Запретить пользователю использовать 'conn /as sysdba' с уровня ОС

Question

Запретить пользователю использовать 'conn /as sysdba' с уровня ОС

Можно разрешить использование sqlplus на уровне ОС для определенного пользователя или группы, но ограничить использование "sqlplus / as sysdba" для той же группы пользователей?

0

linux oracle ubuntu security sysdba

Источник

user5504855 22 сен '17 в 16:24

2 ответа

Решение

Обычно любой пользователь, которому назначено имя пользователя Oracle, может использовать SQLPLus, но только члены группы ОС-владельца Oracle могут использовать sqlplus в качестве sysdba без пароля. Эта привилегия обычно назначается группе администраторов ОС, но может отличаться. Я работал над системой, в которой члены группы DBA не могли подключиться, используя sysdba, начиная с Oracle, настроенной только в oinstall. Это настраивается во время установки. Ответ на ваш вопрос в ответ на вопрос: Нет. Если вы назначите их в привилегированную группу, то у них есть привилегия.

1

Источник

user7611346 22 сен '17 в 20:14

Другие вопросы по тегам linux oracle ubuntu security sysdba

user3860389 23 сен '17 в 04:36 2017-09-23 04:36 · Accepted Answer · 2017-09-23 04:36

Если я правильно понял ваш вопрос, ответ на вопрос - ДА, если пользователь не является частью dba группа. Флаг выполнения установлен для "других" по умолчанию, поэтому любой пользователь может запустить sqlplus и подключиться с помощью имени пользователя / пароля. Вам даже не нужно специально настраивать нового пользователя или группу, просто убедитесь, что пользователь не является частью dba группа:

Права по умолчанию для sqlplus установили еxфлаг для others:

$ cd /opt/oracle/product/12.2.0.1/dbhome_1/bin
$ ls -al sqlplus
-rwxr-xr-x 1 oracle oinstall 25168 Sep 22 16:48 sqlplus

пользователь gerald не является частью dba группа и, следовательно, не разрешено подключаться через sqlplus / as sysdba:

$ id
uid=54322(gerald) gid=54331(gerald) groups=54331(gerald)

$ sqlplus / as sysdba

SQL*Plus: Release 12.2.0.1.0 Production on Sat Sep 23 04:22:33 2017

Copyright (c) 1982, 2016, Oracle.  All rights reserved.

ERROR:
ORA-01017: invalid username/password; logon denied


Enter user-name:

Тем не менее, пользователь gerald все еще может бежать sqlplus и подключиться через логин / пароль:

$ id
uid=54322(gerald) gid=54331(gerald) groups=54331(gerald)

$ sqlplus sys/gerald as sysdba

SQL*Plus: Release 12.2.0.1.0 Production on Sat Sep 23 04:27:58 2017

Copyright (c) 1982, 2016, Oracle.  All rights reserved.

Connected to:
Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production

SQL> exit
Disconnected from Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production

Очевидно, что если вы не хотите давать пользователям SYS доступ вообще, не делитесь с ними паролем SYS!