Oracle Database Vault Beispiele zur Benutzung

Transkript

1 Oracle Database Vault Beispiele zur Benutzung Grundsätzliches: Beispiel für Trennung der Verantwortlichkeiten in unserer Umgebung: wichtige RollenAufgaben: DB-Benutzer Rolle Aufgabe SYS SYSDBA Verwalter der DBA s SYSTEM DBA technische Datenbankadministration VERSUCH1 DBA fachlicher Anwendungs-Administrator... DVOWNER DV_OWNERDV_ADMIN Verwalter der Sicherheitsregeln DVACCOUNT DV_ACCTMGR Verwalter der Datenbank Accounts --- DV_SECANALYST Sicherheitsbeaufragter DVSYS Eigentümer der DV DB-Elemente Account ist locked!! 1

2 Anmeldung als Sicherheits Administrator des Database Vault 2

3 Übung: Schutz des Drop Table-Befehl für Daten des Benutzers Scott: Create Command Rules: Command Rules können sehr einfach und schnell verwaltet werden, entweder mit Database Vault Administration Web Interface (DVA) oder Database Vault Application Programming Interface (API). Erster Weg (über das GUI): 3

4 Achtung!!! Verwirrend : Disabled ist der Name einer Regelgruppe, jedes Database Vault muss vom Status Enabled sein damit die Regularier wirken. Variante2 mit API PLSQL begin dvsys.dbms_macadm.create_command_rule( command => DROP TABLE,rule_set_name => Disabled,object_owner => SCOTT,object_name => %,enabled => Y ); end; commit; Kontrolle: Das selbe Vorgehen solltekann für viele weitere Befehle durchgeführt werden: 4

5 Übung: UmgangErzeugen eines neuen Benutzers mit aktiviertem DV: Zur Erinnerung es gibt eine Aufgabentrennung: DB-Benutzer Rolle Aufgabe SYS SYSDBA Verwalter der DBA s SYSTEM DBA technische Datenbankadministration DVOWNER DV_OWNERDV_ADMIN Verwalter der Sicherheitsregeln DVACCOUNT DV_ACCTMGR Verwalter der Datenbank Accounts 1. Ansatz: Aber jetzt richtig: connect dvaccountmanager_1@dv create user versuch1 identified by versuch1; grant connect to versuch1; 5

6 Aber: connect grant resource to versuch1; grant dba to versuch1; ergeben folgenden Fehler: ERROR at line 1: ORA-47410: Realm violation for GRANT on UNLIMITED TABLESPACE connect as sysdba grant connect to versuch1; ERROR at line 1: ORA-47410: Realm violation for GRANT on CONNECT connect grant dba to versuch1; ERROR at line 1: ORA-47410: Realm violation for GRANT on UNLIMITED TABLESPACE connect as sysdba grant resource to versuch1; grant dba to versuch1; Typische Aufgabentrennung: * Statements such as CREATE USER, ALTER USER, DROP USER, CREATE PROFILE, ALTER PROFILE, and DROP PROFILE can only be issued by a user with the DV_ACCTMGR role. SYSDBA can issue these statements only if it is allowed to do so by modifying the Can Maintain AccountsProfiles rule set. * Fazit Aufgabentrennung:: Der Benutzer mit der Rolle DV_Acctmgr (in unserem Fall dvaccount) kann Benutzer anlegen, aber keine DBA oder individuellen Tabellenrechte vergeben. Der Benutzer System (hat kein sysdba Rechte) kann keine Benutzer anlegen und keine DBA Rollen vergeben. Der Benutzer sys (mit sysdba Rolle) kann keine Benutzer anlegen aber er kann DBA Rechte vergeben. 6

7 Übung: UmgangErzeugen eines neuen Realms zum Schutz von Daten vor DBA- Rechten: * Realm Scottsicher anlegen Table msr1 erzeugen und realm definieren. * Connect scotttiger@dv Create table msr1 as select * from scott.emp; 7

8 Das Ganze zu Fuß mit PLSQL Erzeugen eines Realms: BEGIN DVSYS.DBMS_MACADM.CREATE_REALM( realm_name => 'MeinsichererRealm', description => 'Realm zu Demozwecken', enabled => DBMS_MACUTL.G_YES, audit_options => DBMS_MACUTL.G_REALM_AUDIT_FAIL + DBMS_MACUTL.G_REALM_AUDIT_SUCCESS); END; Zuordnen von Objekten zu einem Realm BEGIN DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM( realm_name => 'MeinsichererRealm', object_owner => 'SCOTT', object_name => 'MSR1', object_type => 'TABLE'); END; oder besser: BEGIN DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM( realm_name => 'MeinsichererRealm', object_owner => 'SCOTT', object_name => '%', object_type => 'TABLE'); END; 8

9 Versuche: connect select * from scott.msr1; connect versuch1versuch1@dv connect sysmanager1@dv as sysdba connect systemmanager1@dv connect dvownermanager_1@dv connect dvaccountmanager_1@dv 9

10 * Variante1: User versuch1 (hat DBA-Recht) dem Realm Scottsicher als participant zuordnen * connect versuch1versuch1@dv select * from scott.msr1; 10

11 * Variante2: explizite Rechtevergabe auf die realmgeschützte Tabelle scott.msr1 durch den Eigentümer der Tabelle selbst oder DBA * connect sysmanager1@dv as sysdba connect scotttiger@dv * Lösung: Der Benutzer Scott muss als Owner des Realms definiert werden (z.b. durch den Benutzer dvowner) damit er Objekt-Rechte auf seine eigenen Objekte weitergeben kann * grant select on scott.msr1 to versuch1; connect versuch1versuch1@dv select * from scott.msr1; 11

12 Umgang mit Rules Regelwerken: Aufgabe: Anmeldung eines Users nur von einem bestimmten ApplikationsserverClient. oder mit PLSQL: DECLARE BEGIN DVSYS.DBMS_MACADM.CREATE_RULE ( RULE_NAME => 'MSR_Check_application_user_connections', RULE_EXPR => 'UPPER(SYS_CONTEXT(''USERENV'',''SESSION_USER'')) = UPPER(''&DBV_USER'') AND UPPER(SYS_CONTEXT(''USERENV'',''IP_ADDRESS'')) IN (UPPER(''&APPLICATION_IP''))' ); END; Aufgabe: Anmeldung mit SYSDBA Recht nur zulassen wenn DVOWNER ebenfalls zeitgleich angemeldet ist. CREATE OR REPLACE FUNCTION check_dvowner_logged_in return varchar2 authid current_user as v_session_number number := 0; v_allow varchar2(10) := 'TRUE'; v_deny varchar2(10) := 'FALSE'; BEGIN SELECT COUNT(*) INTO v_session_number FROM SYS.V_$SESSION WHERE USERNAME = 'DVOWNER'; IF v_session_number > 0 THEN RETURN v_allow; ELSE RETURN v_deny; END IF; END check_dvowner_logged_in; 12

13 Fazit & Tipps & Erfahrungen: DBA oder Any Rechte werden durch Database Vault abgefangen. Explizit vergebene Rechte wie z.b. Grant select on scott.msr1 gehen immer vor (Database Vault greift hier nicht ein). Prüfungen auf individuelle Rechte sind zwingend notwendig. z.b. Nur ein als Owner in einem Realm eingetragener Benutzer kann individuelle Rechte z.b. Select on table vergeben. Mit diesem Recht sparsam umgehen. Mit Schutzfunktionen nicht sparsam umgehen. Z.B. es ist besser alle Objekte eines Benutzers durch Wildcards zu schützen, statt einzelne Tabellen. (ein berechtigter Benutzer kann sonst ein ungescütztes Objekt anlegen durch z.b. Create Table as select...) Am einfachsten ist es DV-Mechanismen auf ein fertiges installiertes System aufzusetzen um die Auswirkungen auf die EntwicklungInstallationsprozedur zu minimieren. Die Rechteverwaltung von DV zieht sofort, wenn die Rechte angelegt werde!!!! (z.b. Vorsicht mit Regeln die Zugang von bestimmten Rechnern festlegen). Ideal ist die Erzeugung der DV RegelnRechte... mit einem PLSQL Skript. Ein Undo-Skript kann sich manchmal während der Entwicklung als hilfreich erweisen..b. DECLARE BEGIN DVSYS.DBMS_MACADM.DELETE_RULE_SET ( RULE_SET_NAME => 'MSR_Database_Instance_Access' ); COMMIT; END; Schutzmöglichkeiten sind umfangreich und genial. Der Einfluss auf bestehende Anwendungen und den Betrieb ist in der Regel minimal (muss aber geprüft werden). Ein Sicherheitskonzept muss erstellt werden, ein Einschalten von DV alleine reicht nicht aus. 13