042-13 Oracle数据库的安全Audit;配置网络

最新推荐文章于 2021-04-10 09:18:34 发布
最新推荐文章于 2021-04-10 09:18:34 发布
阅读量115 收藏
点赞数
--**AUDIT TRAIL 审计的跟踪
SQL> show parameter Audit             --查询审计相关的参数
/*
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest                      string      C:\ORACLE\PRODUCT\10.2.0\ADMIN
                                                 \TESTDB\ADUMP
audit_sys_operations                 boolean     FALSE
audit_trail                          string      None                             --默认是关闭的
*/


Select * From v$parameter_valid_values    --查看参数的有效值
Select * From v$parameter_valid_values Where Name ='audit_trail' --DB放在数据库的表中 OS放在操作系统的数据文件中  DB_EXTENDED比DB捕获更多值(执行语句,绑定变量值) XML以XML的格式放在操作系统中 EXTENDED实际上是XML EXTENDED只能组合使用,功能类似DB_EXTENDED
Alter System Set audit_trail=DB_EXTENDED Scope=Spfile; --静态参数 直接修改SPFILE 然后需要重启数据库
--审计的类型
1.(system)privilege 系统权限审计
Select * From system_privilege_map --查看系统审计权限内容CREATE SESSION,CREATE TABLE等
SQL> audit create Session          --开启reate session的审计
Select * From dba_priv_audit_opts  --查看开启了哪些权限审计
C:\>sqlplus system@testdb          --使用system用户登录
Select * From dba_audit_trail      --查看审计跟踪的记录
SQL> audit alter system by a;      --对用户A进行的更改系统参数进行审计
SQL> Noaudit create Session        --关闭create Session的审计
SQL> audit create Session By a Whenever Not Successful       --审计a用户连接不成功的create Session


2.object(privilege) 对象权限审计
C:\>sqlplus System@testdb
SQL> create table t(id int,name varchar2(10));
表已创建。
SQL> insert into t values(1,'a');
已创建 1 行。
SQL> commit;
提交完成。
SQL> audit select on t;          --审计所有select表t的操作
Select * From t                  --查询表t,产生审计记录
Select * From dba_obj_audit_opts --查看开启了哪些对象审计
Select * From dba_audit_trail    --查看审计跟踪的记录
audit select on t [By Session];  --按session进行审计,即同一session只记录一次
audit select on t By Access;     --每次访问记录一次审计
Audit All On t                   --审计表t的所有信息
3.Statement 语句审计             --针对SQL语句的特定关键字进行审计
Audit Table By a                 --a用户下对table进行操作进行审计
C:\>sqlplus a@testdb             --开启语句审计,需要被审计用户重新登录
SQL> create table tt(id int);
Select * From dba_audit_trail    --查看审计跟踪的记录
--关闭审计
Noaudit Table By a               --关闭审计,必须加相关条件,否则不起作用


--*****审计的维护
Select * From aud$               --审计的基表
Delete From aud$                 --为数不多的允许操作的系统表


--****强制审计
SYS用户登录的操作,都被强制审计
审计信息存放在系统文件中
(windows下,管理-系统工具-事件查看器-应用程序)
unix下,存放在 audit_file_dest 该系统属性指定的地址下 show parameter Audit 进行查看
windows审计类型为xml_extended时,也存放在audit_file_dest 该系统属性指定的地址下 如 C:\ORACLE\PRODUCT\10.2.0\Admin\TESTDB\ADUMP


--Fine-grained auditing(FGA) 精细粒度审计
C:\>sqlplus a@testdb   
SQL> create table t(id int,name varchar2(10),salary number default 1000);
Insert Into t Values(1,'a',1000);


begin
dbms_fga.add_policy (
object_schema => 'A',                    --审计的用户
object_name => 'T',                      --审计的对象
policy_name => 'audit_t_salary',         --给审计策略起名字
audit_condition=> 'id=1',                --审计id=1的
audit_column => 'SALARY',                --审计salary这一列
/*handler_schema => 'secure',              --审计时触发其他动作
handler_module => 'log_emps_salary',     --访问salary这一列时,同时触发secure下的存储过程log_emps_salary*/
enable => TRUE,
statement_types => 'SELECT' );
End;
/


Select * From dba_audit_policies         --可以看到新建的审计策略
C:\>sqlplus a@testdb   
Select * From t                          --用户a登录查询表t触发审计策略
Select Id,Name From t                    --没有访问敏感数据,不触发审计策略
Select * From dba_fga_audit_trail        --查看FGA审计到的信息
Select * From dba_common_audit_trail     --存放的Standard Audit普通审计和Fine Grained Audit精细粒度审计




--***********************
--***********************
--Configuring The Oracle Network Environment 配置网络
lsnrctl status    --查看监听的状态


/*监听端点概要...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.100.50)(PORT=1521)))
服务摘要..
服务 "testDB" 包含 2 个例程。
  例程 "testRID", 状态 UNKNOWN, 包含此服务的 1 个处理程序...
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "testDB_XPT" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
命令执行成功*/


配置服务命名时,服务名可以使用上面出现的服务的名字


监听的全局服务名改为testLSR
lsnrctl reload
lsnrctl status


/*监听端点概要...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.100.50)(PORT=1521)))
服务摘要..
服务 "testDB" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "testDB_XPT" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "testLSR" 包含 1 个例程。
  例程 "testRID", 状态 UNKNOWN, 包含此服务的 1 个处理程序...
命令执行成功*/


配置服务命名时,服务名使用testLSR,可以通过  --tnsping testDB


testDB是当前service_name属性的值
SQL> show parameter serviece_name;
SQL> show parameter service
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
service_names                        string      testDB


SQL> alter system set service_names=testDB,B,C;  --service_name属性的值增加B,C,最多允许64个值
SQL> show parameter service
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
service_names                        string      TESTDB, B, C


lsnrctl status


/*监听端点概要...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.100.50)(PORT=1521)))
服务摘要..
服务 "B" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "C" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "testDB" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "testDB_XPT" 包含 1 个例程。
  例程 "testrid", 状态 READY, 包含此服务的 1 个处理程序...
服务 "testLSR" 包含 1 个例程。
  例程 "testRID", 状态 UNKNOWN, 包含此服务的 1 个处理程序...
命令执行成功*/


配置服务命名时,服务名使用B,C,可以通过
--******************* service_names的用途
1.
分别使用B和C创建服务命名
用不同的应用连接B和C,就可以区分B和C2个应用哪个占用的资源多


SQL> @C:\oracle\product\10.2.0\db_1\RDBMS\ADMIN\awrrpt.Sql  --生成报告
查看AWR报告就能区分一段时间内,B和C应用使用资源的对比


2.
集群环境,通过service_names确定哪个服务器的负载轻


3.
lsnrctl status下 状态 UNKNOWN的是监听配置出的静态服务信息,不一定通,作用是1.数据库shutdown的状态下,必须通过静态服务信息SYS用户连接;2.EM必须用静态服务信息
lsnrctl status下 状态 READY  的是动态服务信息,数据库启动后一定能连通
AWR报告中只能监控连接到动态服务信息的SESSION


--*******************

Create Table t_obj As Select * From dba_objects
Create Index idx_t_obj On t_obj(object_id)
Select Max(object_id),Min(object_id) From t_obj  --这个语句怎么优化

Select * From (Select Max(object_id) From t_obj)a,(Select Min(object_id) From t_obj)b


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/15810196/viewspace-1130242/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/15810196/viewspace-1130242/

ctxylong2013
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库安全审计系统.doc
02-27
数据库安全审计系统 数据库安全审计管理系统示意图   英文:Database security audit system   数据库安全审计系统主主要用于监视并记录对数据库服务器的各类操作行为,通过 对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据 库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计 。它可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修 改和删除等,分析的内容可以精确到SQL操作语句一级。它还可以根据设置的规则,智能 的判断出违规操作数据库的行为,并对违规行为进行记录、报警。由于数据库安全审计 系统是以网络旁路的方式工作于数据库主机所在的网络,因此它可以在根本不改变数据 库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位,实现数据库的在线监 控,在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护,及时地 发现网络上针对数据库的违规操作行为并进行记录、报警和实时阻断,有效地弥补现有 应用业务系统在数据库安全使用上的不足,为数据库系统的安全运行提供了有力保障。   一、数据库安全审计系统主要功能包括:   · 实时监测并智能地分析、还原各种数据库操作。   · 根据规则设定及时阻断违规操作,保护重要的数据库表和视图。   · 实现对数据库系统漏洞、登录帐号、登录工具和数据操作过程的跟踪,发现对数据库系 统的异常使用。   · 支持对登录用户、数据库表名、字段名及关键字等内容进行多种条件组合的规则设定, 形成灵活的审计策略。   · 提供包括记录、报警、中断和向网管系统报警等多种响应措施。   · 具备强大的查询统计功能,可生成专业化的报表。   二、数据库安全审计系统主要特点   · 采用旁路技术,不影响被保护数据库的性能。   · 使用简单,不需要对被保护数据库进行任何设置。   · 支持SQL-92标准,适用面广,可以支持Oracle、MS SQL Server、Sybase、Informix等多类数据库。   · 审计精细度高,可审计并还原SQL操作语句。   · 采用分布式监控与集中式管理的结构,易于扩展。   · 完备的"三权分立"管理体系,适应对敏感内容审计的管理要求。   三、数据库安全审计管理系统示意图 ----------------------- 数据库安全审计系统全文共2页,当前为第1页。 数据库安全审计系统全文共2页,当前为第2页。
CentOS 7 下审计服务安装配置
老实人张大傻
08-24 2432
文章目录Audit 服务安装Audit 启动 && 开机启动配置 Audit 规则记录系统的日期和时间的修改记录用户和组的修改的事件记录网络环境修改时间记录登录和登出事件记录会话启动事件监视对文件权限、属性、所有权和组的更改记录未授权文件访问尝试收集成功挂载磁盘事件收集用户的文件删除事件收集对系统管理范围(sudoers)的更改收集内核模块加载和卸载收集使用特权命令参考 Audit 服务安装 [root@demo ~]# yum -y install audit audit-libs-dev
ORACLE数据库管理-审计
oradbm的博客
11-28 567
1 审计类型 强制审计 标准审计 标准审计主要包括: 触发器审计 精细化审计 1 语句级审计,指定数据库对象的所有活动的一种审计。 2 权限级审计审计某种权限。 3 对象级审计审计特定表上面的活动。 初始化参数audit_TRAIL设置为ture,可以启用标准审计。 测试范例: DELETE t1 where nv...
oracle中aut,Oracle数据库数据访请安全审计方案
weixin_34336068的博客
04-09 291
Oracle数据库数据访问安全审计方案这是一份真实的客户需求实现方案。客户要求监控到某些关键表在什么时间段、什么用户、什么应用程序以及访问哪些具体的记录。数据库系统是Oracle9.2.0.1,它的审计功能可实现该需求。基于审计对正常运行的应用的性能压力,需要设置特定时间段的数据访问审计。从审计日志中获得的监控详细信息,那些表被什么应用访问,什么时候访问。提供详细报告信息。(miki西游@mik...
笔记:审计表查询
Lizi_TT的博客
08-04 307
知识点: 1,Audit_sys_operations: 默认为false,当设置为true时,所有sys用户(包括以sysdba, sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud表中,这个很好理解,如果数据库还未启动aud表中,这个很好理解,如果数据库还未启动aud表中,这个很好理解,如果数据库还未启动aud不可用,那么像conn /as sysdba这样的连接信息,只能记录在其它地方。如果是windows平台,audti trail会记录在windows的事件管理中
Oracle FGA审计记录的清理步骤
msdnchina的专栏@JiNan,ShanDong
08-08 8028
Oracle FGA审计记录的清理步骤
Oracle8i_9i数据库基础
03-03
第一章 Oracle数据库基础 23 §1.1 理解关系数据库系统(RDBMS) 23 §1.1.1 关系模型 23 §1.1.2 Codd十二法则 24 §1.2 关系数据库系统(RDBMS)的组成 24 §1.2.1 RDBMS 内核 24 §1.2.2 数据字典概念 25 §1.3 ...
数据库审计全.docx
06-17
NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ audit_file_dest string /oracle/app/oracle/admin/PTBCS/adump audit_sys_operations boolean FALSE audit_...
oracle权限角色
05-23
 audit any 为任意的数据库对象设置审计选项  audit system 答应系统操作审计  backup any table 备份任意表的权限  become user 切换用户状态的权限  commit any table 提交表的权限 。。。。。。。。。
Oracle 10g Audit审计) --- 记录登录用户在Oracle中的所有操作
热门推荐
红黄蓝的技术生活
03-24 1万+
由于项目平台管理的需要,最近在研究Oracle 10G的审计功能,以便记录和跟踪用户在Oracle数据库系统中的所有操作行为,进而提高Oracle安全性。现在把审计功能的配置步骤分享出来,供大家参考: 1、以DBA登录Oracle # su - oracle$ sqlplus /nologSQL> conn / as sysdba 2、查看当前审计设置 SQL>
oracle审计
怪手大分的专栏
05-30 3185
1、启动数据库审计show parameter audit_trail;select value from v$parameter where name=audit_trail;参数取值为true或者db,将审计结果存入基表,os利用操作系统审计功能,none或者false不审计,没有默认值要支持审计必须先创建审计视图,查询语句如下: select view_name from user_
OracleAudit All命令并不能真正全部审计
allway2的博客
06-27 1133
当试图使他们的Oracle数据库尽可能安全时,许多组织都打开了Oracle审计功能。Oracle具有非常强大的审核功能,使我们能够记录数据库中执行的所有操作。我们可以审核连接,对象创建,数据更新,删除以及许多其他数据库活动。 一些组织为了遵守法规或公司安全策略而进行审核,并且可能直到怀疑存在违反安全性的情况,才可能实际检查所产生的日志。 如果这些组织使用Oracle提供的配置审核的快捷方式,可能会感到惊讶。快捷方式是配置审核的便捷方法。无需指定要审核的每个活动,而是可以一次指定一组活动。但是,这些快捷
Oracle Audit 功能的使用和说明
Data & Analysis
07-10 2919
审计Audit) 用于监视用户所执行的数据库操作,审计记录可存在数据字典表(称为审计记录:存储在system表空间中的 SYS.AUD$ 表中,可通过视图dba_audit_trail查看)或操作系统审计记录中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/).。默认情况下审计是没有开启的。 不管你是否打开数据库审计功能,以下这些操作系统会强制记录:用管...
oracle数据库审计os,审计Oracle数据库的使用
weixin_42398635的博客
04-06 831
Normal07.8 磅02falsefalsefalseMicrosoftInternetExplorer4仅使用权限、角色、视图、甚至细粒度安全策略建立访问控制系统还不能保证数据库安全审计数据库的使用能让我们知道访问控制机制是否确实像所希望的那样工作。审计涉及监控和记录用户的数据库活动。Oracle提供了大量的审计类型的控制选择,可以再会话级或在整个数据库级进行审计。主要分为标准审计和细粒...
oracle 审计设置,oracle审计简单设置
weixin_34885009的博客
04-10 1154
数据库审计参数:audit_trailSQL> show parameter auditNAME TYPE VALUE------------------------------------ ----------- ------------------------------audit_file_dest...
Audit 功能的使用方法介绍
clare0807的博客
02-28 3406
收藏...[@more@]一. 视图说明:1. SYS.AUD$审计功能的底层视图,如果需要对数据进行删除,只需要对aud$视图进行删除既可,其他视图里的数据都是由aud$所得.2. DBA_AUDIT_EXISTS列出audi...
oracle audit
huangliang0703的专栏
12-13 1736
文章来自:http://blog.chinaunix.net/uid-22948773-id-2600906.html Oracle使用大量不同的审计方法来监控使用何种权限,以及访问哪些对象。审计不会防止使用这些权限,但可以提供有用的信息,用于揭示权限的滥用和误用。 下表中总结了Oracle数据库中不同类型的审计。 审 计 类 型 说    明
对象audit时的一个有用option:ON DEFAULT
clt3617的博客
04-28 186
在使用对象权限审计时如果使用on default选项,有一下几个方面需要注意:1、设置on default之后,它仅对之后创建的对象生效2、on default对之后创建的对象永远生效,即使以后设置了noaudit all(或者...
Oracle数据库服务器爆满
最新发布
07-14
Oracle数据库服务器存储空间爆满时,您可以采取以下措施来解决问题: 1. 清理日志文件:检查数据库日志文件所在的路径,例如在 $ORACLE_HOME/rdbms/audit 目录下。可以删除旧的、不再需要的日志文件。 2. 清理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值