionisati bez tih profila.
Najmanje 10 karaktera
mešavina slova i brojeva
sadrži mešovit slučaj(podržan u Oracle Database 11g)
sadrži simbole (podržan u Oracle Database 11g)
Malo/nimalo veze sa smislenim rečima
Znajte da šifre ne smeju počinjati simbolom ili brojem i ne smeju prelaziti 30 karaktera.
4
Oracle DBA privilegija treba biti dodeljena sa oprezom i to samo onim privilegovanim
korisnicima kojima je neophodan pun pristup bazi. Posebna pažnja se treba obratiti
kada se dodeljuje privilegija aplikaciji. SYSDBA privilegija se treba dodeljivati sa
velikom opreznošću i to samo onima kojima se najviše veruje.
Treba se koristiti revizija za posmatranje svih aktivnosti korisnika koji se povezuju sa
SYSDBA privilegijom ili drugim povlašćenim ulogama kao što su DBA i slično. Za
optimalnu reviziju treba uključiti i operativni sistem u razmatranje.
Autentifikacija klijenata
Autentifikujte klijente adekvatno. Iako se “remote authentification“ može postaviti na TRUE,
baza je sigurnija ukoliko je isključeno tj. FALSE. Kada je “remote authentification“ uključeno,
baza implicitno veruje svakom klijentu, jer podrazumeva da je svaki klijent autentifikovan od
strane udaljenog sistema za autentifikaciju. Međutim, klijentima generalno gledano (kao što
su udaljeni računari) ne može se verovati da će adekvatno obaviti autentifikaciju nad
operativnim sistemom, tako da uključivanjem ove opcije može dovesti do mnogih siurnosnih
propusta. Kako bi osigurali adekvatnu autentifikaciju klijenata na serveru obavezno ostavite
“remote authentification“ opciju na FALSE.
Zabranite korišćenje simboličnih linkova na operativnom sistemu. Kada se prenosi putanja ili
fajl u bazu, ne sme postojati mogućnost promene putanja fajla i samog fajla od strane
nepoverljivog korisnika. Vlasnik fajla i svih komponenata putanje treba biti DBA ili neki
poverljiv profil operativnog sistema kao što je root.
5
Ojačajte operativni sistem
Zajedno i Linux i Windows pružaju veliki broj servisa, od kojih mnogi nisu potrebni za mnoge
konfiguracije. To su servisi kao FTP, TFTP, TELNET i tako dalje. Obavezno zatvorite UDP i
TCP portove za svako servis koji je ugašen.
SSL čeklista
SSL je standardni internet protokol za sigurnu vezu, jer pruža mehanizme za enkripciju i
integritet podataka. SSL može da zaštiti poslate i primljene podatke tako što koristi sigurnu
autentifikaciju, autorizaciju, sertifikate a kad je to neophodno i enkripciju. Za pravilno
funkcionisanje SSL-a sledeće stavke trebaju biti ispunjene:
https://secure.server.com:4445/
Ako koristite Firewall, onda i on mora koristiti iste portove za sigurnu SSL
komunikaciju.
Network čeklista
Zaštita mreže i njenog saobraćaja od ne autorizovanog pristupa ili modifikacije je suština
mrežne zaštite. Sledeće stavke poboljšavaju mrežnu zaštitu.
Oracle listener treba biti adekvatno osiguran za optimalnu bezbednost. Počev od Oracle
Database 10g Relase 1 pa nagore koriste lokalnu OS autentifikaciju ako difoltni
autentifikacioni mod. Ovaj mod zahteva da Oracle Net administrator pripada lokalnoj
DBA grupi. Postavljanje šifre za TNS listener u verzijama Orakla počev od Oracle
Database 10g pa na gore pojednostavljuje lokalnu administraciju. Međutim prilikom
postavljanja šifre treba voditi računa da šifra bude dovoljno kompleksna.
Trebate razmotriti korišćenje firewall-a. Pravilno korišćenje firewall-a će smanjiti
dostupnost informacija o sigurnosti sistema kao što su otvoreni portovi i druge
konfiguracione informacije koje se kriju iza firewall-a.
Uvek primenite relevantne sigurnosne zakrpe za operativni sistem i Oracle bazu podataka.
Periodično proveravajte Oracle Technology Network(OTN) bezbednosni sajt
(http://www.oracle.com/technology/deploy/security/alerts.htm) za najnovije bezbednosne informacije.
Takođe proveravajte Oracle World wide Support (https://metalink.oracle.com) sigurnosne sajtove
7
o dostupnim i nadolazećim sigurnosnim zakrpama i bezbednim konfiguracijama za pojedine
aplikacije.