Δευτέρα 22 Φεβρουαρίου 2016

Προτεινόμενη Πολιτική Auditing

7:18 π.μ.    No comments

Στο άρθρο αυτό θα μιλήσουμε για την προτεινώμενη πολιτική auditing σε μια oracle βάση δεδομένων. Στην συνέχεια ακολουθεί μια προτεινόμενη πολιτική auditing που μπορεί να οριστεί στην βάση και να τροποποιηθεί ανάλογα. Η πολιτική ορίζει ποιες ενέργειες θα γίνονται auditing.

SQL>audit all privileges by access;
SQL>audit DELETE TABLE by system by access;
SQL>audit EXECUTE PROCEDURE by system by access;
SQL>audit INSERT TABLE by system by access;
SQL>audit SELECT SEQUENCE by system by access;
SQL>audit SELECT TABLE by system by access;
SQL>audit UPDATE TABLE by system by access;
Τα έξι τελευταία τα κάνουμε για κάθε σημαντικό χρήστη της βάσης (συνήθως χρήστες με ισχυρά δικαιώματα). Από εκεί και πέρα υπάρχουν και κάποια audits τα οποία δεν ενεργοποιούνται αυτόματα με τα «audit all privileges by access, audit all by access» και πρέπει να δοθούν ένα ένα. 

SQL>audit ALTER JAVA CLASS by access;
SQL>audit ALTER JAVA RESOURCE by access;
SQL>audit ALTER JAVA SOURCE by access;
SQL>audit ALTER SEQUENCE by access;
SQL>audit ALTER TABLE by access;
SQL>audit ANALYZE ANY DICTIONARY by access;
SQL>audit COMMENT TABLE by access;
SQL>audit CREATE JAVA CLASS by access;
SQL>audit CREATE JAVA RESOURCE by access;
SQL>audit CREATE JAVA SOURCE by access;
SQL>audit DEBUG PROCEDURE by access;
SQL>audit DROP JAVA CLASS by access;
SQL>audit DROP JAVA RESOURCE by access;
SQL>audit DROP JAVA SOURCE by access;
SQL>audit EXEMPT ACCESS POLICY by access;
SQL>audit EXEMPT IDENTITY POLICY by access;
SQL>audit GRANT DIRECTORY by access;
SQL>audit GRANT PROCEDURE by access;
SQL>audit GRANT SEQUENCE by access;
SQL>audit GRANT TABLE by access;
SQL>audit GRANT TYPE by access;
SQL>audit LOCK TABLE by access;
SQL>audit NETWORK by access;
SQL>audit exempt access policy by access; 
 
Το συγκεκριμένο privilege δίνει την δυνατότητα να μπορεί κάποιος να βλέπει όλα τα δεδομένα όλων των χρηστών άσχετα το επίπεδο ασφαλείας που έχει δοθεί σε συγκεκριμένο πίνακα. Παρακάμπτει τα πάντα σε επίπεδο δικαιωμάτων. Δεν το κάνουμε εύκολα grant και auditing. ΠΡΟΣΟΧΗ γιατί η χρήση του μπορεί να οδηγήσει σε χαμηλό performance της λειτουργίας της βάσης. Σε περίπτωση που επιθυμούμε να κάνουμε auditing μόνο συγκεκριμένους πίνακες και όχι χρήστες μπορούμε να χρησιμοποιήσουμε το παρακάτω πακέτο DBMS_FGA package για την ενεργοποίηση πολιτικών audit log σε συγκεκριμένους πίνακες και σχήματα. Περισσότερες πληροφορίες υπάρχουν στον παρακάτω ιστότοπο:

http://psoug.org/reference/dbms_fga.html



0 σχόλια:

Δημοσίευση σχολίου

Εγγραφή σε: Σχόλια ανάρτησης (Atom)