一个容易忽视的Oracle安全问题

最新推荐文章于 2025-11-16 10:40:58 发布
最新推荐文章于 2025-11-16 10:40:58 发布 · 81 阅读 · 0
文章标签:

#Oracle #SQL #脚本 #工作

数据库安全至关重要,Oracle数据库采用多种手段保障安全。典型安装后会自动创建DBSNMP用户,其缺省密码为“DBSNMP”,若未修改,任何人可借此存取数据库。该用户有系统级权限,可写脚本用垃圾数据填满系统致其瘫痪,建议管理员修改默认口令。
数据库安全问题一直是人们关注的焦点之一,我们知道一个企业或者机构的数据库如果遭到黑客的攻击,而这些数据库又保存着非常重要的数据,象银行、通信等数据库,后果将不堪设想。Oracle数据库使用了多种手段来保证数据库的安全性,如密码,角色,权限等等。

作为Oracle的数据库管理员都知道,数据库系统典型安装后,一般sys和system以及internal这三个用户具有默认的口令,数据库安装成功后,系统管理员作的第一件工作就是修改这些用户的口令,保证数据库的安全性。然而,众多管理员往往忽视了其中的一个安全问题,下面我们就将详细讨论这个问题。

Oracle数据库系统如果采用典型安装后,除了创建前面介绍的几个用户外,另外还自动创建了一个叫做DBSNMP的用户,该用户负责运行Oracle系统的智能代理(Intelligent Agent),该用户的缺省密码也是“DBSNMP”。如果忘记修改该用户的口令,任何人都可以通过该用户存取数据库系统。现在我们来看一下该用户具有哪些权限和角色,然后来分析一下该用户对数据库系统可能造成的损失。

启动SQL/PLUS程序,使用该用户登录进入:

SQL> select * from session_privs;
CREATE SESSION
ALTER SESSION
UNLIMITED TABLESPACE
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE PUBLIC SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE DATABASE LINK
CREATE PROCEDURE
CREATE TRIGGER
ANALYZE ANY
CREATE TYPE
CREATE OPERATOR
CREATE INDEXTYPE
可以看到该用户不是SYS或SYSTEM管理用户,然而,它却具有两个系统级权限:UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM。

看到这两个权限你应该马上想到,这些都是安全隐患,尤其是UNLIMITED TABLESPACE,它是破坏数据库系统的攻击点之一。如果这时候你还依然认为,即使有人利用这个没有修改的口令登录进数据库也造成不了什么损失的话,我就不得不提醒你:该用户具有UNLIMITED TABLESPACE的系统权限,它可以写一个小的脚本,然后恶意将系统用垃圾数据填满,这样数据库系统也就无法运行,并将直接导致最终的瘫痪。目前很多数据库系统都要求7X24的工作,如果出现了系统用垃圾数据填满的情况,那么,等数据库系统恢复时,恐怕不可挽回的损失已经造成了。

为了保证Oracle数据库系统运行的绝对安全,强烈建议数据库管理员修改该用户的默认口令,不要为不怀好意的人留下“方便之门”。
iteye_15968
关注
Oracle安全
david1358的博客
05-12 636
Oracle安全性用户角色权限审计 用户 角色 权限 审计
容易忽视Oracle数据安全问题
03-03
作为Oracle的数据库管理员都知道,数据库系统典型安装后,一般sys和 system以及internal这三个用户具有默认的口令,数据库安装成功... 然而,众多管理员往往忽视了其中的一个安全问题,本文将为大家详细介绍这个问题
Oracle安全问题
黑照的技术空间
05-29 1169
网络使用Oracle已知的一些漏洞本文乃《Oracle数据库攻防之道》的部分读书笔记,国内很多oracle安全的信息。而没有深入说那里不安全。我简单整理一下吧。《Oracle数据库攻防之道》 清华大学出版社07年11月第一版同时还有《数据库黑客大曝光-数据库服务器防护术》圆规正传:TNS头Refuse packet的第54个字节如果是a3表示是一个无效的密码,
杜绝安全隐患 容易忽视Oracle安全问题(转)
08-16 158
杜绝安全隐患 容易忽视Oracle安全问题(转)[@more@]  数据库安全问题一直是人们关注的焦点之一,我们知道一个企业或者机构的数据库如果遭到黑客的攻击,而这些数据库又保存着非常重要的数据,象银行、通信等数据库,后果将不...
oracle安全
03-18 214
oracle安全性 创建和管理数据库用户账户 用户登录到数据库,通过指定一个账户名以及某种身份验证方式连接到用户账户. 用户:用某个用户账户名建立针对实例的会话,并进行登录来连接到该账户的...
基于Oracle数据库的网络安全访问机制研究.pdf
09-20
该软件不仅简化了操作,还在客户端和数据库之间建立了一个临时的网络会话通道,用于数据传输,并内置了安全机制以保护信息传输过程中的安全性。 2. Oracle数据库网络安全问题 2.1 默认账号安全问题 Oracle数据库在...
32、Oracle数据库问题排查与文件管理指南
最新发布
u5v6w7的博客
11-16 8
本文详细介绍了Oracle数据库在使用过程中常见问题的排查方法与文件管理策略。内容涵盖服务器磁盘空间检查、数据库实例与监听器状态验证、表空间与数据文件管理、应用程序错误追踪等方面,并提供了具体的SQL命令和操作步骤。通过流程图和表格总结了问题排查流程与解决方案,同时给出了日常维护建议,帮助DBA高效管理和维护Oracle数据库,确保系统稳定运行。
34、Oracle Database 12c 安全监控与保障
tgb34567890的博客
07-21 85
本文深入探讨了 Oracle Database 12c 的安全监控与保障策略,涵盖审计事件监控、异常行为预警、使用 OEMCC 进行系统监控、可用性配置(主动-被动与主动-主动)、备份与恢复(Oracle Data Pump 与 RMAN)等关键主题。通过配置合规性监控、性能保障、安全实施要点及示例脚本,帮助用户构建安全可靠的数据库环境,有效应对潜在安全威胁。
Swap空间规划黄金法则:ARM服务器上Oracle内存管理不可忽视的4个配置要点
然而,当我们在这些平台上运行像 **Oracle数据库** 这样对内存极为敏感的传统重量级应用时,一个问题却以新的面貌浮现出来:**Swap空间究竟该怎么用?** 你可能会说:“Swap不就是个后备内存吗?不够了就往磁盘上...
增强oracle安全
李荣权的专栏--OS--Soft--Life
08-05 884
增强oracle安全性一、禁止 sys绕过密码认证(与solaris群集冲突,慎用) 1.cd /export/home/oracle/OraHome1/network/admin/  如果不知道oracle的安装路径是什么,可以使用如下命令找到文件的位置  find / -name sqlnet.ora 2.ls -l查看文件的用户和所属于的组的情况 3.
怎么能把oracle数据库搞坏,教你如何处理Oracle数据库中的坏块
weixin_35756892的博客
04-06 268
一:什么是的坏块首先我们来大概看一下块的格式和结构的数据块有固定的格式和结构,分三层:cache layer,transaction layer,data layer。在我们对数据块进行读取写入操作的时候,会对要读写的数据块做一致性的检查,其中包括:数据块的类型、数据块的地址信息、数据块的SCN号以及数据块的头部和尾部。如果发现其中有不一致的信息,那就会标记这个数据块为坏块了。的坏块分为两种,逻辑...
Oracle 安全性一
weixin_30832983的博客
04-12 214
创建和管理数据库用户账户 用户账户属性 用户账户拥有很多在创建账户时定义的属性。这些属性将应用于连接到账户的会话,在会话运行期间,DBA或会话可以更改其中一些属性。 用户名 身份验证方法 默认表空间 表空间配额 临时表空间 用户配置文件 账户状态 在创建用户时,用户名和身份验证方法是必需的,其他的都有默认值。 用户名 数据库中的用户名必须是唯一的,必须以字母开头,...
oracle安全性规则,[ORACLE ]安全
weixin_35348635的博客
04-10 282
用户账号的管理与创建用户权限的授予与撤销角色的创建与管理用户配置文件的管理与创建安全管理的原则--最小权限原则数据库审核用户账号的管理与创建账号的属性 :用户名/身份验证方法/默认表空间/表空间配额/临时表空间/配置文件/账号状态用户名: <30 字母/数字/$/_ 创建后不可更改用户名create user pan identified by pw44wo$d默认表空间和配额select...
oracle管理安全
liangzhiming12的专栏
11-22 639
1.oracle标识符命名规则:   (1)不能是保留字   (2)必须1-30个字符   (3)必须以数据库字符集中的字母字符开头   (4)只能包含数据库字符集中的字母字符,以及:#、$、_   (5)不能包括单引号或双引号 2.在实际应用中,用户应该避免使用sys,system,scott等账户,应该建立自己的用户账户。   connect system/system   c
Oracle 数据库安全性解决方案
拟声的主扬在江湖
06-25 648
Oracle 数据库安全性解决方案     如何保护政府行业信息牢不可摧?该文档重点介绍Oracle的全面数据安全解决方案。该文档重点解析企业数据安全性挑战和数据库安全性策略。 对其内容详细阅读
oracle数据库安全性策略
My urban life
06-30 2340
oracle数据库安全性策略 http://www.fanqiang.com (2001-05-14 03:28:00)     数据库安全问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失  以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。本文围绕数据  库的安全问题提出了一些安全性策略,希望对数据库管理员有所帮助,不再  夜夜恶梦。数据库安全问题应包括两个部分
Oracle11g数据库安全性----纵深防御体系
ciren660440648的博客
03-30 457
在目前的金融危机的大环境下,安全性越来越多的被谈及,大家一谈到安全性,内部审计则是其中被谈到最多的内容。...
通过一个shell脚本实现oracle数据库指标监视
04-29
<think>好的,我需要编写一个Shell脚本来监视Oracle数据库的关键指标。首先,我得确定哪些指标是重要的,比如连接数、表空间使用情况、等待事件、锁冲突和性能统计等。然后,我需要找到获取这些指标的方法,通常可以通过SQL查询来获取。 接下来,我需要考虑如何连接到Oracle数据库。通常可以使用sqlplus命令行工具,所以脚本中需要包含连接字符串,包括用户名、密码和服务名。不过,硬编码密码不安全,可能需要使用外部配置文件或者提示用户输入,但为了简化示例,可能暂时先写在脚本里,后面再优化。 然后,编写SQL查询语句。每个指标对应一个SQL查询,例如检查当前连接数可以用SELECT COUNT(*)FROM v$session,表空间使用情况可能需要计算已用空间和总空间的百分比。需要确保这些查询在Oracle中有效,并且返回的数据格式便于处理。 在脚本中,可能需要多次调用sqlplus执行不同的查询。为了提高效率,可以将所有查询合并到一个SQL文件中,或者在一个sqlplus会话中执行多个查询。这里可能需要使用Here Document的方式在Shell脚本中嵌入SQL语句。 处理输出结果也是一个挑战。sqlplus默认的输出可能包含表头和其他格式内容,需要通过设置pagesize、linesize和feedback off来禁用这些格式,以便更容易解析结果。然后,可以使用grep、awk等工具提取所需的数据。 还需要考虑日志记录功能,将监控结果输出到日志文件中,并加上时间戳。可能需要使用date命令获取当前时间,并重定向输出到日志文件。 错误处理也不能忽视,比如数据库连接失败、SQL执行错误等情况,脚本应该能够捕获这些错误并做出相应处理,比如输出错误信息并退出。 最后,可能需要设置定时任务,比如使用cron定期执行这个脚本,实现自动化监控。同时,脚本的参数化和配置文件的集成也是后续改进的方向,比如从外部文件读取数据库连接信息,提高脚本的灵活性和安全性。现在将这些思路整合成一个Shell脚本,结构大致如下:1. 定义数据库连接参数。2. 定义SQL查询语句。3. 使用sqlplus执行查询,并处理输出。 4.记录结果到日志文件。 5.添加错误处理。 编写具体的代码部分,注意转义字符和变量替换,确保SQL语句正确执行。例如,在HereDocument中使用变量时需要小心,可能需要关闭变量替换或者在变量前加上转义符。 测试脚本,检查各个指标是否正确获取,日志文件是否生成,以及错误处理是否有效。可能需要调整SQL查询或输出处理步骤,确保数据的准确性和可读性。 最后,考虑扩展性和维护性,比如添加更多的监控指标,或者将脚本模块化,方便后续修改和扩展。</think>是一个通过Shell脚本实现Oracle数据库指标监视的解决方案,包含连接数、表空间使用率等关键指标的监控: ```bash #!/bin/bash # 配置数据库连接信息 ORACLE_USER="system" ORACLE_PASS="your_password" ORACLE_SERVICE="ORCLCDB" LOG_FILE="/var/log/oracle_monitor.log" # 获取时间戳 timestamp=$(date "+%Y-%m-%d %H:%M:%S") # 定义监控SQL语句 MONITOR_SQL=$(cat <<EOF SET PAGESIZE 0 FEEDBACK OFF VERIFY OFF HEADING OFF ECHO OFF -- 当前连接数 SELECT 'ACTIVE_SESSIONS:' || COUNT(*) FROM v\$session WHERE status = 'ACTIVE'; -- 表空间使用率 SELECT 'TABLESPACE:' || tablespace_name || ':' || ROUND(used_percent,2) FROM ( SELECT a.tablespace_name, (a.bytes - NVL(b.bytes, 0)) / a.bytes * 100 used_percent FROM (SELECT tablespace_name, SUM(bytes) bytes FROM dba_data_files GROUP BY tablespace_name) a, (SELECT tablespace_name, SUM(bytes) bytes FROM dba_free_space GROUP BY tablespace_name) b WHERE a.tablespace_name = b.tablespace_name(+) ); -- 等待事件TOP 5 SELECT 'TOP_WAIT:' || event || ':' || total_waits FROM ( SELECT event, total_waits FROM v\$system_event WHERE wait_class != 'Idle' ORDER BY total_waits DESC ) WHERE ROWNUM <= 5; -- 锁冲突检测 SELECT 'LOCKS:' || COUNT(*) FROM v\$lock WHERE block = 1; -- 缓冲区命中率 SELECT 'BUFFER_HIT_RATIO:' || ROUND((1 - (phy.value / (cur.value + con.value)))*100, 2) FROM v\$sysstat cur, v\$sysstat con, v\$sysstat phy WHERE cur.name = 'db block gets' AND con.name = 'consistent gets' AND phy.name = 'physical reads'; EXIT; EOF ) # 执行监控并记录日志 echo "===== ${timestamp} Oracle Monitoring Start =====" >> ${LOG_FILE} sqlplus -S "${ORACLE_USER}/${ORACLE_PASS}@${ORACLE_SERVICE}" <<< "${MONITOR_SQL}" | \ while read line do case $line in ACTIVE_SESSIONS:*) echo "Active Sessions: ${line#*:}" >> ${LOG_FILE} ;; TABLESPACE:*) IFS=':' read -ra ts_info <<< "$line" echo "Tablespace ${ts_info[1]} Usage: ${ts_info[2]}%" >> ${LOG_FILE} ;; TOP_WAIT:*) IFS=':' read -ra wait_info <<< "$line" echo "Top Wait Event: ${wait_info[1]} (Count: ${wait_info[2]})" >> ${LOG_FILE} ;; LOCKS:*) echo "Current Locks: ${line#*:}" >> ${LOG_FILE} ;; BUFFER_HIT_RATIO:*) echo "Buffer Hit Ratio: ${line#*:}%" >> ${LOG_FILE} ;; esac done echo "===== ${timestamp} Oracle Monitoring End =====" >> ${LOG_FILE} ``` 代码解释: 1. 配置数据库连接信息和日志路径 2. 定义包含多个监控指标的SQL语句 3. 使用sqlplus连接数据库执行监控SQL 4. 解析不同监控指标的输出并记录到日志文件 5. 每个监控周期记录开始和结束时间戳 6. 监控指标包括: - 活跃会话数 - 表空间使用率 - 前5等待事件 - 当前锁数量 - 缓冲区命中率
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值