GoldenLine
Zaloguj się
Kamil Stawiarski

Kamil Stawiarski Oracle Certified
Master | Oracle ACE

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Oracle stworzył Database Vault'a, żeby chronić wrażliwe dane przed administratorem DB. Po instalacji produktu i stworzeniu tzw. REALM'ów, SYSDBA traci uprawnienia do określonych czynności (m.in. zakładanie kont i wiele poleceń ALTER) ale głównie traci możliwość wybierania danych z tabel chronionych takim REALM'em. Sam Vault jednak nie wystarczy, bo admin mający dostęp do plików danych może pojechać sobie po niech poleceniem strings i przegrepować po odpowiednich wyrażeniach regularnych, szukając np. numerów kart kredytowych - na to jednak Oracle też ma odpowiedź - transparentne szyfrowanie przestrzeni tabel i wszystko gra!

Tylko, że jest jeden problem - jeśli w 11gR2 używamy automatycznego zarządzania pamięcią (MEMORY_TARGET), granulki pamięci zaczynają być reprezentowane poprzez pliki na urządzeniu tmpfs - /dev/shm. Na podstawie polecenia ipcs i lsof, można łatwo skorelować pamięć współdzieloną zaalokowaną przez bazę danych z plikami na urządzeniu /dev/shm... Standardowo użytkownik, będący właścicielem binariów bazy ma swobodny dostęp do tych pliczków a bloki danych po odczycie rezydują w pamięci w postaci niezaszyfrowanej - więc sytuacja się powtarza jak przy plikach danych - strings i egrep :) Czy to bug? Czy może feature?

Pozdrawiam i polecam przetestować :)
Kamil.

P.S.
Dokładniejsze opisanie tematu:
http://ora-600.pl/art/oracle_database_vault_tde.pdfKamil Stawiarski edytował(a) ten post dnia 16.03.13 o godzinie 14:41
Link do wypowiedziLink
Szymon K.

Szymon K. Oracle DBA

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Fajny pomysł. Gratuluję!
Jedyna opcja jaka zostaje, żeby się zabezpieczyć przed złym DBA to brak dostępu do systemu operacyjnego - wszyscy chyba wiemy jak byłoby to uciążliwe dla administratora baz danych. Cały pomysł z VAULTem w kontekście roli DBA generalnie jest średni (bo stwarza sporo pozorów). Co to za administrator, do którego pracodawca nie ma zaufania... Myślę, że po prostu administratorom trzeba ufać, zamiast utrudniać im życie (za grube pieniądze) ;).
Kolejną ciekawą rzeczą jaką zauważyłem to patchowanie Oracle'a. Nie miałem do czynienia z Vaultem w praktyce (tylko testy), ale w procedurach upgrade'ów wszędzie zostały dodane pkt. relinku binarów w celu wyłączenia Vault'a przed upgradem i włączenia po upgradzie. W efekcie, jeśli można wyłączyć Vault'a no to znowu zły DBA jest bezkarny.
Biorąc to wszystko pod uwagę myślę, że VAULT może być dobrym narzędziem do zarządzania uprawnieniami na poziomie Security Officer'a. Ale promowane przez Oracle zabezpieczenie przed DBA danych wrażliwych jest bliskie fikcji.

Przyszła mi jeszcze jedna rzecz do głowy, ciekawe czy BBED z /dev/shm też by sobie poradził ;)
Link do wypowiedziLink
Kamil Stawiarski

Kamil Stawiarski Oracle Certified
Master | Oracle ACE

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Szymon Kubiszewski:

Przyszła mi jeszcze jedna rzecz do głowy, ciekawe czy BBED z /dev/shm też by sobie poradził ;)

A wiesz Szymon, że to ciekawe :) Jak tylko dobiorę się do binarek 10g to sprawdzę.
Link do wypowiedziLink
Tomasz Wiśniewski

Tomasz Wiśniewski DBA

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Dobry art! Ja widzę zastsowanie vaulta/tde w takich firmach jak moja, gdy klient przekazuje swoją bardzo ważną bazę z bardzo tajnymi danymi do outsourcingu i te ficzery pozwolą mu uspokoić swoje sumienie.
Każdy DBA który ma dostęp do ważnych danych podpisuje NDA pod rygorem odpowiedzialnośći karnej więc wszelkie wykorzystanie danych do których ma się dostęp może się skończyć za kratami..
Link do wypowiedziLink
Tomasz Kania

Tomasz Kania DBA, SoftSystem Sp.
z o.o.

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Dobre!
Od siebie tylko dodam, ze AMM nie jest wymagane aby uzyskać taki efekt.
Zawsze można użyć "$ORACLE_HOME/bin/dumpsga" lub "oradebug" i juz mamy SGA w pliku,
strings + grep i można się bawić :)

Wszystkim zainteresowanym tego typu tematami polecam:
http://www.soonerorlater.hu/download/hacktivity_lt_201...
Wg mnie świetna prezentacja.
Link do wypowiedziLink
Marcin Przepiórowski

Marcin Przepiórowski Oracle ACE

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Kamil Stawiarski:
Szymon Kubiszewski:

Przyszła mi jeszcze jedna rzecz do głowy, ciekawe czy BBED z /dev/shm też by sobie poradził ;)

A wiesz Szymon, że to ciekawe :) Jak tylko dobiorę się do binarek 10g to sprawdzę.

mozesz skompilowac BBED na 11g i dziala z ASM-em ;)

http://oracleprof.blogspot.ie/2009/06/asm-and-bbed.html

chyba sie operalem na tym linku - http://oraclue.com/2008/09/18/using-bbed-to-fix-sys-pa...

Obawiam sie ze modyfikacja /dev/shm moze sie skonczyc szybkim core-em - wkoncu badz co badz jest to pamiec. BBED edytuje bloki danych a w buforze oprocz bloku danych potrzebne sa naglowki do list/itp wiec szanse sa marne ale nie zerowe ;) czekam na kolejny artykol.

pozdrawiam,
Marcin
Link do wypowiedziLink
Marcin Przepiórowski

Marcin Przepiórowski Oracle ACE

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Tomasz Wiśniewski:
Dobry art! Ja widzę zastsowanie vaulta/tde w takich firmach jak moja, gdy klient przekazuje swoją bardzo ważną bazę z bardzo tajnymi danymi do outsourcingu i te ficzery pozwolą mu uspokoić swoje sumienie.
Każdy DBA który ma dostęp do ważnych danych podpisuje NDA pod rygorem odpowiedzialnośći karnej więc wszelkie wykorzystanie danych do których ma się dostęp może się skończyć za kratami..

NDA mozna podpisac i bez DB Vaulta i TDE - a nawet trzeba ;)

Co do uspokajania sumienia to potem widac tego skutki na WikiLeaks ;)

Marcin
Link do wypowiedziLink
Kamil Stawiarski

Kamil Stawiarski Oracle Certified
Master | Oracle ACE

Temat: Oracle Database Vault i szyfrowanie przstrzeni tabel VS...

Marcin Przepiórowski:

mozesz skompilowac BBED na 11g i dziala z ASM-em ;)

A to wiem, że działa na 11g tylko nigdzie nie mogłem dobrać się do binarek 10.2.0.1 x64, żeby zdobyć brakujące biblioteki ale na szczęście się udało i właśnie sobie go skompilowałem...

A przy okazji - jakby ktoś chciał biblioteki na linuxa 64bit do skompilowania bbeda, to można pobrać ode mnie :)

http://ora-600.pl/oinstall/bbed_libs.tar.bz2Kamil Stawiarski edytował(a) ten post dnia 28.03.13 o godzinie 23:09
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

ORACLE Krakow is hiring sen...




Wyślij zaproszenie do
Anuluj