那些遇到过的问题

您如何防止 Oracle 外部表中的恶意 PREPROCESSOR 攻击?

dot*_*dot 7 oracle security

我是一名新的 DBA,最近我发现了 Oracle 中使用 PREPROCESSOR 功能的外部表选项(http://download.oracle.com/otndocs/products/database/enterprise_edition/utilities/pdf/xtables_preproc11g_1009.pdf)不幸的是,此功能在我们的休息室中似乎非常有用,但似乎非常危险,因为可以访问操作系统(或远程......)的人可能会利用它来导致数据库受到损害,甚至最糟糕的是 - 整个操作系统。

我已将此功能的访问权限限制在最低限度,并撤销了可能允许外部访问操作系统(extproc、java 等)的任何其他权限

但是,有时我们必须使用此功能,这就是我问你们两个主要问题的地方:

  1. 你如何使用这个邪恶的功能来防止恶意攻击?
  2. 假设安全机制出现故障,有哪些方法可以检测到有人以邪恶的方式使用了此功能?可以看到什么样的查询(或它们的内容)?

谢谢 (:

Gai*_*ius 5

甲骨文已执行从SQL的外部代码的能力的时间- EXTPROCs数据磁带,等等。你说

可以访问操作系统(或远程......)的人可以利用它来导致数据库受到损害

但这究竟意味着什么?oracle可以作为用户访问操作系统的人可以直接访问您的 DBF(它们只是磁盘上的文件),可以直接附加到 SGA,可以进行备份和复制,可以监听网络流量(如root)。对于恶意开发人员,他们可以在 PL/SQL 中为所欲为并对其进行包装。我不明白您是如何通过使用此功能引入新漏洞的。如果它使您的工作或用户的工作更轻松,那就去做吧。

Lei*_*fel 4

如果用户有权访问操作系统和包含 PREPROCESSOR 程序的文件夹,那么理论上他们可以执行 Oracle 操作系统用户可以执行的任何操作。

  1. 通过阻止对操作系统的这种级别的访问来防止这种情况发生。

  2. 通过监视对操作系统和文件夹的访问来监视这一点。

归档时间:

查看次数:

373 次

最近记录:

13 年,8 月 前
相关归档
用分号或下一行的斜杠终止Oracle sql语句有什么区别? 8
在 PL/SQL developer 或 Oracle SQL Developer 中出错时停止 7
Oracle 钱包设置 ORA-12578 5
Oracle RAC 故障转移无法正常工作 5
如何从 Oracle SQL 脚本中分离出单独的 sql 语句以从 Java 代码中执行 5
安全的 postgresql 数据库加密 5
Oracle - 在“插入前”触发器中中止而不抛出异常 3
您可以使用“RENAME”而不是“FLASHBACK TABLE”来恢复 Oracle 中的表吗? 3
在 Oracle 中的大表上将列类型从 varchar2 更改为数字的最快方法 2
索引如何加快表中的插入速度 0
难疑归档
使用不同域中的 Windows 身份验证连接到 SQL Server 96
索引搜索与索引扫描 66
使用 log_bin 变量禁用 MySQL 二进制日志记录 52
WHERE 子句是否按照它们的编写顺序应用? 47
将所有列记录转换为小写 38
MySQL:为什么 mysql.db 中有“测试”条目? 37
何时使用 CDC 跟踪历史? 27
Row_GUID 列的用途是什么? 23
聚集索引和非聚集索引之间的性能差异 23
在 SQL Server 中,为什么聚簇索引的向后扫描不能不使用并行性? 22