对sys用户进行行为审计(转载)

最新推荐文章于 2024-07-05 09:00:00 发布
转载 最新推荐文章于 2024-07-05 09:00:00 发布 · 1.2k 阅读 · 2
标签
#oracle #审计
本文介绍如何通过操作系统层面和数据库设置,实现对Oracle数据库中Sys用户的登录、操作及SQL语句审计,确保数据库安全性。

对sys用户进行行为审计


转载自(文字有删减): https://blog.51cto.com/itbull/1177652

1、Sys用户审计

Sys用户是Oracle系统中很特殊的一个用户,类似于Linux/Unix中的root,具有绝对的超级权限。除了允许访问、操作大多数数据之外,Sys用户是具有对Oracle内部元数据基础表进行删除的权限。

鉴于Sys用户的巨大权限和潜在危险性,我们通常在使用数据库的时候,都不会直接使用sys用户,而是创建普通用户帐号进行管理。

从安全的层面上,Oracle也对于Sys的基本操作行为,如登陆、退出动作,都提供了默认审计策略。默认情况下,Sys的审计信息是记录在dba_audit_trail视图中进行查询,也就是记录在基表aud$下面。但是Sys又拥有该表数据删除权限,所以仅仅靠db层面是无法解决的,完全解决要借助操作系统,尝试将日志输出到操作系统。在操作系统层面,数据库的安装用户(dba,oinstall)就会受到限制。

Oracle 10g版本,推出了参数AUDIT_SYSLOG_LEVEL,可以实现这个功能。

2、OS层面审计记录

默认情况下,aduit_syslog_level参数是关闭的。

SQL> select * from v$version;
BANNER
--------------------------------------------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
PL/SQL Release 11.2.0.1.0 - Production
CORE       11.2.0.1.0        Production
 
SQL> show parameter audit_sys
NAME                                TYPE       VALUE
------------------------------------ ----------- ------------------------------
audit_sys_operations                boolean    FALSE
audit_syslog_level                  string

该参数就是利用操作系统的审计记录方法,在操作系统中,均有记录日志的功能组件,以Linux/Unix为例,就有syslog命令。

[root@bspdev ~]# man syslog
 
NAME
      syslog, klogctl - read and/or clear kernel message ring buffer; set
      console_loglevel
SYNOPSIS
      int syslog(int type, char *bufp, int len);
                      /* No wrapper provided in glibc */
      /* The glibc interface */
      #include <sys/klog.h>
      int klogctl(int type, char *bufp, int len);
DESCRIPTION
      If you need the libc function syslog() (which talks to syslogd(8)),
      then look at syslog(3). The system call of this name is about control-

(篇幅原因,略。。。)

具体配置上,syslog的配置文件在/etc/syslog.conf,其中配置了各种类型的日志输出位置和消息源。

[root@bspdev ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none               /var/log/messages
# The authpriv file has restricted access.
authpriv.*                                             /var/log/secure
# Log all the mail messages in one place.
mail.*                                                 -/var/log/maillog
# Log cron stuff
cron.*                                                 /var/log/cron
# Everybody gets emergency messages
*.emerg                                                *
# Save news errors of level crit and higher in a special file.
uucp,news.crit                                         /var/log/spooler
# Save boot messages also to boot.log
local7.*                                               /var/log/boot.log

我们只需要将Oracle日志输出的配置信息添加在该文件中,就可以指定输出位置。

[root@bspdev ~]# vi /etc/syslog.conf
 
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# Save boot messages also to boot.log
local7.*                                               /var/log/boot.log
# About Oracle SysLog
user.notice                                            /var/log/oracle_dbms

指定一个user.notice的输出位置是/var/log/oracle_dbms文件。

要让syslog.conf参数生效,还要后台进程syslogd重新加载一下配置信息。

[root@bspdev ~]# ps -ef | grep syslogd
root     2517    1 0 07:04 ?       00:00:00 syslogd -m 0
root     3825 3670 0 07:21 pts/0   00:00:00 grep syslogd
 
[root@bspdev ~]# kill -HUP2517

操作系统层面的配置到此为止,接下来就要配置Oracle数据库层面的审计内容。主要是针对audit_syslog_level的修改。

SQL> alter system set audit_syslog_level='user.notice' scope=spfile;
System altered

静态参数需要重启数据库生效;

SQL> conn / as sysdba
Connected.
SQL> startup force
ORACLE instance started.
 
Total System Global Area 849530880 bytes
Fixed Size                 1339824 bytes
Variable Size            515903056 bytes
Database Buffers         327155712 bytes
Redo Buffers               5132288 bytes
Database mounted.
Database opened.

此时,sys用户实际上已经进行了操作。我们查看操作系统层面的日志信息。

[root@bspdev ~]# cat /var/log/oracle_dbms
Jul 2 07:25:31 bspdev Oracle Audit[3901]: LENGTH : '155' ACTION :[7] 'STARTUP' DATABASE USER:[1] '/' PRIVILEGE :[4] 'NONE' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[13] 'Not Available' STATUS:[1] '0' DBID:[0] ''
Jul 2 07:25:31 bspdev Oracle Audit[4025]: LENGTH : '148' ACTION :[7] 'CONNECT' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[5] 'pts/0' STATUS:[1] '0' DBID:[0] ''
Jul 2 07:25:35 bspdev Oracle Audit[4106]: LENGTH : '159' ACTION :[7] 'CONNECT' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[5] 'pts/0' STATUS:[1] '0' DBID:[10] '3906514064'
Jul 2 07:27:05 bspdev Oracle Audit[4172]: LENGTH : '163' ACTION :[7] 'CONNECT' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'
Jul 2 07:27:05 bspdev Oracle Audit[4176]: LENGTH : '163' ACTION :[7] 'CONNECT' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'

在oracle_dbms中,记录了sys用户的关键操作,如startup、shutdown和connect等。但是,并不是所有的sys用户信息都可以被记录下来。

SQL> show user;
User is "SYS"
 
SQL> drop table t purge;
Table dropped
 
SQL> create table t as select * from dba_objects;
Table created

这部分的信息是不会记录在日志的。如果我们需要确实将sys所有的SQL操作记录,则需要audit_sys_operations参数进行配合。

3、Sys用户的SQL审计

在上面的部分中,我们已经可以成功的对SYS用户活动行为进行操作系统层面的审计。一些如启动服务器、关闭服务器、登陆等操作可以完整的记录在操作系统日志下,只能由root用户进行查看。

那么,我们可否对其操作审计粒度变得更细,将sys用户的SQL语句行为记录,这就需要配置参数audit_sys_operations。

该参数的含义是是否对SYS用户的操作进行日志记录。默认情况下,该参数取值为false。

SQL> show parameter audit_sys
 
NAME                                TYPE       VALUE
------------------------------------ ----------- ------------------------------
audit_sys_operations                boolean    FALSE
audit_syslog_level                  string     USER.NOTICE

在spfile层面进行修改之后,重新启动服务器。

SQL> alter system set audit_sys_operations=true scope=spfile;
System altered
 
[oracle@bspdev ~]$ sqlplus /nolog
SQL*Plus: Release 11.2.0.1.0 Production on Mon Jul 2 07:39:09 2012
Copyright (c) 1982, 2009, Oracle. All rights reserved.
 
SQL> conn / as sysdba
Connected.
SQL> startup force
ORACLE instance started.
 
Total System Global Area 849530880 bytes
Fixed Size                 1339824 bytes
Variable Size            515903056 bytes
Database Buffers         327155712 bytes
Redo Buffers               5132288 bytes
Database mounted.
Database opened.
SQL>

此时,如果SYS用户进行一些操作,就会被记录在日志上。

SQL> drop table t purge;
Table dropped
 
SQL> create table t as select * from dba_objects;
Table created

查看日志

[root@bspdev ~]# tail -n 10 /var/log/oracle_dbms
Jul 2 07:41:29 bspdev Oracle Audit[4677]: LENGTH : '259' ACTION :[101] 'select length(chr(2000000000)) l4, length(chr(2000000)) l3, length(chr(20000)) l2, 'c' c1 from dual ' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'
Jul 2 07:41:29 bspdev Oracle Audit[4677]: LENGTH : '202' ACTION :[45] 'select lengthb(nchr(20)), nchr(20) from dual ' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'
Jul 2 07:41:29 bspdev Oracle Audit[4677]: LENGTH : '235' ACTION :[78] 'begin sys.dbms_application_info.set_module('PL/SQL Developer', :action); end; ' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'
Jul 2 07:41:29 bspdev Oracle Audit[4677]: LENGTH : '218' ACTION :[61] 'begin :id := sys.dbms_transaction.local_transaction_id; end; ' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'
Jul 2 07:41:29 bspdev Oracle Audit[4677]: LENGTH : '177' ACTION :[20] 'drop table t purge ' DATABASE USER:[3] 'sys' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] '51ibm' CLIENT TERMINAL:[8] '51IBM-PC' STATUS:[1] '0' DBID:[10] '3906514064'

(篇幅原因,省略部分内容……)

4、结论

随着信息安全观念的深入,安全漏洞和审计要求越来越成为DBA工作的一个重要部分。限制权限、管制监控行为,粗看是对我们运维人员的限制,实际上也是对运维人员责任的保护和证明。用好审计,可以提高数据库安全级别,消除系统安全漏洞,完善运维制度。

Oracle_审计表_sys.aud$_授权给用户Truncate权限.docx
04-19
Oracle_审计表_sys.aud$_授权给用户Truncate权限
sys用户所有操作进行审计示例
还不算晕的专栏
09-06 2737
注意——一些输出为了节约篇幅,已经删除。比如查询后的提示---1 row created.等等 1.查看并修改相关的初始化参数 SYS@ bys001>show parameter audit_sys_opera NAME TYPE VALUE ------------------------------------
Oracle学习笔记9_管理用户,权限,角色以及审计
m0_62902783的博客
11-16 855
CONNECT连接数据库、创建集群、数据库链接、序列、同义词、表和视图以及修改会话的特权。RESOURCE特权,用于创建集群、表和序列,以及创建可编程对象,如过程、函数、包、索引类型、类型、触发器和操作符。DBA所有的系统特权都带有ADMIN选项,所以是系统特权可以授予数据库的其他用户或角色。查询字典视图和表的能力。执行字典包(sys拥有的包)的权限。删除或重新创建字典包的能力。同样,当您运行catproc。SQL脚本作为数据库创建的一部分,脚本执行catexp。
网络安全测评
ada的博客
07-06 1618
网络安全测评一、网络安全测评概述二级目录三级目录 一、网络安全测评概述 二级目录 三级目录
审计 Linux 系统的操作行为的 5 种方案对比
skydust1979的博客
11-20 420
很多时候我们为了安全审计或者故障跟踪排错,可能会记录分析主机系统的操作行为。比如在系统中新增了一个用户,修改了一个文件名,或者执行了一些命令等等,理论上记录的越详细, 越有利于审计和排错的目的。不过过剩的记录也会为分析带来不少麻烦, 尤其是将很多主机的记录行为发送到固定的远程主机中,数据越多,分析的成本便越大。 实际上,绝大多数的系统行为都是重复多余的,比如 cron 任务计划,我们信任的程序等, 这些都会产生大量的记录,但很少用于审计分析。基于这个需求,我们在审计系统操作行为的时候,至少应该添加一些过滤
等保安全计算环境之Windows(安全审计+入侵防范)(二级)
土豆鱼香菜的博客
05-12 7816
前言 上篇文章写了关于Windows身份鉴别和访问控制的核查项和核查方法,接下来讲的是安全审计、入侵防范和恶意代码防范的核查项和核查方法。 一、安全审计 1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; a、查看是否启用安全审计功能?是否全面启用? b、或者安装第三方审计工具。 输入命令secpol.msc,选择本地策略——>审核策略。 //预期结果如下: 审核策略更改:成功,失败 审核登录事件: 成功,失败 审核对象访问: 成功,...
数据库开启对sys用户审计
weixin_33725126的博客
12-24 318
需求:客户想对数据库开启sys用户审计功能,关闭其它用户审计功能。 1)再一次巡检报告中,我们发现数据库版本11.2.0.4,开启审计功能,提供的建议如下,关闭审计alter system set audit_trail=none scope=spfile;2)客户同意关闭其它用户审计功能,想只开启对sys用户审计功能 审计相关知识点 什么是数据库审计?保存什么内容...
演示对sys用户和普通用户进行审计的示例
weixin_34389926的博客
03-10 118
1.确认数据库版本 1对SYS用户审计 1.1配置审计参数 1.2修改liunx日志配置文件 添加以下一列: 1.3 SYS 用户操作演示 2对普通用户审计 2.1配置审计参数 2.2演示对TEST用户people表审计 转载于:https://www.cnblogs.com/myrunning/p...
oracle数据库sys用户审计 转载
weixin_30782293的博客
07-28 92
()打开数据库关键操作日志审计开关Alter system set audit_sys_operations=true;审计日志产生在$ORACLE_HOME/rdbms/audit目录下,因该日志所占空间较大,保存时间较短,如一周。文件样本:Audit file /oracle/app/oracle/product/9.2.0.6/rdbms/audit/ora_10010.audOracle...
网络安全等保:Oracle数据库测评
m0_59598029的博客
02-13 3480
*得出无法成功即符合。访谈管理员是否存在多余或过期账户,管理员用户与账户之间是否一一对应通过输入**Select username,account_status from dba_users;通过查看oracle的安装路径中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否为: tcp.validnode_checking=yes tcp,invited_nodes=() 得知是否设置了远程连接IP。**查看审计日志的格式,默认符合。
等保-安全计算环境-安全审计-MySQL
weixin_44477223的博客
10-25 1388
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 1. show variables like 'log_%'; 查看二进制日志、慢查询日志、错误日志、操作日志是否开启 2. show global variables like '%general%';值为OFF或0表示未开启 核查是否采取第三方工具增强MySQL日志功能。 若有,记录第三方审计工具的审计内容, 查看是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 二进制日志 lo
网络安全等级保护测评-安全计算环境-Windows-下篇
最新发布
小马云的博客
07-05 1452
运行-命令行输入:netstat -an”,查看列表中的监听端口,是否包括高危端口,如TCP135,139,445,593,1025端口、UDP135,137,138,445端口及TCP2745,3127,6129等一些常见高危端口及流行病毒的后门端口。1、查看“控制面板-管理工具-本地安全策略-账户策略-密码策略”,查看是否禁用了策略“用可还原的加密来存储密码:已禁用”,若禁用该策略,则该点符合,否则该点不符合。
【安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
Linux等保(三级)核查指导
热门推荐
枪菜且白给的博客
07-15 5万+
Linux等级保护
等保-安全计算环境-安全审计-windows
weixin_44477223的博客
10-22 2129
1. 测评项目 a) 内容 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 1.1 应核查是否开启了安全审计功能 在运行框中依次输入CompMgmtLauncher、eventvwr、compmgmt.msc 依次打开能够查看安全审计策略 服务器管理器 事件查看器 计算机管理 1.2 应核查安全审计范围是否覆盖到每个用户 一般来说开启了审计功能这项就符合。 1.3 应核查是否对重要的用户行为和重要安全事件进行审计 直接打开管理工具-本地安全策略能够看到是否开启审计功能。
Oracle审计sys操作记录到操作系统系统日志中
lk的窝
04-21 8690
此次以Linux系统为例! 1、查看当前数据库版本及状态信息 SQL> select * from v$version; BANNER -------------------------------------------------------------------------------- Oracle Database 11g Enterprise Edition Rel
等保测评(windows)
m0_52527037的博客
04-05 1万+
2)“管理工具”-“服务器管理”-“功能”-“添加”-查看服务器功能启用情况,一些不必要的服务如Alerter、Remote Registry Service、Messenger等是否已启用;)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
优美模板
05-25 7844
描述   开启审核策略,对重要的用户行为和重要安全事件进行审计 检查提示   -- 加固建议   在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。   操作时建议做好记录或备份 安全服...
oracle如何对sys用户进行审计oracle on windows)
kouriba
07-19 479
这两天有个哥们博客上私信我个审计的问题: 在审计sys用户的时候,在audit_file_dest找不到记录sys用户操作的审计文件。 恰好我这win7上也装了个oracle 10g(10.2.0.3.0),照着做了一把,发现同样的问题,普通用户审计记录在dba_audit_trail可以查到,记录sys用户审计信息的audit目录D:\ORACLE\PRODUCT\10.2.0\ADMIN\...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值