Discussion :

[isoman]

Salut a tous,
j'ai comme projet la simulation d'une attaque sur une bd oracle . J'ai réussi a réaliser un audit sur la base a travers ces 2 commandes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
AUDIT ALL BY  ACCESS;
AUDIT EXECUTE PROCEDURE BY ACCESS;

je consulte ensuite la table sys.aud$ pour voir les différentes action effectué par les utilisateurs mais j'arrive pas a réaliser quelques trucs :

• comment connaitre si a la connexion d'un user a la bd a échoué plusieurs fois ?
  
• Comment annuler une opération effectué par un utilisateur (en ayant accès au données de la table sys.aud$) sans réaliser un rollback complet de la base ?

N'importe quelle idée/piste peut m'être d'une grande valeur .
Cordialement

[Laurent_du_78]

Pour ma part, voici ce que j'audite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
AUDIT SESSION ;
AUDIT INSERT ON DBA_EXP_FILES;
AUDIT CREATE SNAPSHOT;
AUDIT CREATE MATERIALIZED VIEW;
AUDIT CREATE DATABASE LINK;
AUDIT ALTER SYSTEM;
AUDIT SYSTEM AUDIT;
AUDIT INSERT, UPDATE, DELETE ON sys.aud$ BY ACCESS;
AUDIT SYSTEM GRANT;
AUDIT SYSDBA BY ACCESS;
AUDIT NOT EXISTS;
AUDIT CREATE PROCEDURE;
AUDIT CREATE TRIGGER;
AUDIT ALTER DATABASE;
AUDIT SYSOPER BY ACCESS;
AUDIT USER BY ACCESS;

Ensuite,
les traces des connexions non abouties

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
SELECT os_username, username, terminal, sessionid, action_name,
       to_char(timestamp,'DD-MON-YY HH24:MI:SS') LOGIN,
       to_char(logoff_time,'DD-MON-YY HH24:MI:SS') LOGOFF
  FROM dba_audit_session
 WHERE action_name='LOGON' 
   AND returncode='1017';

Audit est un outil de trace, il ne peut bloquer une action sur la base.

Le FGA (Fine-Grained Auditing) permet d'audit des actions (SELECT, UPDATE et DELETE), et même des UPDATE sur une colonne particulière. Le FGA founit plus d'information quoiqu'en 10g l'AUDIt est plus complet.

[Laurent_du_78]

Autre point, la table sys.aud$ se situe par défaut dans le tbs SYSTEM (ou SYAUX je ne sais plus). L'activation de l'audit va charger cette table, donc :
- déplacer cette table dans un tbs dédié
- purger régulièrement cette table.

[isoman]

Merci pour ton aide , j'arrive enfin a simuler mon attaque , mais il me reste juste un truc a faire , comment faire pour avoir l'historique des requêtes select d'utilisateur ?
la table dba_audit_session ne contient que le log des connexion/deconnexion a la base .
Merci d'avance.

[Doracle]

Le FGA (Fine-Grained Auditing) permet d'audit des actions (SELECT, UPDATE et DELETE), et même des UPDATE sur une colonne particulière. Le FGA founit plus d'information quoiqu'en 10g l'AUDIt est plus complet.

En voici un exemple tiré de la doc officielle :
http://download.oracle.com/docs/cd/B...htm#sthref1772