bonjour tout le monde,
j'utilise Oracle 9i sur un serveur sun,
le root peu utiliser "connect / as sysdba" et ainsi il a tous les droits sur ma BD.
Je voudrai savoir le moyen pour interdir cet acces à l'utiulisateur root
merci
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[SSI] Interdire à root d'acceder a la BD sans mot de passe
bonjour tout le monde,
j'utilise Oracle 9i sur un serveur sun,
le root peu utiliser "connect / as sysdba" et ainsi il a tous les droits sur ma BD.
Je voudrai savoir le moyen pour interdir cet acces à l'utiulisateur root
merci
Il n y a aucun moyen.
L'utilisateur root peut tout faire.
Oui, c'est vrai root peut tout faire sur Unix.
Ceci dit, si on supprime root du groupe dba sous Unix, root ne doit plus pouvoir se connecter à Oracle sans donner un compte et un mot de passe Oracle.
Mais on ne peut pas empêcher root de s'ajouter dans le groupe dba.
ou de faire un simple su
dans 10gR2, tu peux faire quelque chose comme
et crypter tes données
Code : Sélectionner tout - Visualiser dans une fenêtre à part alter system set wallet open identified by toto;
ce qui empêchera root d'accéder à tes données wallet fermé.
mais ça oblige à utiliser un ewallet (il s'agit de TDE), à crypter et ça n'empêche certainement pas root de se connecter en SYS et d'arrêter la base.
Sans oublier que c'est un ALTER SYSTEM et non un ALTER SESSION, donc, un fois la clé de décryptage mise en place, root pourra se connecter et lire les données !
On pourrait envisager d'interdire l'identification OS (et ainsi obliger la saisie du mot de passe) mais root pourrait modifier cette conf. donc ça ne servirait à rien.
On n'empêche pas root de faire quelque chose
On a confiance en root ou on ne fait rien.
Je vous invite à lire mon article sur la sécurisation de bases Oracle : http://leoanderson.developpez.com/securisation-oracle/
d'accord pour le "l'admin système ne saurait être ton ennemi"
et ça n'empèche pas de surveiller les logons "as sysdba" avec un trigger pendant un petit temps si des doutes sont là.
ça servirait à .... RIEN !!!!!!!
- Un trigger after LOGON n'est pas déclenché par les connections SYSDBA
- Et même si vous activez l'audit "audit_sys_operations", il est toujours possible quand on est root de le désactiver provisoirement et/ou d'aller effacer les traces générées
On a confiance en root ou on ne fait rien.
d'ailleurs je rappelle que root ne devrait pas être utilisé dans un monde merveilleux
On devrait utiliser un compte système qui peux exécuter les commandes de root (su -c ou sudo)
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager