使用标准数据库审核
有必要审核所有的sysdba活动,也应跟踪其他用户的违规行为.
除了sysdba审核外,还有以下三种审核技术
数据库审核:能跟踪特定权限的使用,特定命令的执行,对特定表的访问及登录尝试.
基于值的审核:使用数据库触发器.插入,更新或删除记录时,就会运行一个包括记录事件全部细节的PL/SQL代码块.
细粒度审核:允许根据所访问的记录(或该记录的列)来跟踪对表的访问,与数据库审核或基于值的审核相比,细粒度审核更为精确, 并且可以将生成的审核记录的范围限制为感兴趣的审核记录.
任何一种审核都会增加数据库必须完成的工作量,为了限制工作量,应进行重点审核,同时不跟踪不重要的事件.
审核SYSDBA活动
实例参数audit_sys_operation设置为true(默认是false),那么作为sysdba或sysope连接到数据库的用户所发的每条语句都会被写入操作系统的审核跟踪,
从而给出DBA所进行操作的完整记录. 审核跟踪必须手动保护,不能被DBA删除.
需要对系统进行设置,使DBA不能访问跟踪DBA活动的审核记录,只能被其他管理员访问.
优秀的计算机审核人员应:DBA不拥有unix系统中超级用户的口令(或windows管理员的口令)
sys审核记录的目标文件夹:
windows目标文件夹为windows application log
unix中目标文件夹为audit_file_dest参数所列位置
数据库审核
首先必须设置audit_trail实例参数,允许的值为:
none(或false):两者都禁用数据库审核
os:审核记录被写至操作系统的审核跟踪目录
db:审核记录会写入数据字典表sys.aud$,可通过某些视图查看这个表的内容
db_extended:与db的作用大体相同,不过包含生成审核记录的,具有绑定变量的SQL语句
xml:类似os,但使用xml标记设置格式
xml_extended:与xml类似,但使用sql语句和绑定变量
设置 audit_trail参数后,就可使用数据库审核来捕获登录尝试,系统权限与对象权限的使用及sql命令的执行.
下列命令可审核权限的使用:
sql>audit create any trigger;
sql>audit select any table by session;
因为可能在其它模式的表上创建触发器,所以需要授予编程人员create any trigger权限,但该权限可能成为一个被恶意使用的危险权限. 因此数据库管理员显然需要知道编程人员在何时使用这个权限,以便根据需要查看代码.同样,为了找出发生错误的事务所存在的问题,某个用户 需要具有select any table和update any table权限,不过只要使用这些权限就会生成记录,使他们直邮拥有合理的理由时才能访问数据.
默认方式下,审核会为违反审核条件的每一个会话生成一条审核记录,而不考虑违反条件的次数.这相当于为audit命令追加关键字 by session.为audit命令追加关键字by access时,会为每次违反条件的情况生成一条记录.
默认的by session语句可能不是想要的设置,但此设置将生成的审核记录数量限制为更易于管理的数量.
如下所示,审核也可以是面向对象的:
sql>audit insert on ar.hz_parties whenever successful;
sql>audit all on ar.ra_interface_lines_all;
第一个命令中,只要会话在指定表中插入一行就会生成审核记录.whenever successful关键字将审核记录限制为操作成功的记录,
whenever not successful是替换语法.默认方式下会审核所有操作,不论操作成功与否,都如此.第二个示例审核针对指定表执行select,DML或
DDL语句的每个会话.
audit session命令可以审核登录,例如:
sql>audit session whenever not successful;
这与审核使用create session权限的效果相同.会话审核记录针对数据库的每次连接.not successful关键字将输出内容限制为
失败的尝试.这十分有用:记录的故障可以指示尝试是否在侵入数据库.
有必要审核所有的sysdba活动,也应跟踪其他用户的违规行为.
除了sysdba审核外,还有以下三种审核技术
数据库审核:能跟踪特定权限的使用,特定命令的执行,对特定表的访问及登录尝试.
基于值的审核:使用数据库触发器.插入,更新或删除记录时,就会运行一个包括记录事件全部细节的PL/SQL代码块.
细粒度审核:允许根据所访问的记录(或该记录的列)来跟踪对表的访问,与数据库审核或基于值的审核相比,细粒度审核更为精确, 并且可以将生成的审核记录的范围限制为感兴趣的审核记录.
任何一种审核都会增加数据库必须完成的工作量,为了限制工作量,应进行重点审核,同时不跟踪不重要的事件.
审核SYSDBA活动
实例参数audit_sys_operation设置为true(默认是false),那么作为sysdba或sysope连接到数据库的用户所发的每条语句都会被写入操作系统的审核跟踪,
从而给出DBA所进行操作的完整记录. 审核跟踪必须手动保护,不能被DBA删除.
需要对系统进行设置,使DBA不能访问跟踪DBA活动的审核记录,只能被其他管理员访问.
优秀的计算机审核人员应:DBA不拥有unix系统中超级用户的口令(或windows管理员的口令)
sys审核记录的目标文件夹:
windows目标文件夹为windows application log
unix中目标文件夹为audit_file_dest参数所列位置
数据库审核
首先必须设置audit_trail实例参数,允许的值为:
none(或false):两者都禁用数据库审核
os:审核记录被写至操作系统的审核跟踪目录
db:审核记录会写入数据字典表sys.aud$,可通过某些视图查看这个表的内容
db_extended:与db的作用大体相同,不过包含生成审核记录的,具有绑定变量的SQL语句
xml:类似os,但使用xml标记设置格式
xml_extended:与xml类似,但使用sql语句和绑定变量
设置 audit_trail参数后,就可使用数据库审核来捕获登录尝试,系统权限与对象权限的使用及sql命令的执行.
下列命令可审核权限的使用:
sql>audit create any trigger;
sql>audit select any table by session;
因为可能在其它模式的表上创建触发器,所以需要授予编程人员create any trigger权限,但该权限可能成为一个被恶意使用的危险权限. 因此数据库管理员显然需要知道编程人员在何时使用这个权限,以便根据需要查看代码.同样,为了找出发生错误的事务所存在的问题,某个用户 需要具有select any table和update any table权限,不过只要使用这些权限就会生成记录,使他们直邮拥有合理的理由时才能访问数据.
默认方式下,审核会为违反审核条件的每一个会话生成一条审核记录,而不考虑违反条件的次数.这相当于为audit命令追加关键字 by session.为audit命令追加关键字by access时,会为每次违反条件的情况生成一条记录.
默认的by session语句可能不是想要的设置,但此设置将生成的审核记录数量限制为更易于管理的数量.
如下所示,审核也可以是面向对象的:
sql>audit insert on ar.hz_parties whenever successful;
sql>audit all on ar.ra_interface_lines_all;
第一个命令中,只要会话在指定表中插入一行就会生成审核记录.whenever successful关键字将审核记录限制为操作成功的记录,
whenever not successful是替换语法.默认方式下会审核所有操作,不论操作成功与否,都如此.第二个示例审核针对指定表执行select,DML或
DDL语句的每个会话.
audit session命令可以审核登录,例如:
sql>audit session whenever not successful;
这与审核使用create session权限的效果相同.会话审核记录针对数据库的每次连接.not successful关键字将输出内容限制为
失败的尝试.这十分有用:记录的故障可以指示尝试是否在侵入数据库.
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/25025926/viewspace-1068256/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/25025926/viewspace-1068256/
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
