IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

 Oracle Discussion :

que faire des recommandation oracle


Sujet :

Oracle

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre éclairé
    Profil pro
    Inscrit en
    Octobre 2008
    Messages
    209
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Octobre 2008
    Messages : 209
    Par défaut que faire des recommandation oracle
    Bonjour
    Avec oracle 10 sous windows
    Oracle recommande de révoquer pour le groupe PUBLIC les privilèges EXECUTE portant sur des packages importants
    Package DBMS_RANDOM UTL_TCP UTL_HTTP UTL_SMTP UTL_FILE

    Le faire avec les commandes de type
    REVOKE EXECUTE ON "SYS"."DBMS_RANDOM" FROM "PUBLIC";
    Fonctionne mais je vois apparaitre alors
    5 Objet invalide pour le schémas DMSYS.
    9 objet(s) non valide(s) dans le schéma OLAPSYS.

    D'ou la question doit on oui ou non prendre en compte les recommandation ?

    D'avance merci de toutes pistes

  2. #2
    Membre Expert Avatar de ojo77
    Homme Profil pro
    Architecte de base de données
    Inscrit en
    Décembre 2010
    Messages
    680
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte de base de données
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Décembre 2010
    Messages : 680
    Par défaut
    Le fait de laisser ces packages acessible à des utilisateurs permet d'injecter des données dans la base sans y être autorisé, c'est une faille de sécurité.

    Rien n'empêche de redonner les droits sur ces packages aux utilisateurs DMSYS, OLAPSYS directement et de vérouiller ces comptes.

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    Juillet 2003
    Messages
    11
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2003
    Messages : 11
    Par défaut
    Pareille j'ai eu des alertes suite au REVOKE
    5 Objet invalide pour le schémas DMSYS.
    9 objet(s) non valide(s) dans le schéma OLAPSYS.

    Faut il faire quelque chose ou pas?

  4. #4
    Membre émérite
    Femme Profil pro
    Administrateur de base de données
    Inscrit en
    Novembre 2007
    Messages
    419
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Novembre 2007
    Messages : 419
    Par défaut
    invalides après recompilation ?
    sinon, tout à fait d'accord avec OJO77. c'est bien de redonner les droits de manière chirurgicale s'ils sont nécessaires
    Bonne journée

  5. #5
    Expert confirmé
    Avatar de laurentschneider
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Décembre 2005
    Messages
    2 944
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2005
    Messages : 2 944
    Par défaut
    Citation Envoyé par ojo77 Voir le message
    Le fait de laisser ces packages acessible à des utilisateurs permet d'injecter des données dans la base sans y être autorisé, c'est une faille de sécurité.
    Pas tout à fait d'accord.

    DBMS_RANDOM :

    il y a trop de développeurs qui utilisent DBMS_RANDOM pour crypter leurs données et que DBMS_RANDOM ne génère que des nombres pseudo-aléatoire (pour la même SEED, on a toujours la même suite de nombres générés), donc prévisibles. On enlève l'accès au package.
    Ca ne fixe aucune faille, ça empêche d'utiliser DBMS_RANDOM à des fins de cryptographies (c'est un peu le serpent qui se mort la queue)

    UTL_TCP UTL_HTTP UTL_SMTP:

    Mieux vaut configurer le Fine-Grained Access to External Network Services si on employe ces packages. C'est vrai qu'il y a eu des bugs.

    UTL_FILE:

    Il y a eu trop de dba boiteux qui ont mis utl_file_dir=* ou donner le droit "create any directory" à n'importe qui, donc pour contrer la débilité du dba, Oracle conseille d'enlever le droit execute d'UTL_FILE


    Bon, à ta place j'enlèverais ces polices de OEM (dans Metric and Policy settings), plutôt que d'enlever les droits.

    Si c'était si critique, Oracle ne donnerait pas ces droit par défaut, non?

  6. #6
    Expert confirmé Avatar de mnitu
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2007
    Messages
    5 611
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Marne (Champagne Ardenne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2007
    Messages : 5 611
    Par défaut
    "Other Security Considerations"

    [Edit]
    Mais, de tout façon ça n'existe qu'à partir de la 11g.
    [/Edit]

  7. #7
    Expert confirmé
    Avatar de laurentschneider
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Décembre 2005
    Messages
    2 944
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2005
    Messages : 2 944
    Par défaut
    va pour revoke from public pour les packages réseau

    bon, je n'aime pas trop ces 12437 violations dans grid, quand les 99% sont des ports ouverts et des execute sur les packages si dessus.

    Warning plutôt que Critical ?

  8. #8
    Membre à l'essai
    Profil pro
    Administrateur de base de données
    Inscrit en
    Octobre 2009
    Messages
    7
    Détails du profil
    Informations personnelles :
    Âge : 53
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Octobre 2009
    Messages : 7
    Par défaut
    il y a eu trop de dba boiteux qui ont mis utl_file_dir=* ou donner le droit "create any directory" à n'importe qui, donc pour contrer la débilité du dba, Oracle conseille d'enlever le droit execute d'UTL_FILE
    ca serait cool d’éviter ce genre de propos, ça donne vraiment pas envie de continuer à lire, Expert ou pas

+ Répondre à la discussion
Cette discussion est résolue.

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo