为什么操作系统身份验证被认为是 Oracle 数据库的安全性差？

Question

根据Oracle 数据库安全指南，Oracle 正在弃用 OS 身份验证，其中说

请注意，REMOTE_OS_AUTHENT 参数在 Oracle 数据库 11g 第 1 版 (11.1) 中已弃用，保留只是为了向后兼容。

此外，大多数安全信息和工具都认为 操作系统（外部）身份验证是一个安全问题。我试图理解为什么会这样。以下是我看到的操作系统身份验证的一些优点：

1. 如果没有操作系统身份验证，应用程序必须将密码存储在各种应用程序中，每个应用程序都有自己的安全模型和漏洞。
2. 域身份验证必须是安全的，因为如果不是，那么数据库安全只会减慢对数据库的访问，但无法阻止它。
3. 只需记住一个域密码的用户可以更轻松地创建更安全的域密码，而不是随着他们必须连接到的不同数据库数量的增加而创建更不安全的数据库密码。

Answer 1

考虑以下场景：

1. gaiusOracle 服务器上有一个 Unix 用户，有外部认证，所以在 Oracle 中有一个对应的用户叫ops$gaius. 登录到 shell 后，我还可以直接登录到我的 Oracle 模式，而且我的 cron 作业也不需要在脚本中嵌入密码。
2. 允许远程操作系统身份验证，假设 LAN 是 100% 安全并且客户端可以信任（与rlogin/rsh过去通常允许的相同）
3. 攻击者通过任何方式将他或她的笔记本电脑连接到 LAN，知道我在那里工作，并在他们的笔记本电脑上创建一个本地用户，名为gaius并以该用户身份运行 SQL*Plus
4. Oracle 看到（即OSUSER在V$SESSION） isgaius并将该远程用户登录为ops$gaius

这不仅很容易被欺骗，而且戴上我愤世嫉俗的帽子，甲骨文不能再向你出售他们花哨的单点登录产品赚钱了......顺便说一下，这确实满足了你作为操作系统优势提出的所有观点- 级别身份验证。两个比一个更好的密码完全是假的；大多数人无论如何都会将它们设置为相同（Oracle 中没有防止这种情况的机制）。

一般原则是，当攻击者具有物理访问权限时，在软件中进行防御是极其困难的。永远不要相信客户。

Answer 2

它会增加单点故障并扩大数据的风险面。

获得系统访问权限的攻击者将通过操作系统身份验证访问数据库。通过要求对数据库进行更安全的访问，潜在的攻击者必须提升他们在受感染系统上的权限以获得 root 或 oracle 访问权限，而不是任何用户。

这个问题是外部访问数据库的功能。如果没有外部访问并且机器是完全安全的，那么权限问题就没有实际意义了。但是，如果开发人员具有访问权限，则操作系统级别的用户权限会增加潜在安全灾难的范围。

考虑使用多层访问来限制安全漏洞的范围，并为任何用户、应用程序或客户端提供所需的访问权限，而无需为每个实例创建操作系统级别的帐户。