Bloquer Connect / as sysdba

ktano · 27/06/2011, 16h34

j'ai modifié les comptes sys et system lors de la création base.
Pourtant je peux toujours me connecter sous sql+
avec "connect titi/titi as sysdba" ou "connect / as sysdba".

Comment bloquer cette possibilité, car n'importe qui peut se connecter
à la base.

Pomalaix · 27/06/2011, 18h11

N'importe qui, c'est un peu exagéré...

La connexion AS SYSDBA sans mot de passe ou avec un mot de passe bidon ne marche que si vous avez ouvert une session Windows avec un compte qui figure dans le groupe Windows ORA_DBA. (Remplacer "Windows" par "Unix" et "ORA_DBA" par "dba" si nécessaire).

Néanmoins, si vous voulez que ce soit impossible en toutes circonstances, il faut avoir dans votre SQLNET.ORA

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SQLNET.AUTHENTICATION_SERVICES=NONE

orafrance · 28/06/2011, 11h19

Et bien entendu, supprimer les droits en écriture sur ce fichier

pachot · 28/06/2011, 14h44

Bonjour,

Citation:

Envoyé par orafrance

Et bien entendu, supprimer les droits en écriture sur ce fichier

mais de toute façon, il suffit de mettre son propre sqlnet.ora n'importe où et de pointer TNS_ADMIN dessus.

Le fait de mettre un user windows dans le groupe ORA_DBA l'autorise à pouvoir se connecter sysdba sans mot de passe.

Cordialement,
Franck.

WOLO Laurent · 28/06/2011, 17h32

Citation:

Envoyé par pachot

Bonjour,

mais de toute façon, il suffit de mettre son propre sqlnet.ora n'importe où et de pointer TNS_ADMIN dessus.

Le fait de mettre un user windows dans le groupe ORA_DBA l'autorise à pouvoir se connecter sysdba sans mot de passe.

Cordialement,
Franck.

Il faut quand même le dire c'est une grosse faille !

pachot · 28/06/2011, 18h23

Citation:

Envoyé par WOLO Laurent

Il faut quand même le dire c'est une grosse faille !

Une faille ? Non ! Un utilisateur explicitement déclaré DBA à droit d'accéder à la base.
Normal. On est entièrement libre de choisir qui.

laurentschneider · 29/06/2011, 16h50

idem sur Unix, pour prévenir les utilisateurs de faire connect / as sysdba, soit il faut ne pas leur donner le groupe dba, soit il faut carrément ne peut leur donner d'accès système du tout au serveur de base de données.

Bon, pour les maniaques de la séparation des rôles, il y a toujours Oracle Database Vault

27/06/2011, 16h34	#1
ktano Nouveau Membre du Club Inscription : novembre 2005 Messages : 41 Détails du profil Informations forums : Inscription : novembre 2005 Messages : 41 Points : 33 Points : 33	Bloquer Connect / as sysdba j'ai modifié les comptes sys et system lors de la création base. Pourtant je peux toujours me connecter sous sql+ avec "connect titi/titi as sysdba" ou "connect / as sysdba". Comment bloquer cette possibilité, car n'importe qui peut se connecter à la base.
	00

27/06/2011, 18h11	#2
Pomalaix Rédacteur Inscription : décembre 2002 Messages : 2 387 Détails du profil Informations personnelles : Localisation : France, Var (Provence Alpes Côte d'Azur) Informations forums : Inscription : décembre 2002 Messages : 2 387 Points : 3 265 Points : 3 265	N'importe qui, c'est un peu exagéré... La connexion AS SYSDBA sans mot de passe ou avec un mot de passe bidon ne marche que si vous avez ouvert une session Windows avec un compte qui figure dans le groupe Windows ORA_DBA. (Remplacer "Windows" par "Unix" et "ORA_DBA" par "dba" si nécessaire). Néanmoins, si vous voulez que ce soit impossible en toutes circonstances, il faut avoir dans votre SQLNET.ORA Code : Sélectionner tout - Visualiser dans une fenêtre à part SQLNET.AUTHENTICATION_SERVICES=NONE __________________ Consultant / formateur Oracle indépendant Certifié OCP 10g et 11g, sécurité 11g
	00

28/06/2011, 11h19	#3
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 861 Détails du profil Informations personnelles : Âge : 34 Informations forums : Inscription : janvier 2004 Messages : 15 861 Points : 16 212 Points : 16 212	Et bien entendu, supprimer les droits en écriture sur ce fichier __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

29/06/2011, 16h50	#7
laurentschneider Expert Confirmé Sénior Laurent Schneider Administrateur de base de données Inscription : décembre 2005 Messages : 2 925 Détails du profil Informations personnelles : Nom : Laurent Schneider Localisation : Suisse Informations professionnelles : Activité : Administrateur de base de données Secteur : Finance Informations forums : Inscription : décembre 2005 Messages : 2 925 Points : 4 547 Points : 4 547	idem sur Unix, pour prévenir les utilisateurs de faire connect / as sysdba, soit il faut ne pas leur donner le groupe dba, soit il faut carrément ne peut leur donner d'accès système du tout au serveur de base de données. Bon, pour les maniaques de la séparation des rôles, il y a toujours Oracle Database Vault __________________ Mon blog : laurentschneider.com Mon livre : Advanced Oracle SQL Programming
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email