Como proteger las contraseñas del DBA o del sys
Tengo una necesidad: quiero encriptar una serie de contraseñas para que un usuario sys, cuando acceda a la tabla de usuarios, vea las contraseñas encriptadas. Pretendo así evitar que cuando mi grupo de administradores no está, el resto de administradores no puedan conocer sus claves con sus roles de SYS DBA. Quisiera saber si hay algún script por lo que a última hora del día, lo lanzo y se encriptan las claves, y a primera hoa de la mañana, ejecuto otro script para desencriptarlas. Había pensado en las password imposibles, pero c reo que lo tengo que descartar debido a que los usuarios del SO son planos.
1 respuesta
Respuesta de jac_bubu
1
Bunas alteva según entiendo por lo que cuentas quieres que un grupo de administradores que pertenecen a al grupo de sysdba puedan observar contraseñas.
En primer lugar la contraseña de usuario en ORACLe queda encriptada dentro de la carpeta pwd de tu oracle_home. A partir de aquí si no quieres que otros administradores puedan "ver" básicamente verán la codificación que le otorga oracle. Para evitar que te desncirpten ese pwd podrías llevar a cabo dos cosas.
La primera de ella es limitar de forma inmediate la cantidad de usuarios que tienen permisos o pertenecen al grupo sysdba. Como mucho en estos dependiendo de tu versión deberías de tener el sys, system, sysaxu u otro que utlitcen tus administradores de oracle si no quieren usar los anteriormente mencionados.
Para los demás administradores en ORACLE puedes otorgarles ya no cuotas sobre los tablespace si no permisos determinados sobre lo que podrán acceder de forma limitada a la BBDD.
Si el problema que tienes es que por fyle system tienen acceso a este servidor, limita o pon los binarios de la BBDD para un usuario determinado y grupo.
También lo que puedes hacer es crear un usuario por administrador o usuario sobre aquellos objetos de la base de datos que te sea necesario.
A nivel de seguridad es lo que te puedo ayudar. Si ves que no es completo lo que te respondo por favor aclarame un poco más que tipo de limitación roles etc,, que tienen tanto usuario como administradores ya seas de serviedor como de aplicaciones etc..
En primer lugar la contraseña de usuario en ORACLe queda encriptada dentro de la carpeta pwd de tu oracle_home. A partir de aquí si no quieres que otros administradores puedan "ver" básicamente verán la codificación que le otorga oracle. Para evitar que te desncirpten ese pwd podrías llevar a cabo dos cosas.
La primera de ella es limitar de forma inmediate la cantidad de usuarios que tienen permisos o pertenecen al grupo sysdba. Como mucho en estos dependiendo de tu versión deberías de tener el sys, system, sysaxu u otro que utlitcen tus administradores de oracle si no quieren usar los anteriormente mencionados.
Para los demás administradores en ORACLE puedes otorgarles ya no cuotas sobre los tablespace si no permisos determinados sobre lo que podrán acceder de forma limitada a la BBDD.
Si el problema que tienes es que por fyle system tienen acceso a este servidor, limita o pon los binarios de la BBDD para un usuario determinado y grupo.
También lo que puedes hacer es crear un usuario por administrador o usuario sobre aquellos objetos de la base de datos que te sea necesario.
A nivel de seguridad es lo que te puedo ayudar. Si ves que no es completo lo que te respondo por favor aclarame un poco más que tipo de limitación roles etc,, que tienen tanto usuario como administradores ya seas de serviedor como de aplicaciones etc..
Gracias, pero resolví la papeleta de la siguiente manera. Al ser usuarios y claves no de esquemas oracle, sino de una aplicación que se desarrollaba contra oracle, lo que prepare fue un script de encriptación para encriptar datos en tablas, el dbms ofuscation toolkit. Gracias de todas formas
