Безопасность — Итоги

Создание и управление аккаунтами пользователей

  • Пользователи подключаются к аккаунту, который сгруппирован со схемой
  • Пользователи должны аутентифицироваться перед подключением
  • У пользователя должен быть установлен лими на табличное пространтсво перед созданием объектов
  • Пользователь у когорого созданы объекты не может быть удален без использование директивы CASCADE

 

Назначение и отзыв прав

  • По умолчание пользователь не может даже подключаться к БД
  • Напрямую назначенные права всегда доступны
  • Удаление системных привилегий не работает каскадно, объектные привилегии отзываются каскадно

 

Создание и управление ролями

  • Роль – не объект схемы
  • Роль содержит и системные и объектные привилегии, также роли наследуются
  • Роль может быть включена и отключена для сессии

 

Создание и управление профилями

  • Профиль управляет паролями и ресурсами системы
  • Ограничения на пароли работают всегда, ограничения ресурсов зависят от параметра экземпляра
  • Каждый пользователь имеет профиль, по умочланию DEFAULT

 

Безопасность и принцип минимума прав

  • Все что прямо не разрешено должно быть запрещено
  • Администратор базы и системный администратор – это две разные обязанности и в идеале должны быть разные люди
  • Права роли PUBLIC необходимо отслеживать
  • Параметры экземпляра влияющие на безопасность необходимо контролировать и они не могут быть изменены без перезапуска экземпляра

 

Аудит

  • Аудит может быть настроен на права, запросы или объекты
  • Данные аудита можно записывать в БД или в файл
  • Записи аудита в БД хранятся в SYS.AUD$
  • FGA может быть настроена для конкретных строк и столбцов
  • Аудит можно реализовать используя триггеры

Добавить комментарий