IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration Oracle Discussion :

Droit CREATE DATABASE LINK du rôle CONNECT


Sujet :

Administration Oracle

  1. #1
    Membre Expert Avatar de scheu
    Inscrit en
    Juin 2007
    Messages
    1 506
    Détails du profil
    Informations forums :
    Inscription : Juin 2007
    Messages : 1 506
    Par défaut Droit CREATE DATABASE LINK du rôle CONNECT
    Bonjour

    Pour des contraintes de sécurité, je souhaiterais que les utilisateur d'une base ayant le rôle CONNECT ne puissent pas créer de database link. Or, le privilège CREATE DATABASE LINK fait partie du rôle CONNECT (je suis en 9i). Comment leur enlever ce droit ? Est-ce envisageable de modifier le rôle CONNECT pour lui supprimer le privilège DATABASE LINK (bien que ce n'est pas conseillé de modifier les rôles système existants) ? Ou vaut-il mieux leur enlever le rôle CONNECT et ne leur mette que les autres privilèges attribués au rôle CONNECT (create session, ...)

    Merci de vos conseils
    La théorie, c'est quand on sait tout mais que rien ne fonctionne.
    La pratique, c'est quand tout fonctionne mais que personne ne sait pourquoi.
    Ici, nous avons réuni théorie et pratique : Rien ne fonctionne ... et personne ne sait pourquoi !

    Réplication de base avec Postgresql : http://scheu.developpez.com/tutoriel.../log-shipping/

  2. #2
    Expert éminent
    Avatar de orafrance
    Profil pro
    Inscrit en
    Janvier 2004
    Messages
    15 967
    Détails du profil
    Informations personnelles :
    Âge : 48
    Localisation : France

    Informations forums :
    Inscription : Janvier 2004
    Messages : 15 967
    Par défaut
    bah oui, change CONNECT

  3. #3
    Membre Expert Avatar de scheu
    Inscrit en
    Juin 2007
    Messages
    1 506
    Détails du profil
    Informations forums :
    Inscription : Juin 2007
    Messages : 1 506
    Par défaut
    Je voulais juste m'en assurer, des fois que changer les rôles système ne serait pas conseillés
    ...
    Merci
    La théorie, c'est quand on sait tout mais que rien ne fonctionne.
    La pratique, c'est quand tout fonctionne mais que personne ne sait pourquoi.
    Ici, nous avons réuni théorie et pratique : Rien ne fonctionne ... et personne ne sait pourquoi !

    Réplication de base avec Postgresql : http://scheu.developpez.com/tutoriel.../log-shipping/

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    354
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2007
    Messages : 354
    Par défaut
    Il est préférable à mon sens de leur donner un autre rôle qui ne contiendrait pas le privilège et de laisser le rôle CONNECT tel quel ...

  5. #5
    Membre Expert
    Avatar de LeoAnderson
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    2 938
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 2 938
    Par défaut
    +1
    il faut laisser les rôles définis par défaut inchangés mais ne pas les attribuer.
    A la place, on créé les rôles "maisons" qui ne contiennent que ce qui va bien, et juste ce dont on a besoin.

    Une seule exception tout de même pour le "rôle" PUBLIC auquel il est vivement conseillé de faire des REVOKE...

  6. #6
    Expert éminent
    Avatar de orafrance
    Profil pro
    Inscrit en
    Janvier 2004
    Messages
    15 967
    Détails du profil
    Informations personnelles :
    Âge : 48
    Localisation : France

    Informations forums :
    Inscription : Janvier 2004
    Messages : 15 967
    Par défaut
    Quand même, ça me parait pour le moins dangereux de laisser un privilège aussi important au simple CONNECT

  7. #7
    Membre Expert
    Avatar de LeoAnderson
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    2 938
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 2 938
    Par défaut
    Citation Envoyé par orafrance Voir le message
    Quand même, ça me parait pour le moins dangereux de laisser un privilège aussi important au simple CONNECT
    et qui c'est qui conseillait de changer connect ?

  8. #8
    Expert éminent
    Avatar de orafrance
    Profil pro
    Inscrit en
    Janvier 2004
    Messages
    15 967
    Détails du profil
    Informations personnelles :
    Âge : 48
    Localisation : France

    Informations forums :
    Inscription : Janvier 2004
    Messages : 15 967
    Par défaut
    Moi

    Or, le privilège CREATE DATABASE LINK fait partie du rôle CONNECT (je suis en 9i).
    c'est pourquoi je conseille de modifier CONNECT qui visiblement contient une faille de sécurité potentielle

  9. #9
    Membre Expert
    Avatar de LeoAnderson
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    2 938
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 2 938
    Par défaut
    la faille c'est surtout d'attribuer CONNECT.....

  10. #10
    Expert éminent
    Avatar de orafrance
    Profil pro
    Inscrit en
    Janvier 2004
    Messages
    15 967
    Détails du profil
    Informations personnelles :
    Âge : 48
    Localisation : France

    Informations forums :
    Inscription : Janvier 2004
    Messages : 15 967
    Par défaut
    on peut le voir comme ça aussi en effet

  11. #11
    Membre Expert Avatar de scheu
    Inscrit en
    Juin 2007
    Messages
    1 506
    Détails du profil
    Informations forums :
    Inscription : Juin 2007
    Messages : 1 506
    Par défaut
    Citation Envoyé par LeoAnderson Voir le message
    la faille c'est surtout d'attribuer CONNECT.....
    Ca c'est vrai je m'en rends compte tous les jours
    Merci de vos réponses en tout cas
    La théorie, c'est quand on sait tout mais que rien ne fonctionne.
    La pratique, c'est quand tout fonctionne mais que personne ne sait pourquoi.
    Ici, nous avons réuni théorie et pratique : Rien ne fonctionne ... et personne ne sait pourquoi !

    Réplication de base avec Postgresql : http://scheu.developpez.com/tutoriel.../log-shipping/

  12. #12
    Membre Expert
    Avatar de LeoAnderson
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    2 938
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 2 938
    Par défaut
    Citation Envoyé par scheu Voir le message
    Ca c'est vrai je m'en rends compte tous les jours
    Merci de vos réponses en tout cas
    ce n'était pas une vanne !

    C'est une vraie faille d'attribuer le rôle CONNECT.
    Il faut attribuer le rôle MON-CONNECT qui a les privilèges CREATE SESSION et ALTER SESSION par exemple.
    mais en aucun cas n'attribuer les rôles standards.

  13. #13
    Membre Expert Avatar de scheu
    Inscrit en
    Juin 2007
    Messages
    1 506
    Détails du profil
    Informations forums :
    Inscription : Juin 2007
    Messages : 1 506
    Par défaut
    Citation Envoyé par LeoAnderson Voir le message
    ce n'était pas une vanne !

    C'est une vraie faille d'attribuer le rôle CONNECT.
    Il faut attribuer le rôle MON-CONNECT qui a les privilèges CREATE SESSION et ALTER SESSION par exemple.
    mais en aucun cas n'attribuer les rôles standards.
    Je n'ai pas pris ça comme une vanne, je suis tout à fait d'accord avec toi sur le principe
    La théorie, c'est quand on sait tout mais que rien ne fonctionne.
    La pratique, c'est quand tout fonctionne mais que personne ne sait pourquoi.
    Ici, nous avons réuni théorie et pratique : Rien ne fonctionne ... et personne ne sait pourquoi !

    Réplication de base avec Postgresql : http://scheu.developpez.com/tutoriel.../log-shipping/

  14. #14
    Membre éprouvé Avatar de kore62
    Profil pro
    Inscrit en
    Août 2007
    Messages
    222
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France

    Informations forums :
    Inscription : Août 2007
    Messages : 222
    Par défaut
    Si je peux me permettre, perso je suis d'avis de lui filer le create session... Esquivez d'attribuer le role connect... D'ailleurs je trouve que les rôles par défaut ne sont pas trés bien définis.... m'enfin ca n'engage que moi...

    C'est comme lorsqu'on file le grant ressource (si j'ai bonne mémoire) à un user et qu'il se voit alors attribué automatiquement le privilege unlimited tablespace pour son schema.. une abération.. le user peut alors ecrire sur n'importe quel tablespace... c'est pas frais.

    Mieux vaut lui virer et lui mettre le "quota unlimited tablespace "sur son tablespace par defaut...

    M'enfin pour revenir à nos moutons, NON au grant CONNECT... un grand OUUUIII au grant CREATE SESSION (meilleur controle et sutout plus de sécurité)

  15. #15
    Membre confirmé
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Décembre 2006
    Messages
    142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Conseil

    Informations forums :
    Inscription : Décembre 2006
    Messages : 142
    Par défaut
    Il y a d'ailleurs des choses bizarres dans rôles :
    avec CONNECT on peut notamment créer des tables, des vues
    avec RESOURCE on peut créer des procédures, des triggers
    mais même en ayant ces 2 rôles on ne peut pas créer de MATERIALIZED VIEW ...

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Une question concernant CREATE PUBLIC DATABASE LINK et l'erreur ORA-12154
    Par dariyoosh dans le forum Connexions aux bases de données
    Réponses: 2
    Dernier message: 18/11/2009, 16h13
  2. Database link et procédure
    Par Sir Coco dans le forum PL/SQL
    Réponses: 10
    Dernier message: 02/04/2008, 16h13
  3. partage de lien DATABASE LINK
    Par de LANFRANCHI dans le forum Administration
    Réponses: 5
    Dernier message: 21/09/2004, 08h40
  4. Erreur ORA-12514 avec database link
    Par gafreu dans le forum Administration
    Réponses: 20
    Dernier message: 09/09/2004, 11h53
  5. DATABASE LINK + type Long et long raw ...
    Par bchristo dans le forum Administration
    Réponses: 21
    Dernier message: 26/04/2004, 15h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo