Protegendo senhas de banco de dados

Question

andba77

Asked: 2015-10-06 07:24:57 +0800 CST2015-10-06 07:24:57 +0800 CST 2015-10-06 07:24:57 +0800 CST

Bloqueando contas SYS e SYSTEM

772

No interesse de manter o banco de dados o mais seguro possível, gostaria de bloquear as contas SYS e SYSTEM para que ninguém possa fazer login com elas.

Assumindo que:

Não há scripts/cron jobs do sistema operacional fazendo login como SYS ou SYSTEM
Não há aplicativos ou utilitários externos usando nenhuma dessas contas
Sempre posso fazer login "/ como sysdba" com a conta do sistema operacional adequada

O bloqueio dessas duas contas terá algum efeito adverso? Alguém já fez isso antes que possa comentar se é uma boa ideia ou não?

2 respostas

Voted

Philᵀᴹ · Answer 1 · 2015-10-06T07:29:00+08:00

Philᵀᴹ

2015-10-06T07:29:00+08:002015-10-06T07:29:00+08:00

Bloqueie ambos ( SYSe SYSTEM). Você não precisa usá-los no dia-a-dia, nada vai quebrar.

No dia a dia, você deve usar contas de usuário nomeadas que tenham SYSDBAou SYSOPER.

Tom Kyte recomenda fazê-lo , então você sempre pode culpá-lo se algo der errado :-)

4

Balazs Papp · Answer 2 · 2015-10-06T07:54:36+08:00

SYSTEMpode ser bloqueado sem quaisquer dificuldades.

SYSé diferente embora. Você não pode bloqueá-lo, mesmo que possa, não pode.

SQL> show user
USER is "SYS"
SQL> alter user sys account lock;

User altered.

SQL> select account_status from dba_users where username = 'SYS';

ACCOUNT_STATUS
--------------------------------
LOCKED

SQL> conn / as sysdba
Connected.
SQL> show user
USER is "SYS"

SQL> connect sys@ORCL as sysdba
Enter password:
Connected.

SQL> show user
USER is "SYS"
SQL> select account_status from dba_users where username = 'SYS';

ACCOUNT_STATUS
--------------------------------
LOCKED

Você pode desabilitar logins remotos SYSdefinindo remote_login_passwordfilecomo none, então apenas logins locais são permitidos. Isso impedirá o uso do Data Guard, por exemplo.

Você também pode prevenir '/ as sysdba'definindo SQLNET.AUTHENTICATION_SERVICES=(none)em sqlnet.ora.

Por fim, você pode se bloquear completamente combinando o acima com a exclusão do arquivo de senha de $ORACLE_HOME/dbs. Dessa forma, você não poderá fazer login como SYSDBAou SYSOPERde forma alguma. Mas, mesmo assim, SYSo usuário não será realmente bloqueado, é apenas que você não pode ser autenticado. Se você recriar o arquivo de senha, poderá entrar novamente.

Bloqueando contas SYS e SYSTEM

conectar ao servidor PostgreSQL: FATAL: nenhuma entrada pg_hba.conf para o host

Como fazer a saída do sqlplus aparecer em uma linha?

Selecione qual tem data máxima ou data mais recente

Como faço para listar todos os esquemas no PostgreSQL?

Listar todas as colunas de uma tabela especificada

Como usar o sqlplus para se conectar a um banco de dados Oracle localizado em outro host sem modificar meu próprio tnsnames.ora

Como você mysqldump tabela (s) específica (s)?

Listar os privilégios do banco de dados usando o psql

Como inserir valores em uma tabela de uma consulta de seleção no PostgreSQL?

Como faço para listar todos os bancos de dados e tabelas usando o psql?

Bloqueando contas SYS e SYSTEM

2 respostas

relate perguntas