DBA在传统企业数据库安全建设上能做些什么?

《DBA在传统企业数据库安全建设上能做些什么?》要点:
本文介绍了DBA在传统企业数据库安全建设上能做些什么?,希望对您有用。如果有疑问,可以联系我们。

本文根据代海鹏老师在〖4月8日DBAplus社群上海数据库技术沙龙〗现场演讲内容整理而成.

讲师介绍

代海鹏

代海鹏

新炬网络资深数据库工程师

  • 擅长数据库性能优化、故障诊断,曾为中国人寿、中国移动、国家电网、太平洋保险等大型企业提供数据库技术支持服务.

分享大纲:

1面对数据泄密,DBA能做什么?

2面对数据丢失,DBA能做什么?

3数据库备份及演练

我把数据的安全事件简单分为两类,第一类是泄密事件,第二类是数据丢失事件.

先说说近年来影响比较大的数据泄密事件:

  1. 洲际酒店在内的10大酒店泄密大量客人开房的信息包括姓名、身份证被泄密,直接导致客人量下降;
  2. 下一个是韩国2000万信用卡信息泄露,引发“销户潮”;
  3. 某网数据泄漏,全国各地有39名用户被骗,诈骗金额高达140多万.像这类数据泄露,如果你的亲属朋友是被骗人之一,我相信感受一定与光看数字的感触不同;
  4. 某贷宝被脱裤,导致10G裸条泄露.

再说说近期影响较大的数据丢失事件:

  1. Gitlab99%数据丢失:1月份时,某外国工程师对自认为是空文件夹的文件夹做了一个删除,过了两秒他反应过来了,我是不是搞错服务器了,后果是几百G的数据文件被删得就剩下3个G;
  2. 炉石传说30%数据丢失:有4人在1月份提议把1月份作为数据安全月,也不至于.这是怎么回事呢?炉石传说的数据库哥们带病运行了两天以后又回滚到故障以前,导致几天的数据全部丢失.这里我们不去深究到底什么技术原因导致竟然无法修复.

对此,我想说的是:我们的运维团队并没有我们想象中那么牛逼,所以我们要对生产抱有敬畏之心.

一、面对数据泄密,DBA能做什么?

1、用户管理

清理和锁定无用的数据库帐号.进了一个新环境,核心库账户是必查项.

  • 将未被锁定的帐号列出来和开发进行确认,每个用户都找到具体作用和应用.
  • 如账户无人认领,则通过DBA_HIST_ACTIVE_SESS_HISTORY 配合dba_users 把这个用户的语句抓出来,继续确认,语句如下:

DBA在传统企业数据库安全建设上能做些什么?

  • 如果无法抓出相关信息,这时候就进行汇报,然后申请锁定用户.
  • 11G有非常多的用户,附件word 有其中最常见的31个用户的详细信息,包括用户名字以及这个用户是哪个Oracle默认组件会使用到的.

DBA在传统企业数据库安全建设上能做些什么?

(点击此链接查看)  

2、用户Profile

除了用户本身以外,还有用户的profile要进行检查,首先就是密码的验证算法,11G默认是没有算法的,我们要用脚本@?/rdbms/admin/utlpwdmg.sql创建名叫VERIFY_FUNCTION_11G的验证函数.

VERIFY_FUNCTION_11G函数验证项如下:

  • 密码不能小于8位
  • 密码和用户名不能一样
  • 也不能是反过来的用户名
  • 不能和数据库的服务名一样
  • 检查是不是简单的字典用于,比如password之类的
  • 不能是Oracle
  • 必须包含1个数字,一个字母,在检查的时候顺便检查与之前的密码最少有3个字母不同

profile中有两类属性:

  • 第一类是资源控制,控制逻辑读、SGA、空闲会话存活时长等等.这一类需要将参数resource_limit设置为TRUE才能生效;
  • 第二类是密码策略,包括 错误几次、密码失效、密码可重用周期、最多可重用次数、验证函数、密码锁定时间、到期后缓期执行等,该类型无需resource_limit参数配置.

3、权限管理

权限管理很简单,就是最小化原则.

最小化应用账户,在工作中我个人经验为默认给开发及应用账户的权限,就connect、resource、创建视图的权限即可.

reousrce的权限是有很多,可以创建视图,我只给这么多,如果你还想要别的,可以向DBA团队申请,DBA团队来给你审批.然后是数据库字典,普通用户禁止访问.为了禁止普通用户的访问可以用下面的07-DICTIONARY-ACCESSIBILTY进行限制.安全和便利总是相对的,越安全,那么操作起来就越复杂,所以说这里是否进行限制就见仁见智.我们可以把权限汇集成Role,一类应用所需的权限可以归类为一个单独的role,以后只要是类似应用上线不要再管理.而应用下线也可以通过Role快速回收对应权限.通过Role赋权是我的建议之一.

最小化DBA权限用户,一种是操作系统上面DBA组,其中操纵系统帐号最好就Oracle一个,因为DBA组所属用户可以通过操作系统验证直接以sysdba的权限登录到库里.另外一种,数据库里面有DBA角色,或者有大权限的帐号也一定要审查一下,如果有可疑的账户虽然没有DBA角色,但相关的权限却全部拥有的,更是一定要进行检查核对.

4、日志管理

日志管理主要是说审计,在后面发现问题时可以快速知道是之前谁做的操作.我们可以把审计配置好以后关闭审计,如果某天系统已经上生产后老板说你给我把这个库审计一下,我们只需一条命令就可以审计了,不需要再做一系列配置及资源申请.

审计涉及的参数:

  • AUDIT_TRAIL,有几种配置选项,将审计数据放在数据库中 或者放在文件系统中,是普通模式 还是 extend模式.详细的进reference一看便知,这个可自己调配
  • AUDIT_SYS_OPERATIONS参数建议打开,毕竟sysdba的威力其实是最大的

有几点注意事项:

  • 将aud$表挪出SYSTEM表空间
  • AUDIT_FILE_DEST审计文件存放位置设置一个单独的lv,严禁与根目录,ORACLE_HOME目录放在一起
  • 默认使用命令noaudit create session 先停止审计,在需要的时候再开启

11G新参数ENABLE_DDL_LOGGING,开这个参数可以在alert日志中记录所有的DDL语句,不过记录的内容相对简单,只有时间和语句.

在11.2.0.4之前,这个功能是有bug的,rename操作是不做记录的.

到12C 这个参数更加完善了,如图右,除了语句以外 还有IP 、机器名等信息,在我们不开审计的情况下,也能获取DDL执行信息.

5、漏洞管理

及时的升级对应的PSU,尤其是修复的重要安全bug的PSU.

关于漏洞,我简单地贴了一个文章,1454618.1.

漏洞

漏洞

上面有很多数据都可以通过MOS文章一把拉出来.讲这个的主要原因是强调我们要紧跟着自身版本的PSU,这个不代表说本月发布的PSU,我们必须本月升级,而是应该有计划进行升级.比如以延迟半年为计划,或者延迟一个季度为计划.除了这方面,还有业内会经常爆出一些严重BUG,如像DBAplus这样的社群是会第一时间发出声明及处理方案,我们一定要时刻关注,不能等问题真的到我们头上了才知道,那样公司请你就没有价值了.

以上所述都是应对数据泄密的措施.简单来说,我认为数据泄密方面DBA和运维人员只是做了辅助作用,因为很多公司会有自己的安全团队,会从外面请一些公司去做整体的扫描,会给出一系列建议、配置性的更改,我们只需要针对数据库这方面调整,就够了.

前面说那么多东西是为什么呢?大家都知道了,去年下半年有比特币勒索,大家在网上了下载了一些破解工具,如PLSQL DEV、SCRT等,有一部分工具被放置恶意的脚本,然后当你通过很大的权限(如SYSDBA)连接到数据库,这些工具会自己创建一个存储过程,存过名字起跟真的一样,里面还给你加密.一定时期以后(如三年)这个函数会自己执行,把你的数据全部搞乱搞废掉,然后会在报错信息里面提供包含比特币链接的勒索信息,大致意思是你给我钱,我就给你把数据库恢复.

那么我们前面做的,收用户、收权限,就是保证,当我们DBA自身使用的工具是安全的情况下就能保证数据库不受勒索.如果你大的权限在下面飘着,就不能保证研发、应用的哥们究竟安全意识如何,到时候连防都不好防.

如果面对数据泄密是DBA是辅助类工作的话,面对数据丢失,DBA有无法推卸的责任,这个“锅”你是甩不出去的.

二、面对数据丢失,DBA能做什么?

DBA

在平时运行维护时,总会有种种情况导致业务数据丢失或者损坏,无论丢失是多是少,我们DBA都应该尽量避免发生.

下列是我们平时遇到的4种可能会造成数据丢失的类型:

  • 系统故障: CPU、内存、主板、等主机层面的故障
  • 存储故障:UPS掉电、控制器损坏、物理硬盘损坏等
  • 数据库BUG:因触发数据库BUG导致刷入存储的数据块逻辑损坏
  • 人为操作故障,错误执行删除数据命令

就Oracle本身来讲,它有自己的高可用体系产品及功能.

1、应对主机层面的故障

这种故障正常来说是丢失未提交的数据,大部分情况我们是无需在意这些丢失数据的.这时候主要以恢复业务为目的来设计数据.我们通过使用主机层面高可用技术RAC,来解决这个问题,主机层面高可用指,两套内存、CPU等运算资源,但是使用同一套数据文件.当RAC中某主机损坏时,业务可以在下次连接的时候连入另外的节点.

RAC

在Oracle 9i之前,RAC的名称叫做OPS,而9i之前每次传输块的时候,需要先将数据刷入硬盘,然后另外的节点从硬盘上读取.

RAC进化的最重要的一点,就是有了CACHE-FUSION的特性,最新的当前块数据可以通过私网进行传输了.

使用RAC的注意点:

  • 尽量减少cache-fusion,通过应用切割的模式;
  • 第二个注意点,CPU、内存这些计算资源,最好不要上60,相对内存来说,CPU更是.如果平时跑每个节点的CPU就飙上60%,那么当发生故障的时候,存活节点是不是能抗住是要打问号的;
  • 如果资源吃紧,提前对业务进行提前梳理这套库上面哪些业务是重要的,哪些业务是较为不重要的,哪些最不重要.便于紧急时刻可停止非关键业务释放资源供给核心业务.

2、应对存储层面发生故障或损坏

这个层面的故障和损坏RAC是无法保护的,因此Oracle提供了DG进行存储保护.

Oracle

当存储出现故障的时候,丢失多少数据都是有可能的,这时候如果DG存在,我们可以激活备库,将应用的IP调整为备库及时的恢复应用,并且可以做到尽量不丢失数据,这里可以给大家分享的经验是,建立内网域名服务器,将IP都设置为对应的域名,以后发生容灾切换的时候 只需要调整域名服务器的映射即可,无需每个应用单独调整.

在11G以后DG的standby端可以以readonly的模式进行打开,并对外提供只读服务.这也是尽量将物理资源利用起来.

3、应对BUG导致的数据丢失

两种情况,一种是归档好着,只是刷块的时候有问题,导致刷坏了.这种普通DG就可以搞定,另外一种归档被写坏,而传到standby 应用也会导致备库数据块坏掉.

这时候我们就需要讲DG进行延时应用,注意这里只是延时应用,日志还是会自动传输的.哪怕生产坏掉了,除了需要追一定时间的归档外,不会有数据丢失,延时语句如下:

alter database recover managed standby database delay 120 disconnect from session;

120的单位是分.

这里2小时只是代表standby 和生产端真实时间差距,并不代表生产发生down机,standby 必须两个小时才能追平归档.

4、应对误操作

说实话靠个人是很难避免的,谁都有个精神不好的时候,犯迷糊的时候.这时候就需要通过规范和制度来保证这种事情不发生.

经验分享:

  • 一定要有变更方案,详细列出每条要执行的命令,并且多人评审;
  • 具体实施过程中,除非排障,否则命令一律不得手敲;
  • 执行危险命令时,一定要ifconfig 查看一下IP,以防万一;
  • 生产和测试环境的窗口不要同时打开,如果非要打开,命名对应窗口,并使用不同的文字背景;
  • 变更方案要有对应的回退方案,如果执行变更的时候出现了问题,当时如状态并不好,建议直接回退,不要勉强自己排错.

三、数据库备份及演练

作为一个DBA,如果想要睡得踏实,那么备份一定要有.

当前数据库中数据越来越大,几十T的库屡见不鲜,有时候可能真的没那么大空间做演练 .经验小分享:调整备份手段,将业务表空间分散开,每份单独与system sysaux等组成一个备份集.分批采用进行全备.

最后验证时可以只验证一份,这样数据量就小很多了.不过很多地方为了保证安全,两地三中心都搞出来了,几十T空间并没有想象中贵,这点投入是完全值得的.

今天分享就到这儿了,希望大家的系统平安,做好防范.谢谢!

Q&A

Q1:有一次客户那边的账户突然锁了,我查了其它的信息表空间,发现并没有因为多次密码登陆错,排除这个情况外还有什么原因?

A1:你说的是资源,profile分口令规则和资源限制,资源限制是需要和resource_limit参数进行配合的.有两种情况,第一种情况是有人直接进行手工锁定,第二种情况是密码试错过多导致被锁定的.

(接上问)

Q2:我的意思是排除密码输错,也不是人为锁的.

A2:到期了.

Q3:到期的时间不是没有限制吗?

A3:资源是没有限制的.

Q4:资源参数没打.

A4:资源参数部分是不生效,跟口令参数是无关的.

Q5:可以告诉我多长时间吗?

A5:默认180天.

Q6:PPT一开始rf删掉以后,我去年做过暴力测试,是可以恢复备份的.国外的那个没有吗?

A6:国外哥们的库是不一样的.他那边有三到四重的备份方案,各种各样的容灾,全部都没有用.最后恢复不是采用正常手段恢复的,是用其它系统的数据传回来的,非常佩服他们把恢复进度在推特上面进行公布,以每小时5%的进度慢慢恢复.当时这篇文章也炒得很火了.详情可了解社群文章《99%数据被误删,5类备份全部失效,怎么破?》

文章来自微信公众号:DBAplus社群

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


每个HTTP请求和响应都会带有相应的头部信息。默认情况下,在发送XHR请求的同时,还会发送下列头部信息: Accept:浏览器能够处理的内容类型 Accept-Charset:浏览器能够显示的字符集
"Markdown自动生成目录" "使用npm语法生成" "1、安装npm" "2、安装doctoc插件" "
当我们从客户端向服务器发送请求时 服务器向我们返回状态码 状态码就是告诉我们服务器响应的状态 通过它,我们就可以知道当前请求是成功了还是出现了什么问题 状态码是
原理 介绍 哈希表(Hash table,也叫散列表), 是根据关键码值(Key value)而直接进行访问的数据结构。也就是说,它通过把关键码值映射到表中一个位置来访问记录,以加快查找的速度。这个映
一 共享秘钥 1.1 概念 共享秘钥和我们生活中同一把锁的钥匙概念类似,对同一把锁来说,加锁时使用什么钥匙,解锁也必须使用同样的钥匙。 1.2 共享秘钥在HTTP传输中的缺点 以共享密钥方式加密时必须
正向代理的概念 正向代理,也就是传说中的代理,他的工作原理就像一个跳板,简单的说,我是一个用户,我访问不了某网站,但是我能访问一个代理服务器这个代理服务器呢,他能访问那个我不能访问的网站于是我先连上代
如果你是网站的开发者或维护者,就不得不重视盗链的问题了。如果你刚刚开发完一个没有防盗链的带有文件下载功能的网站,挂上internet,然后上传几个时下非常热门的软件或电影并在网站内公布下载地址,让MS
select,poll,epoll区别总结 select,poll,epoll都是I/O多路复用。I/O多路复用就是通过一种机制,可以监测多个描述符,一旦某个描述就绪(一般是读或者写),能够通知程序进
PS: https就是http和TCP之间有一层SSL层,这一层的实际作用是防止钓鱼和加密。防止钓鱼通过网站的证书,网站必须有CA证书,证书类似于一个解密的签名。另外是加密,加密需要一个密钥交换算法,
一、什么是http协议 HTTP是一个应用层协议,无状态的,端口号为80。主要的版本有1.0/1.1/2.0. HTTP/1.* 一次请求-响应,建立一个连接,用完关闭; HTTP/1.1 串行化单线
host文件的工作原理及应用 Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。 一、Hosts文件基本介绍
HTTP 2.0是在SPDY(An experimental protocol for a faster web, The Chromium Projects)基础上形成的下一代互联网通信协议。HTT
虚拟地址和物理地址 第一层理解 1、每个进程都有自己独立的4g内存空间,每个进程的内存空间都具有类似的结构。 2、一个新进程建立的时候,将会建立自己的内存空间,此进程的数据,代码等数据从磁盘拷贝到自己
0x00 前言 发现自己学习python已经有半个月了,也开发了自己的一些渗透的小脚本,但觉得还是不够,我个人觉得工具和脚本还有框架是个本质上的区别。脚本的话,不会考虑到其他的一些因素,例如报错和交互
0x00 前言 由于昨天520,今天又是521,我被朋友圈和qq空间给刷屏了,都在秀对象。一气之下决定把我上次写的nc拿出来使用类进行重构,多实例化几个对象,这下子我也有对象了。 0x01 一些小插曲
upload labs通关 0x00 前言 这段时间一直在忙,没时间来更新文章,这里就写篇upload labs的通关手册吧,现在包括网上也有很多upload通关手册,但是在这里还是想自己去写一篇,来
0x00 前言 介于这段时间比较忙,所以博客的更新也比较慢。本来想前几天就发这个mssql数据库的,但是因为mssql的结构比较复杂,利用方式也比较多,所以又去深入研究了一下mssql的数据库结构和各
0x00 了解数据库 数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。 数据库是以一定方式储存在一起、能与多个用户共享、
0x00 前言 现在access的站,比较少,有的话也是小型网站在用,因为access的性能比较差,多人访问都能卡死,所以很多网站都很少会采用access的数据库搭建。但是该学的我们还是得学。 0x0
记一次某企业实战 0x00 前言 近段时间来也没怎么更新过博客,在这里就来水篇文章吧。 前段时间一直在做项目,也来分享并且记录一下自己的一些成果,和一些小思路。 0x01 信息收集 渗透的第一步肯定是