que faire des recommandation oracle

**gold15** · 02/02/2011, 16h32

Bonjour
Avec oracle 10 sous windows
Oracle recommande de révoquer pour le groupe PUBLIC les privilèges EXECUTE portant sur des packages importants
Package DBMS_RANDOM UTL_TCP UTL_HTTP UTL_SMTP UTL_FILE

Le faire avec les commandes de type
REVOKE EXECUTE ON "SYS"."DBMS_RANDOM" FROM "PUBLIC";
Fonctionne mais je vois apparaitre alors
5 Objet invalide pour le schémas DMSYS.
9 objet(s) non valide(s) dans le schéma OLAPSYS.

D'ou la question doit on oui ou non prendre en compte les recommandation ?

D'avance merci de toutes pistes

**ojo77** · 02/02/2011, 16h45

Le fait de laisser ces packages acessible à des utilisateurs permet d'injecter des données dans la base sans y être autorisé, c'est une faille de sécurité.

Rien n'empêche de redonner les droits sur ces packages aux utilisateurs DMSYS, OLAPSYS directement et de vérouiller ces comptes.

**vinc26** · 06/04/2011, 09h08

Pareille j'ai eu des alertes suite au REVOKE
5 Objet invalide pour le schémas DMSYS.
9 objet(s) non valide(s) dans le schéma OLAPSYS.

Faut il faire quelque chose ou pas?

**Heaven93** · 06/04/2011, 12h24

invalides après recompilation ?
sinon, tout à fait d'accord avec OJO77. c'est bien de redonner les droits de manière chirurgicale s'ils sont nécessaires

Bonne journée

**laurentschneider** · 06/04/2011, 16h09

Envoyé par ojo77

Le fait de laisser ces packages acessible à des utilisateurs permet d'injecter des données dans la base sans y être autorisé, c'est une faille de sécurité.

Pas tout à fait d'accord.

DBMS_RANDOM :

il y a trop de développeurs qui utilisent DBMS_RANDOM pour crypter leurs données et que DBMS_RANDOM ne génère que des nombres pseudo-aléatoire (pour la même SEED, on a toujours la même suite de nombres générés), donc prévisibles. On enlève l'accès au package.
Ca ne fixe aucune faille, ça empêche d'utiliser DBMS_RANDOM à des fins de cryptographies (c'est un peu le serpent qui se mort la queue)

UTL_TCP UTL_HTTP UTL_SMTP:

Mieux vaut configurer le Fine-Grained Access to External Network Services si on employe ces packages. C'est vrai qu'il y a eu des bugs.

UTL_FILE:

Il y a eu trop de dba boiteux qui ont mis utl_file_dir=* ou donner le droit "create any directory" à n'importe qui, donc pour contrer la débilité du dba, Oracle conseille d'enlever le droit execute d'UTL_FILE

Bon, à ta place j'enlèverais ces polices de OEM (dans Metric and Policy settings), plutôt que d'enlever les droits.

Si c'était si critique, Oracle ne donnerait pas ces droit par défaut, non?

**mnitu** · 06/04/2011, 16h24

"Other Security Considerations"

[Edit]
Mais, de tout façon ça n'existe qu'à partir de la 11g.
[/Edit]

**laurentschneider** · 06/04/2011, 16h44

va pour revoke from public pour les packages réseau

bon, je n'aime pas trop ces 12437 violations dans grid, quand les 99% sont des ports ouverts et des execute sur les packages si dessus.

Warning plutôt que Critical

?

**DROE_78** · 03/06/2011, 21h02

il y a eu trop de dba boiteux qui ont mis utl_file_dir=* ou donner le droit "create any directory" à n'importe qui, donc pour contrer la débilité du dba, Oracle conseille d'enlever le droit execute d'UTL_FILE

ca serait cool d’éviter ce genre de propos, ça donne vraiment pas envie de continuer à lire, Expert ou pas

que faire des recommandation oracle

Oracle

Vue hybride

Partager

Partager