Discussion :

[korian]

Bonjour,

[Solaris 10 + RAC 10.2.0.3]

Sur cette vieille plateforme (sic) qui ne peut évoluer pour diverses raisons, je dois améliorer la sécurité au maximum. Un audit me recommande de révoquer certains privilèges.

• ALTER SYSTEM pour DBA
• CREATE ANY LIBRARY pour IMP_FULL_DATABASE
• 'SELECT sur 3 tables DBA' pour PUBLIC
• EXECUTE ANY PROCEDURE pour OUTLN.

Tous ces privilèges ont été donnés par défaut, au fur et à mesure de la vie de la base.

En dépit de mes recherches, je n'ai rien trouvé sur la pertinence de ces mesures et surtout sur les éventuelles conséquences de ces révocations.

Je cherche un avis ou un document à lire traitant de ce sujet, svp.
Merci d'avance pour votre aide.

[mnitu]

Il est certes que si l'audit vous la recommande il doivent exister des risques pour votre base. La seule qui me pose un problème concerne le Alter System pour DBA mais peut être qu'il s'agit tout simplement du rôle DBA et donc pourquoi pas.
Via create any Library vous pouvez mapper un répertoire avec une bibliothèque C et donc faire des dégâts majeurs à partir de la base.
Exécute any procédure donne pas mal des possibilités d'injection via des procédures PL/SQL mal écrites (la norme plutôt que l'exception).
Select sur des tables DBA pour le public expose des informations potentiellement sensibles à n'importe qui.

[korian]

Merci pour votre réponse rapide.

Il est certes que si l'audit vous la recommande il doivent exister des risques pour votre base.

Oui, je ne remets pas en cause la pertinence même de la mesure, juste que je ne trouve rien sur le NET ou dans la documentation oracle qui traite de ces cas particuliers et qui expliqueraient un peu plus le pourquoi du comment. Mais je suis prêt à admettre et obéir sans difficulté

La seule qui me pose un problème concerne le Alter System pour DBA mais peut être qu'il s'agit tout simplement du rôle DBA et donc pourquoi pas.

Oui, pour le rôle DBA, c'est bien cela. ALTER SYTEM serait restreint à SYS et SYSTEM. ça semble logique.
Là encore, je ne cherche que l'expérience de personnes ayant déjà effectué ces mesures et qui pourraient dire "Go Go Go, aucune précaution à prendre !"

Via create any Library vous pouvez mapper un répertoire avec une bibliothèque C et donc faire des dégâts majeurs à partir de la base.

Exécute any procédure donne pas mal des possibilités d'injection via des procédures PL/SQL mal écrites (la norme plutôt que l'exception).

Select sur des tables DBA pour le public expose des informations potentiellement sensibles à n'importe qui.

Ok pour les trois. Idem que le paragraphe précédent.

Est-ce que quelqu'un aurait déjà effectué des mesures de sécurité spécifiques sur une base 10g ?

Merci d'avance pour l'aide apportée.

[IndianaAngus]

Bonjour,

De notre côte nous appliquons les règles de sécurité du CIS (tapez cis internet security dans google).

Mon avis pour les privilèges suivants

ALTER SYSTEM pour DBA => Je ne vois pas le problème. Il suffit de contrôler qui dispose du role DBA. Pour vraiment bien faire niveau sécurité, il faudrait locké l'utilisateur system, et avoir des compte nominatifs avec le privilèges dba et mettre en place de l'auditing sur ces utilisateurs nominatifs. Mettre en place un archivage et une purge de l'audit.

CREATE ANY LIBRARY pour IMP_FULL_DATABASE => Je pense que c'est un privilège nécessaire pour faire les import datapump. Sinon comment allez vous créer des librairies si vous faites un import avec un utilisateur admin et non le owner. Si vous n'avez pas ce type d'objet, vous pouvez l'enlever (ou alors faites un test sur une base non prod)

'SELECT sur 3 tables DBA' pour PUBLIC=> Quelles vues dba? Ca peux poser problème. Faites un test sur une base non prod.

EXECUTE ANY PROCEDURE pour OUTLN => Si je ne me trompe pas, outln est un utilisateur "expired and locked" donc tu ne peux pas te connecter avec. la description de l'utilisateur est : "The account that supports plan stability. Plan stability enables you to maintain the same execution plans for the same SQL statements. OUTLN acts as a role to centrally manage metadata associated with stored outlines."
Personnellement, je n’enlèverai pas ce privilège.