详说Oracle Vault——原理、安装与配置 2014-04-07 14:58:09 分类: Oracle 对于信息系统而言,安全性是至关重要的考量方面。从近年来全球爆发的信息数据泄露引起的
2017-09-13 10:38
633 查看
详说Oracle
Vault——原理、安装与配置 2014-04-07 14:58:09
分类: Oracle
对于信息系统而言,安全性是至关重要的考量方面。从近年来全球爆发的信息数据泄露引起的广泛关注来看,没有数据的安全,就没有客户持续的信任,也就没有企业的生存空间。
安全威胁是一个综合性的范围。究其要点,是由很多因素构成的,比如广受关注的外界黑客网络攻击。但是,经过统计,我们企业面对的绝大多数情况都是针对数据内部的威胁。很多机密、隐私数据并不是通过“无所不在”的黑客们盗取的,而是就在运维部门、开发部门和业务部门的“内鬼”引起的。
内部安全问题,其实是一个非常矛盾的“非技术”问题。如果不对内部人员放开数据,很多工作是无法完成的。如果对内部人员开放数据,特别是第三方服务商人员,你的数据其实是没有保障的。
当然,很多机构和组织也尝试了一些方法,来应对这样的问题。比如法律上的保密协定、多层审批机制,但是这也只能从一定程度上缓解问题。一种普遍认为比较有用的方法就是职责分开,单人单值。也就是说,一个人一个岗位只让承担一个单一职责,只是接触数据全过程的一个环节。单一工作人员泄密风险是高的,但是整个工作流上所有点,甚至整个团队都泄密的风险是大大降低的。
Oracle数据库作为目前最成熟的商业数据库,在稳定其核心功能的同时也针对数量众多的用户群提出了很多安全运维工具解决方案。在数据层面,Oracle有三个代表新的技术:Virtual
Private Database(VPD)、Label
Security和Oracle Vault。VPD主要是针对解决应用层面的数据访问需求添加数据访问权限,Label
Security是VPD某种程度的拓展升级。而Vault主要是对Oracle数据库的安全职责进行分离,将数据安全责任从用户甚至sys身上剥离出去,进行细粒度的安全责任分配。
1、Oracle Vault简述
Oracle Vault是官方推荐的security策略之一,它主要用于运维机构中对数据的保护。传统意义的Oracle安全是一种“sys上帝”的主宰模型。我们虽然有各种系统、角色和对象权限,虽然各种安全手册要我们使用非sys用户进行维护工作,但是很多数据库管理员还是在使用sys进行所有工作。一些数据防护技术,比如VPD虽然可以实现数据层面的控制,但是对sys也是无效的。
更重要的是一些any类的系统权限,如select
any table,一旦赋予,用户其实就控制了所有数据表的数据访问。这个是非常武断的做法,潜藏着很大问题。
在“sys上帝”的前提控制下,这样的局面是控制不住的。因为一些运维操作,如数据备份、导入导出是避免不了高级访问权限的。“要么不做、要么别管”就是我们目前很多运维机构的现状。
Oracle Vault提供了sys用户削权的一种选择。作为Oracle数据库的一个可选组件,Vault是需要额外的文件链接、注册和安装的。安装vault之后,Oracle会去创建一个全新的用户dbvowner,原有的sys对一些数据的操作和访问权限,也都有进行控制的可能。
Vault中的三个核心要素:Realm(领域)、Factor(因素)和规则(Rule)。从数据对象、操作命令等多个方面来限制或者保护特定的对象。
本系列中,会介绍Oracle Vault的安装、配置和使用方法。首先,我们介绍如何进行vault安装。
2、Oracle Vault前提
默认企业版中,Vault是不会安装的。我们需要手工的进行编译、安装,才能使用。
我们采用Oracle 11gR2进行测试,版本号为11.2.0.4。
SQL> select * from v$version;
BANNER
-----------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
PL/SQL Release 11.2.0.4.0 - Production
CORE 11.2.0.4.0 Production
TNS for Linux: Version 11.2.0.4.0 - Production
NLSRTL Version 11.2.0.4.0 - Production
判断当前vault是否安装,查看v$option视图。
SQL> select * from v$option where parameter like '%Vault%';
PARAMETER VALUE
------------------------- ----------
Oracle Database Vault FALSE
安装配置之前,要将数据库、监听程序、DB Console关闭。
--监听程序
[oracle@SimpleLinux ~]$ lsnrctl stop
LSNRCTL for Linux: Version 11.2.0.4.0 - Production on 07-APR-2014 12:41:34
Copyright (c) 1991, 2013, Oracle. All rights reserved.
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=SimpleLinux)(PORT=1521)))
The command completed successfully
--Console
[oracle@SimpleLinux ~]$ emctl stop dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.2.0.4.0
Copyright (c) 1996, 2013 Oracle Corporation. All rights reserved.
https://SimpleLinux:1158/em/console/aboutApplication
Stopping Oracle Enterprise Manager 11g Database Control ...
... Stopped.
--Database Server
SQL> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
3、组件编译
Oracle Vault是依赖Label Security,需要在操作系统层面上启动配置。在Linux/Unix环境下,使用make进行配置链接。
[oracle@SimpleLinux lib]$ cd $ORACLE_HOME/rdbms/lib
[oracle@SimpleLinux lib]$ make -f ins_rdbms.mk dv_on lbac_on ioracle
/usr/bin/ar d /u01/app/oracle/rdbms/lib/libknlopt.a kzvndv.o
/usr/bin/ar cr /u01/app/oracle/rdbms/lib/libknlopt.a /u01/app/oracle/rdbms/lib/kzvidv.o
/usr/bin/ar d /u01/app/oracle/rdbms/lib/libknlopt.a kzlnlbac.o
/usr/bin/ar cr /u01/app/oracle/rdbms/lib/libknlopt.a /u01/app/oracle/rdbms/lib/kzlilbac.o
chmod 755 /u01/app/oracle/bin
- Linking Oracle
rm -f /u01/app/oracle/rdbms/lib/oracle
gcc -o /u01/app/oracle/rdbms/lib/oracle -m32 -z noexecstack -L/u01/app/oracle/rdbms/lib/ -L/u01/app/oracle/lib/ -L/u01/app/oracle/lib/stubs/
-L/u01/app/oracle/lib/ -lirc -lipgo -Wl,-E /u01/app/oracle/rdbms/lib/opimai.o
(篇幅原因,有省略……)
-L/u01/app/oracle/lib
test ! -f /u01/app/oracle/bin/oracle ||\
mv -f /u01/app/oracle/bin/oracle /u01/app/oracle/bin/oracleO
mv /u01/app/oracle/rdbms/lib/oracle /u01/app/oracle/bin/oracle
chmod 6751 /u01/app/oracle/bin/oracle
注意:如果在Exadata中需要使用IPC协议访问存储,则需要加入ipc_rds协议模块。另外如果Windows平台,则是将$ORACLE_HOME/bin目录中oradv11.dll.dbl改名为oradv11.dll命令。
之后,重新启动监听器和服务器。
[oracle@SimpleLinux lib]$ lsnrctl start
SQL> conn / as sysdba
Connected to an idle instance.
SQL> startup
ORACLE instance started.
Total System Global Area 372449280 bytes
Fixed Size 1364732 bytes
Variable Size 281021700 bytes
4、调用dbca启动
在支持GUI的界面方式下,调用dbca启动编译。
点击下一步Next,选择Configure
Database Options项目。之后选择目标数据库。
从选项中,选择上Label Security和Vault选项。
配置项目中,包括了Oracle Vault用户owner的名称和管理员密码。注意:这个配置密码环节是很严格的,要求长度是8-30位、不出现重复字符和包括至少一个标点符号。
选择连接方法,包括独占方式和共享连接方式。最后安装选项。
最后安装成功,结束GUI界面。
5、启动DBV配置界面
和很多Oracle组件一样,Oracle
Vault是可以通过一系列的API接口调用来进行配置管理的。但是,由于复杂性,Oracle并不推荐直接使用API接口命令进行管理,而是通过提供的dbv应用进行配置。使用dbv的方法和em很像,而且避免了出现错误的几率。
调用dbv的方法,首先是启动emctl。之后调用https://:/dva。端口号和em是一样的。
点击登录,就可以看到配置项目。
Vault默认是提供很多默认配置内容的。在完成安装之后,我们最直接观察就是sys本身功能被限制。
SQL> conn sys/oracle@ora11g as sysdba
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as SYS
SQL> create user xxx identified by xxx;
create user xxx identified by xxx
ORA-01031: 权限不足
SQL> alter user scott identified by tiger;
alter user scott identified by tiger
ORA-01031: 权限不足
6、结论
Oracle Vault是目前Oracle官方推荐的运维安全策略。在实际应用中,主要便于进行sys等管理员帐号权限限制,保护核心业务数据。
本篇对安装进行了简单介绍,具体概念和相关内容我们在后面继续讨论。
Vault——原理、安装与配置 2014-04-07 14:58:09
分类: Oracle
对于信息系统而言,安全性是至关重要的考量方面。从近年来全球爆发的信息数据泄露引起的广泛关注来看,没有数据的安全,就没有客户持续的信任,也就没有企业的生存空间。
安全威胁是一个综合性的范围。究其要点,是由很多因素构成的,比如广受关注的外界黑客网络攻击。但是,经过统计,我们企业面对的绝大多数情况都是针对数据内部的威胁。很多机密、隐私数据并不是通过“无所不在”的黑客们盗取的,而是就在运维部门、开发部门和业务部门的“内鬼”引起的。
内部安全问题,其实是一个非常矛盾的“非技术”问题。如果不对内部人员放开数据,很多工作是无法完成的。如果对内部人员开放数据,特别是第三方服务商人员,你的数据其实是没有保障的。
当然,很多机构和组织也尝试了一些方法,来应对这样的问题。比如法律上的保密协定、多层审批机制,但是这也只能从一定程度上缓解问题。一种普遍认为比较有用的方法就是职责分开,单人单值。也就是说,一个人一个岗位只让承担一个单一职责,只是接触数据全过程的一个环节。单一工作人员泄密风险是高的,但是整个工作流上所有点,甚至整个团队都泄密的风险是大大降低的。
Oracle数据库作为目前最成熟的商业数据库,在稳定其核心功能的同时也针对数量众多的用户群提出了很多安全运维工具解决方案。在数据层面,Oracle有三个代表新的技术:Virtual
Private Database(VPD)、Label
Security和Oracle Vault。VPD主要是针对解决应用层面的数据访问需求添加数据访问权限,Label
Security是VPD某种程度的拓展升级。而Vault主要是对Oracle数据库的安全职责进行分离,将数据安全责任从用户甚至sys身上剥离出去,进行细粒度的安全责任分配。
1、Oracle Vault简述
Oracle Vault是官方推荐的security策略之一,它主要用于运维机构中对数据的保护。传统意义的Oracle安全是一种“sys上帝”的主宰模型。我们虽然有各种系统、角色和对象权限,虽然各种安全手册要我们使用非sys用户进行维护工作,但是很多数据库管理员还是在使用sys进行所有工作。一些数据防护技术,比如VPD虽然可以实现数据层面的控制,但是对sys也是无效的。
更重要的是一些any类的系统权限,如select
any table,一旦赋予,用户其实就控制了所有数据表的数据访问。这个是非常武断的做法,潜藏着很大问题。
在“sys上帝”的前提控制下,这样的局面是控制不住的。因为一些运维操作,如数据备份、导入导出是避免不了高级访问权限的。“要么不做、要么别管”就是我们目前很多运维机构的现状。
Oracle Vault提供了sys用户削权的一种选择。作为Oracle数据库的一个可选组件,Vault是需要额外的文件链接、注册和安装的。安装vault之后,Oracle会去创建一个全新的用户dbvowner,原有的sys对一些数据的操作和访问权限,也都有进行控制的可能。
Vault中的三个核心要素:Realm(领域)、Factor(因素)和规则(Rule)。从数据对象、操作命令等多个方面来限制或者保护特定的对象。
本系列中,会介绍Oracle Vault的安装、配置和使用方法。首先,我们介绍如何进行vault安装。
2、Oracle Vault前提
默认企业版中,Vault是不会安装的。我们需要手工的进行编译、安装,才能使用。
我们采用Oracle 11gR2进行测试,版本号为11.2.0.4。
SQL> select * from v$version;
BANNER
-----------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
PL/SQL Release 11.2.0.4.0 - Production
CORE 11.2.0.4.0 Production
TNS for Linux: Version 11.2.0.4.0 - Production
NLSRTL Version 11.2.0.4.0 - Production
判断当前vault是否安装,查看v$option视图。
SQL> select * from v$option where parameter like '%Vault%';
PARAMETER VALUE
------------------------- ----------
Oracle Database Vault FALSE
安装配置之前,要将数据库、监听程序、DB Console关闭。
--监听程序
[oracle@SimpleLinux ~]$ lsnrctl stop
LSNRCTL for Linux: Version 11.2.0.4.0 - Production on 07-APR-2014 12:41:34
Copyright (c) 1991, 2013, Oracle. All rights reserved.
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=SimpleLinux)(PORT=1521)))
The command completed successfully
--Console
[oracle@SimpleLinux ~]$ emctl stop dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.2.0.4.0
Copyright (c) 1996, 2013 Oracle Corporation. All rights reserved.
https://SimpleLinux:1158/em/console/aboutApplication
Stopping Oracle Enterprise Manager 11g Database Control ...
... Stopped.
--Database Server
SQL> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
3、组件编译
Oracle Vault是依赖Label Security,需要在操作系统层面上启动配置。在Linux/Unix环境下,使用make进行配置链接。
[oracle@SimpleLinux lib]$ cd $ORACLE_HOME/rdbms/lib
[oracle@SimpleLinux lib]$ make -f ins_rdbms.mk dv_on lbac_on ioracle
/usr/bin/ar d /u01/app/oracle/rdbms/lib/libknlopt.a kzvndv.o
/usr/bin/ar cr /u01/app/oracle/rdbms/lib/libknlopt.a /u01/app/oracle/rdbms/lib/kzvidv.o
/usr/bin/ar d /u01/app/oracle/rdbms/lib/libknlopt.a kzlnlbac.o
/usr/bin/ar cr /u01/app/oracle/rdbms/lib/libknlopt.a /u01/app/oracle/rdbms/lib/kzlilbac.o
chmod 755 /u01/app/oracle/bin
- Linking Oracle
rm -f /u01/app/oracle/rdbms/lib/oracle
gcc -o /u01/app/oracle/rdbms/lib/oracle -m32 -z noexecstack -L/u01/app/oracle/rdbms/lib/ -L/u01/app/oracle/lib/ -L/u01/app/oracle/lib/stubs/
-L/u01/app/oracle/lib/ -lirc -lipgo -Wl,-E /u01/app/oracle/rdbms/lib/opimai.o
(篇幅原因,有省略……)
-L/u01/app/oracle/lib
test ! -f /u01/app/oracle/bin/oracle ||\
mv -f /u01/app/oracle/bin/oracle /u01/app/oracle/bin/oracleO
mv /u01/app/oracle/rdbms/lib/oracle /u01/app/oracle/bin/oracle
chmod 6751 /u01/app/oracle/bin/oracle
注意:如果在Exadata中需要使用IPC协议访问存储,则需要加入ipc_rds协议模块。另外如果Windows平台,则是将$ORACLE_HOME/bin目录中oradv11.dll.dbl改名为oradv11.dll命令。
之后,重新启动监听器和服务器。
[oracle@SimpleLinux lib]$ lsnrctl start
SQL> conn / as sysdba
Connected to an idle instance.
SQL> startup
ORACLE instance started.
Total System Global Area 372449280 bytes
Fixed Size 1364732 bytes
Variable Size 281021700 bytes
4、调用dbca启动
在支持GUI的界面方式下,调用dbca启动编译。
点击下一步Next,选择Configure
Database Options项目。之后选择目标数据库。
从选项中,选择上Label Security和Vault选项。
配置项目中,包括了Oracle Vault用户owner的名称和管理员密码。注意:这个配置密码环节是很严格的,要求长度是8-30位、不出现重复字符和包括至少一个标点符号。
选择连接方法,包括独占方式和共享连接方式。最后安装选项。
最后安装成功,结束GUI界面。
5、启动DBV配置界面
和很多Oracle组件一样,Oracle
Vault是可以通过一系列的API接口调用来进行配置管理的。但是,由于复杂性,Oracle并不推荐直接使用API接口命令进行管理,而是通过提供的dbv应用进行配置。使用dbv的方法和em很像,而且避免了出现错误的几率。
调用dbv的方法,首先是启动emctl。之后调用https://:/dva。端口号和em是一样的。
点击登录,就可以看到配置项目。
Vault默认是提供很多默认配置内容的。在完成安装之后,我们最直接观察就是sys本身功能被限制。
SQL> conn sys/oracle@ora11g as sysdba
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as SYS
SQL> create user xxx identified by xxx;
create user xxx identified by xxx
ORA-01031: 权限不足
SQL> alter user scott identified by tiger;
alter user scott identified by tiger
ORA-01031: 权限不足
6、结论
Oracle Vault是目前Oracle官方推荐的运维安全策略。在实际应用中,主要便于进行sys等管理员帐号权限限制,保护核心业务数据。
本篇对安装进行了简单介绍,具体概念和相关内容我们在后面继续讨论。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 详说Oracle Vault——原理、安装与配置
- 详说Oracle Vault——原理、安装与配置
- ZigBee单播通信原理、串口配置 (对于理解收发数据的过程非常重要)
- linux系统oracle数据安装配置脚本
- sqoop安装配置教程,以及从Oracle数据抽取数据的分析
- plsql连接oralce数据的配置 PLSQL配置怎么连ORACLE plsql连接多个数据库设置 Oracle 服务命名(别名)的配置及原理,plsql连接用
- oracleasm 安装时需要查看系统内核信息及配置如下
- Oracle的存储结构 2013-03-26 23:22 276人阅读 评论(0) 收藏 举报 目录(?)[+] Oracle的存储结构 在ORACLE数据库中对于数据存储的管理可以从两方面来论述。
- 利用Python进行数据分析——第一章:重要Python库安装配置
- Oracle安装后服务器端配置及数据导出导入操作
- 编译原理这个分类文章的开头(环境安装配置)
- Facebook 深陷数据泄露丑闻,全球数千万用户信息遭滥用
- 安全——无论对于玩家还是工作室而言都是至关重要的
- .NET安装和配置Oracle数据访问组件(ODAC)
- 概率论与数据统计在分类预测中的原理介绍(信息增益、交叉熵等)
- oracle数据安装与配置
- oracle安装完成后没有服务项及未找到包含数据文件的信息的文件的解决方法
- ORACLE小经验积累——OMS SERVER的安装与配置(用于数据备份、导入/导出等操作)
- 安装ORACLE 11。2.0.3 配置GRID执行脚本信息记录
- 直接使用SQL操作Oracle空间数据的原理以及配置方法