obrigada colega. Sou DA, mas faço tudo de DBA, aqui não temos DBA.... lógico, isso é pra pagar menos... abraços Cris ----- Original Message ----- From: jlchiappa To: oracle_br@yahoogrupos.com.br Sent: Monday, June 04, 2007 2:12 PM Subject: [oracle_br] Re: Segurança
OK, isso não estava claro na sua msg original. De qquer forma colega, ainda no espírito de comentar em geral a sua política de segurança antes de responder, eu OBSERVARIA que um DA (data Administrador) por definição NÂO FAZ trabalho de DBA, que é quem mexe "dentro" do banco, faz upgrades, alterações estruturais de banco... Um DA cria/altera/remove ESTUTURAS DE DADOS e as testa, então imho um usuário que tenha recebido SELECT ANY TABLE, e via procedure (para bloquear acesso ao schema SYS) possa exercer privs de CREATE ANY, ALTER ANY TABLE, ANALYZE ANY, DROP ANY TABLE e similares faria 99.99% do trabalho de um DA, não vejo O MENOR SENTIDO em um usuário desses ter priv de DBA.... Mas comentando a resposta da pergunta que vc fez, o fato é mesmo o que eu disse : SE vc não executar o plus digitando sqlplus usuario/[EMAIL PROTECTED], e nem ter a senha dentro de scripts e quetais (e sim SEMPRE fazendo sqlplus [EMAIL PROTECTED]), screen readers e colegas pescoçudos não interfeririam, E como disse a senha em si sempre trafega criptografada (se vc seguir o recomendado e a trocar frequentemente ainda que seja capturado o pacote de rede ele estrá criptografado, até poder ser revertido a senha já mudou em tese), então o sqlplus é "seguro", sim, a única brecha para segurança (não só de sqlplus, mas da maioria dos programas) seria mesmo keyloggers, que capturem a digitação do seu teclado, pra evitar isso como eu disse só mesmo com anti-spywares, anti-rootkits e verificação de segurança FREQUENTE na sua máquina cliente. []s Chiappa --- Em oracle_br@yahoogrupos.com.br, "ESTUDO" <[EMAIL PROTECTED]> escreveu > > Oi amigo. Somente um usuário tem role de DBA, é é o que eu eu (DA) uso. Só eu tenho a senha. > Obrigada > Cris > ----- Original Message ----- > From: jlchiappa > To: oracle_br@yahoogrupos.com.br > Sent: Saturday, June 02, 2007 8:35 PM > Subject: [oracle_br] Re: Segurança > > > Bom, primeiro "usuário com role de dba" , isso ABSOLUTAMENTE, > TOTALMENTE, não faz sentido ALGUM, isso é um rombo total de segurança, > se preocupar com captura de senha quando vc tem usuário > super-privilegiado é algo semelhante a se preocupar com fechadura na > janela quando a porta da frente tá aberta e escancarada.... O ponto > BÁSICO de segurança é que um usuário só vai ter os privilégios ** > mínimos ** que necessita, nunca dar DBA pra ninguém que não seja > DBA!!! Tem muito desenvolvedor/analista "preguiçoso" que não quer se > "preocupar" em levantar quaise sejam os privs necessários e pede grant > de DBA, mas pergunta pra mim se no meu banco eles recebem isso :) > Quanto à senha, sim : sqlplus é uma ferramenta em modo texto, > portanto TODA e QUALQUER entrada de dados é feita em modo-texto, um > keylogger as capturaria, sim... Um netlogger não as capturaria em > plain-text, já que desde a v7 as SENHAS TODAS sempre circulam pela > rede (entre o cliente e o banco) criptografadas, mas um keylogger > sim... Mas isso faz parte do procedimento de segurança mais genérico, > de se ter antispyware e antivírus sempre atualizados na máquina, de > HAVER um departamento na Empresa preocupado com isso, que > rotineiramente esteja sempre re-aplicando e revendo políticas de > segurança... É por aí. > > []s > > Chiappa > --- Em oracle_br@yahoogrupos.com.br, "ESTUDO" <estudo2003@> escreveu > > > > então pessoal, pegando esse gatilho.. estive pensando aqui.. > > Temos um usuário que é o owner, e esse usuário tem a role de dba, é > com ele que logo no plus pra poder fazer alterações e tudo mais. > > Me digam, é seguro logar no plus? Pois a minha senha é alfanumerica > de 6 caracteres. Algum progama consegue "capturar" essa senha? > > Obrigada > > > > Cris > > ----- Original Message ----- > > From: Bia Fitzgerald > > To: oracle_br@yahoogrupos.com.br > > Sent: Thursday, May 24, 2007 9:57 AM > > Subject: Res: [oracle_br] Segurança > > > > > > ahhh, sim.. Muito obrigada. > > :) > > > > ----- Mensagem original ---- > > De: Gustavo Venturini de Lima <gventurini@> > > Para: oracle_br@yahoogrupos.com.br > > Enviadas: Quarta-feira, 23 de Maio de 2007 18:34:19 > > Assunto: Re: [oracle_br] Segurança > > > > Na verdade a trigger não fica ligada a ninguém... Ela fica escutando o > > "banco todo" no geral... > > Se "algo" satisfazer a condição da trigger, ela será ativada... > > No caso, utilize uma "AFTER LOGON ON DATABASE" > > Parecido com isso: > > > > CREATE OR REPLACE TRIGGER SomenteSistema AFTER LOGON ON DATABASE > > BEGIN > > . > > {suas condições e ações} > > . > > END; > > > > Em 23/05/07, Bia Fitzgerald <dbaemapuros@ yahoo.com. br> escreveu: > > > > > > Oi, Gustavo. Imaginei algo assim. Um job, talvez. Que rode o tempo > > > inteiro. > > > Mas uma Trigger ficaria ligada a quem?? > > > Obrigada. > > > > > > ----- Mensagem original ---- > > > De: Gustavo Venturini de Lima <[EMAIL PROTECTED] com<gventurini% > 40gmail.com> > > > > > > > Para: [EMAIL PROTECTED] os.com.br <oracle_br%40yahoog > rupos.com. br> > > > Enviadas: Quarta-feira, 23 de Maio de 2007 16:55:21 > > > Assunto: Re: [oracle_br] Segurança > > > > > > Bia, para o Oracle a conexão será a mesma (independente do método > > > utilizado). > > > Porém, podes fazer uma trigger que consulte o campo "program" da > > > v$session.. > > > Lá aparecerá o Toad.exe por exemplo, e aí sim vc escolhe para > desconectar > > > o > > > usuário... > > > Ou então colocar que se for <> de NOME_DA_SUA_ APP ele desconecta o > > > cara... > > > > > > Em 23/05/07, Bia Fitzgerald <dbaemapuros@ yahoo.com. br> escreveu: > > > > > > > > Olá pessoal... > > > > > > > > Alguém sabe como impedir que um determinado usuário acesse o > BD via > > > > aplicativos como sqlplus e TOAD e somente acesse via sistema? > > > > Obrigada, > > > > Bia. > > > > > > > > ____________ _________ _________ _________ _________ __ > > > > Fale com seus amigos de graça com o novo Yahoo! Messenger > > > > http://br.messenger .yahoo.com/ > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > > > > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > ____________ _________ _________ _________ _________ __ > > > Fale com seus amigos de graça com o novo Yahoo! Messenger > > > http://br.messenger .yahoo.com/ > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > __________________________________________________ > > Fale com seus amigos de graça com o novo Yahoo! Messenger > > http://br.messenger.yahoo.com/ > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > [As partes desta mensagem que não continham texto foram removidas]