Discussion :

[motard6]

Bonjour,

Je suis un projet web (PHP) avec une base de données Oracle 12c.
On me demande de ne pas utiliser le compte SYS c'est à dire de le verrouiller ou de le désactiver et de créer un compte équivalent à SYS afin de faire les différentes opérations sur la base de données.
J'ai des commandes pour désactiver SYS ( Alter user sys account lock et alter user sys password expired) mais lorsque je fais "conn sys as sysdba" plus le mot de passe j'arrive à me connecté.
Pouvez vous me dire s'il est possible de désactiver ce compte ?
Si oui, quelle est la procédure ainsi que de créer un compte équivalent en privilège a SYS.

Auriez vous aussi des procédures afin de sécuriser une base 12C ?

Merci d'avance pour vos réponses.

[mnitu]

Le compte sys est spécial donc il n'est pas verrouillé en dépit de fait qu'il peut être "verrouillé". il est verrouillé mais vous pouvez vous connecter toujours via sysdba.
Pour le reste lisez 2 Day DBA et 2 DAY Security Guide (juste le chapitre qui vous intéresse).

[fouedgr]

Bonjour,
Pour repondre a la volee a la partie : "procédure ainsi que de créer un compte équivalent en privilège a SYS " : vous pouvez créer un user (disons mon_dba) et lui accorder :
grant sysdba to mon_dba;
Mais lorsque vous vous connecter ainsi :
SQL> conn mon_dba /as sysdba
vous allez vous retrouver en tant que sys

When you connect with the SYSDBA or SYSOPER privilege, you connect with a default schema, not with the schema that is generally associated with your user name. For SYSDBA this schema is SYS; for SYSOPER the schema is PUBLIC.

[Ikebukuro]

"On me demande de ne pas utiliser le compte SYS c'est à dire de le verrouiller ou de le désactiver et de créer un compte équivalent à SYS afin de faire les différentes opérations sur la base de données"
C'est quand même bizarre comme demande, non?
Pourquoi vouloir désactiver SYS? Pour quelle raison précise il faut faire ça?

Tu peux utiliser SYSOPER pour tes opérations mais désactiver SYS... ça ne me viendrait pas à l'idée!

[mnitu]

Non c'est normal, nul besoin de connexion comme utilisateur SYS et SYSTEM dans l'exploitation journalière de la base . Les comptes SYS et SYSTEM appartient à Oracle et normalement personne ne devrait se connecter avec ces comptes sauf situation exceptionnelle. Un autre utilisateur devrait être crée avec les droits d'administration nécessaires et le privilège SYSDBA devrait être donner à cet utilisateur. Souvent la connexion à distance avec l'utilisateur SYS est rendu inopérante.

[Ikebukuro]

mnitu, il y a plusieurs points ici à discuter :
1) motard6 propose de désactiver le compte SYS : il ne dit pas qu'il veut seulement créer un compte pour le remplacer mais carrément le désactiver! Ca va pas poser de problème dans l'utilisation quotidienne de la base? Est-ce que Oracle n'utilise pas ce compte en interne? C'est quant même le compte propriétaire du dictionnaire de données, non?
En ce qui me concerne je suis contre sa désactivation (et d'ailleurs est-ce vraiment possible?), par pur principe de précaution et la trouille de faire une grosse connerie

2) si je créé un nouveau user avec le privilège SYSDBA, j'ai quand même énormément de droits donc potentiellement le même pouvoir de "nuisance" que le compte SYS mal utilisé. Donc pourquoi ne pas utiliser SYSOPER plutôt que créer un nouveau compte avec un privilège si important?

[mnitu]

1) Lisez aussi Sys and system security
2) SYSDBA si besoin SYSOPER où ça suffit bien sûr.

[motard6]

Merci à tous pour vos réponses

En ce qui concerne la désactivation du compte c'est les administrateurs de sécurité de mon entreprise qui me le demande car pour une imputabilité tout compte qui se connecte a la base doit être nominatif (traçage dans les logs des différentes actions au cas un admin fait une fausse manip)
Voici ce que j ai fais :

J'ai créé un compte nom_admin_dba auquel je lui ai donné le rôle SYSDBA.
Est ce que cela suffit pour administrer ma base de donnée ?

J'ai ensuite verrouillé le compte sys (Alter user sys account lock et alter user sys password expired) mais lorsque je fais "conn sys as sysdba" plus le mot de passe j'arrive à me connecté.
Est ce normal , car lorsque que je fais la requête dans la table dba_users le compte SYS est bien verrouillé.

Merci

[fouedgr]

Mnitu a déjà expliqué que sys est spécial quant au verrouillage. Aussi si vous accorder le privilège sysdba a un user il finira par être connecté en tant que sys.
Si vous voulez éviter cela, il faut créer un user et lui accorder seuls les privileges que vous désirez (peut être grant dba role ou des privilèges spécifiques mais non SYSDBA )