Oracle共享账户安全保障之道（oracle共享账户）

Oracle共享账户安全保障之道

在企业信息化发展的过程中，Oracle数据库被广泛应用。然而，Oracle数据库中共享账户的使用容易导致安全问题。如何在使用Oracle共享账户的同时保障安全成为企业面临的挑战。本文将介绍Oracle共享账户安全保障的方法。

1. 用户访问控制

对于共享账户，必须限制访问权限。 一般情况下，使用标准的系统权限（如ROOT、SYSDBA）来访问特权通常都是不安全的。具体策略可以通过以下步骤实施：

（1）为特权用户创建一个新的组，例如：ora_dba：

$ groupadd ora_dba

（2）创建一个新的用户(例如：ora_user)，并将用户添加到组ora_dba中：

$ useradd -g ora_dba ora_user

（3）创建一个新的权限文件描述符(例如：/u01/app/oracle/config/dbora.cnf)，其中指定并屏蔽掉其他所有用户(包括root超级用户)：

SQLNET.AUTHENTICATION_SERVICES= (NTS,TNSPING)

SQLNET.AUTHENTICATION_PEER_CLIENT = TRUE

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)

NAMES.IGNORECASE=TRUE

WALLET_LOCATION = (SOURCE=(METHOD=FILE)(METHOD_DATA= (DIRECTORY=/u01/app/oracle/admin/orcl/wallet)))

（4）将该Oracle共享账户分配到用户组ora_dba中，以允许对特权权限进行访问：

$ chown ora_user:ora_dba /u01/app/oracle/config/dbora.cnf

$ chmod 640 /u01/app/oracle/config/dbora.cnf

此时，共享帐户ora_user可以访问Oracle数据库的任何特权资源。但请注意，应尽量避免共享帐户直接访问数据库。

2.追踪记录

为了检测任何潜在安全问题，必须记录轨迹记录。Oracle的Tracing功能可用于保护共享帐户免受潜在的入侵或未经授权的访问。以下示例演示了如何在Oracle中启用跟踪功能：

ALTER SYSTEM SET audit_trl = DB,EXTENDED SCOPE=SPFILE;

ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=SPFILE;

ALTER SYSTEM SET audit_file_dest = ‘/u01/app/oracle/admin/orcl/adump’ SCOPE=SPFILE;

ALTER SYSTEM SET audit_file_dest_size = 2048M SCOPE=SPFILE;

在此示例中，设置了数据库级别跟踪功能的记录，防止他人篡改，同时将跟踪日志存储在独立的目录中以便及时查看。

3.加密

可尝试使用额外的加密措施来增强安全性。例如，使用SSL或TLS加密来防止未经授权的窃听或类似的中间人攻击，等等。

以下是一个SSL加密示例，它涉及在Oracle服务器上生成自签名证书、向Oracle SSL库中添加证书等等：

openssl genrsa -des3 -out server.key 2048

openssl rsa -in server.key -out server.key.insecure

openssl req -new -key server.key.insecure -out server.csr

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

$ orapki wallet create -wallet ‘/u01/app/oracle/admin/orcl/wallet’ -pwd Wallet123 -auto_login

$ orapki wallet add -wallet ‘/u01/app/oracle/admin/orcl/wallet’ -trusted_cert -cert /tmp/server.crt -pwd Wallet123

接下来，可以在sqlnet.ora文件中加入以下语句，以启用SSL：

WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/example/oracle/wallet)))

SSL_CLIENT_AUTHENTICATION=TRUE

SSL_CIPHER_SUITES=(SSL_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_AES_128_CBC_SHA)

这里，将WALLET_LOCATION选项的值设为新建钱包的路径，以及进行了其他一些修改。重启Oracle服务器以使这些更改生效。

企业必须采取措施加强Oracle共享账户的安全性，以避免潜在的安全威胁和数据泄露。用户访问控制、追踪记录和加密等技术可以在使用共享帐户时，确保安全和保护企业敏感数据。