[oracle_br] Re: Proteger usuarios com super privilegios.
Colega, só para deixar bem claro : na verdade o procedimento CORRETO é ** não ** dar privilégios superpoderosos para usuários não-DBA, sim ? Não conte com opções de "proteger" , de "limitar os danos que o não-DBA possa fazer", o Certo e Recomendado é usar uma política de less privileges, ie, cada um só tem O MÍNIMO que efetivamente precisa, sim ??? []s Chiappa --- Em oracle_br@yahoogrupos.com.br, Alessandro Lúcio Cordeiro da Silva escreveu > > Olá Chiappa, > > Foi o que imaginei, não existe nenhum controle nativo do Oracle para > proteger os super usuarios. Pois li o livro Oracle Database 11g DBA Handbook > de McGraw Hill no capitulo 9 "Database Security and Auditing" e não menciona > nada parecido. > > Mas muito obrigado, pela dica de procudure que troca a senha, é mais uma > opção de posso analisar alem da trigger DDL. > > > > Alessandro Lúcio Cordeiro da Silva > Analista de Sistema > þ http://alecordeirosilva.blogspot.com/ > O tic-tac do relógio me lembra de algo muito importante que esta acontecendo: > estamos vivos. > "Joana de Souza Schmitz Croxato" > > > > > De: J. Laurindo Chiappa > Para: oracle_br@yahoogrupos.com.br > Enviadas: Segunda-feira, 18 de Fevereiro de 2013 12:19 > Assunto: [oracle_br] Re: Proteger usuarios com super privilegios. > > > > Colega, o RDBMS está fazendo ** EXATAMENTE ** o que vc mandou : como > documentado no manual "Oracle® Database SQL Language Reference 11g" (na > entrada sobre GRANT) o privilégio ALTER USER spermite que o recebedor altere > QUALQUER USUÁRIO, inclusive DBAs, SEM EXCEÇÃO... SE vc não quer que os > sujeitos alterem QUALQUER UM, simplesmente NÂO CONCEDA ESSE PRIVILÉGIO, okdoc > ? É o mesmo caso que os privilégio ANY : os objetos > permitidos/acessibilizados por um ANY são TODOS, sem exceção - Não Existe a > figura do operador EXCEPT num GRANT para se estabelecer exceções a um > privilégio no RDBMS Oracle... > Sendo assim, a técnica mais comum é o usuário SYSDBA (que normalmente possue, > ou pode se autorgar, privilégios todos) criar uma PROCEDURE que faça a > operação desejada (o ALTER USER no caso - provavelmente o nome do usuário é > passado como argumento), MAS que também : > - critique a entrada > E > - faça uma AUDITORIA, gravando/registrando em algum lugar a alteração > > aó o DBA ao invés de GRANT ALTER USER vai dar um GRANT EXECUTE > nomedaprocedure TO usuarioanalistadesuporte; > > []s > > Chiappa > > > --- Em oracle_br@yahoogrupos.com.br, Alessandro Lúcio Cordeiro da Silva > escreveu > > > > > > > > Bom dia Senhores, > > > > Existe uma situação que gostaria de ver o que vocês acham melhor. Na > > empresa existe vários usuarios que são do suporte/Help-desk de sistema, e > > estes usuarios tem o privilegio de alterar as senhas dos usuarios. Mas como > > proteger os usuarios com super privilegios no banco de dados? > > > > Veja o caso abaixo. > > > > > > C:\>sqlplus /nolog > > > > SQL*Plus: Release 11.2.0.2.0 Production on Seg Fev 18 08:56:44 2013 > > > > Copyright (c) 1982, 2010, Oracle. All rights reserved. > > > > SQL> connect system@xe > > Conectado. > > SQL> create user analista_suporte identified by senha; > > > > Usuário criado. > > > > SQL> grant connect, resource to analista_suporte; > > > > Concessão bem-sucedida. > > > > SQL> grant alter user to analista_suporte; > > > > Concessão bem-sucedida. > > > > SQL> exit > > Desconectado de Oracle Database 11g Express Edition Release 11.2.0.2.0 - > > Production > > > > C:\>sqlplus /nolog > > > > SQL*Plus: Release 11.2.0.2.0 Production on Seg Fev 18 08:58:25 2013 > > > > Copyright (c) 1982, 2010, Oracle. All rights reserved. > > > > SQL> connect analista_suporte@xe > > Informe a senha: > > Conectado. > > SQL> alter user system identified by senha; > > > > Usuário alterado. > > > > SQL> alter user sys identified by senha; > > > > Usuário alterado. > > > > > > A unica maneira que pensei foi criar uma Trigger DDL provocanco erro se > > um determinado usuario tentar mudar a senha de super usuario e/ou DBA's. > > Alguem tem alguma outra solução, de preferencia nativa do Oracle já no > > controle de acesso de GRANT/REVOKE. > > > > > > > > Alessandro Lúcio Cordeiro da Silva > > Analista de Sistema > > þ http://alecordeirosilva.blogspot.com/ > > O tic-tac do relógio me lembra de algo muito importante que esta > > acontecendo: estamos vivos. > > "Joana de Souza Schmitz Croxato" > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > > > > [As partes desta mensagem que não continham texto foram removidas] >
Re: [oracle_br] Re: Proteger usuarios com super privilegios.
Olá Chiappa, Foi o que imaginei, não existe nenhum controle nativo do Oracle para proteger os super usuarios. Pois li o livro Oracle Database 11g DBA Handbook de McGraw Hill no capitulo 9 "Database Security and Auditing" e não menciona nada parecido. Mas muito obrigado, pela dica de procudure que troca a senha, é mais uma opção de posso analisar alem da trigger DDL. Alessandro Lúcio Cordeiro da Silva Analista de Sistema þ http://alecordeirosilva.blogspot.com/ O tic-tac do relógio me lembra de algo muito importante que esta acontecendo: estamos vivos. "Joana de Souza Schmitz Croxato" De: J. Laurindo Chiappa Para: oracle_br@yahoogrupos.com.br Enviadas: Segunda-feira, 18 de Fevereiro de 2013 12:19 Assunto: [oracle_br] Re: Proteger usuarios com super privilegios. Colega, o RDBMS está fazendo ** EXATAMENTE ** o que vc mandou : como documentado no manual "Oracle® Database SQL Language Reference 11g" (na entrada sobre GRANT) o privilégio ALTER USER spermite que o recebedor altere QUALQUER USUÁRIO, inclusive DBAs, SEM EXCEÇÃO... SE vc não quer que os sujeitos alterem QUALQUER UM, simplesmente NÂO CONCEDA ESSE PRIVILÉGIO, okdoc ? É o mesmo caso que os privilégio ANY : os objetos permitidos/acessibilizados por um ANY são TODOS, sem exceção - Não Existe a figura do operador EXCEPT num GRANT para se estabelecer exceções a um privilégio no RDBMS Oracle... Sendo assim, a técnica mais comum é o usuário SYSDBA (que normalmente possue, ou pode se autorgar, privilégios todos) criar uma PROCEDURE que faça a operação desejada (o ALTER USER no caso - provavelmente o nome do usuário é passado como argumento), MAS que também : - critique a entrada E - faça uma AUDITORIA, gravando/registrando em algum lugar a alteração aó o DBA ao invés de GRANT ALTER USER vai dar um GRANT EXECUTE nomedaprocedure TO usuarioanalistadesuporte; []s Chiappa --- Em oracle_br@yahoogrupos.com.br, Alessandro Lúcio Cordeiro da Silva escreveu > > > > Bom dia Senhores, > > Existe uma situação que gostaria de ver o que vocês acham melhor. Na > empresa existe vários usuarios que são do suporte/Help-desk de sistema, e > estes usuarios tem o privilegio de alterar as senhas dos usuarios. Mas como > proteger os usuarios com super privilegios no banco de dados? > > Veja o caso abaixo. > > > C:\>sqlplus /nolog > > SQL*Plus: Release 11.2.0.2.0 Production on Seg Fev 18 08:56:44 2013 > > Copyright (c) 1982, 2010, Oracle. All rights reserved. > > SQL> connect system@xe > Conectado. > SQL> create user analista_suporte identified by senha; > > Usuário criado. > > SQL> grant connect, resource to analista_suporte; > > Concessão bem-sucedida. > > SQL> grant alter user to analista_suporte; > > Concessão bem-sucedida. > > SQL> exit > Desconectado de Oracle Database 11g Express Edition Release 11.2.0.2.0 - > Production > > C:\>sqlplus /nolog > > SQL*Plus: Release 11.2.0.2.0 Production on Seg Fev 18 08:58:25 2013 > > Copyright (c) 1982, 2010, Oracle. All rights reserved. > > SQL> connect analista_suporte@xe > Informe a senha: > Conectado. > SQL> alter user system identified by senha; > > Usuário alterado. > > SQL> alter user sys identified by senha; > > Usuário alterado. > > > A unica maneira que pensei foi criar uma Trigger DDL provocanco erro se um > determinado usuario tentar mudar a senha de super usuario e/ou DBA's. Alguem > tem alguma outra solução, de preferencia nativa do Oracle já no controle de > acesso de GRANT/REVOKE. > > > > Alessandro Lúcio Cordeiro da Silva > Analista de Sistema > þ http://alecordeirosilva.blogspot.com/ > O tic-tac do relógio me lembra de algo muito importante que esta acontecendo: > estamos vivos. > "Joana de Souza Schmitz Croxato" > > [As partes desta mensagem que não continham texto foram removidas] > [As partes desta mensagem que não continham texto foram removidas]
[oracle_br] Re: Proteger usuarios com super privilegios.
Colega, o RDBMS está fazendo ** EXATAMENTE ** o que vc mandou : como documentado no manual "Oracle® Database SQL Language Reference 11g" (na entrada sobre GRANT) o privilégio ALTER USER spermite que o recebedor altere QUALQUER USUÁRIO, inclusive DBAs, SEM EXCEÇÃO... SE vc não quer que os sujeitos alterem QUALQUER UM, simplesmente NÂO CONCEDA ESSE PRIVILÉGIO, okdoc ? É o mesmo caso que os privilégio ANY : os objetos permitidos/acessibilizados por um ANY são TODOS, sem exceção - Não Existe a figura do operador EXCEPT num GRANT para se estabelecer exceções a um privilégio no RDBMS Oracle... Sendo assim, a técnica mais comum é o usuário SYSDBA (que normalmente possue, ou pode se autorgar, privilégios todos) criar uma PROCEDURE que faça a operação desejada (o ALTER USER no caso - provavelmente o nome do usuário é passado como argumento), MAS que também : - critique a entrada E - faça uma AUDITORIA, gravando/registrando em algum lugar a alteração aó o DBA ao invés de GRANT ALTER USER vai dar um GRANT EXECUTE nomedaprocedure TO usuarioanalistadesuporte; []s Chiappa --- Em oracle_br@yahoogrupos.com.br, Alessandro Lúcio Cordeiro da Silva escreveu > > > > Bom dia Senhores, > > Existe uma situação que gostaria de ver o que vocês acham melhor. Na > empresa existe vários usuarios que são do suporte/Help-desk de sistema, e > estes usuarios tem o privilegio de alterar as senhas dos usuarios. Mas como > proteger os usuarios com super privilegios no banco de dados? > > Veja o caso abaixo. > > > C:\>sqlplus /nolog > > SQL*Plus: Release 11.2.0.2.0 Production on Seg Fev 18 08:56:44 2013 > > Copyright (c) 1982, 2010, Oracle. All rights reserved. > > SQL> connect system@xe > Conectado. > SQL> create user analista_suporte identified by senha; > > Usuário criado. > > SQL> grant connect, resource to analista_suporte; > > Concessão bem-sucedida. > > SQL> grant alter user to analista_suporte; > > Concessão bem-sucedida. > > SQL> exit > Desconectado de Oracle Database 11g Express Edition Release 11.2.0.2.0 - > Production > > C:\>sqlplus /nolog > > SQL*Plus: Release 11.2.0.2.0 Production on Seg Fev 18 08:58:25 2013 > > Copyright (c) 1982, 2010, Oracle. All rights reserved. > > SQL> connect analista_suporte@xe > Informe a senha: > Conectado. > SQL> alter user system identified by senha; > > Usuário alterado. > > SQL> alter user sys identified by senha; > > Usuário alterado. > > > A unica maneira que pensei foi criar uma Trigger DDL provocanco erro se um > determinado usuario tentar mudar a senha de super usuario e/ou DBA's. Alguem > tem alguma outra solução, de preferencia nativa do Oracle já no controle de > acesso de GRANT/REVOKE. > > > > Alessandro Lúcio Cordeiro da Silva > Analista de Sistema > þ http://alecordeirosilva.blogspot.com/ > O tic-tac do relógio me lembra de algo muito importante que esta acontecendo: > estamos vivos. > "Joana de Souza Schmitz Croxato" > > [As partes desta mensagem que não continham texto foram removidas] >