Апр 282012
 

В ORACLE 11g все пароли по умолчанию стали чувствительными к регистру. В предыдущих релизах пароли были регистронезависимыми. Для управления чувствительностью появился специальный параметр sec_case_sensitive_logon. Вот так меняется настройки чувствительности:
Continue reading »

Мар 072012
 

Роль DBA предоставляет пользователю все системные привилегии с опцией WITH ADMIN OPTION. Давать эту роль кому попало - не очень хорошо с точки зрения безопасности, да и ORACLE грозится в будущих релизах от неё отказаться. В документации к 11-й версии роль DBA описана как устаревшая.
Вместо неё предлагается создавать свои роли, "заточенные" под конкретные задачи.
Пусть нам надо создать пользователя, который будет создавать схемы и больше ничего. Сначала посмотрим, что может делать DBA: Continue reading »

Июн 212011
 

Если база старая, то весьма вероятно, что в ней осталось много пользователей с правами DBA, например, после уволившихся сотрудников или давно неактуальных скриптов. С точки зрения информационной безопасности это неправильно, поэтому надо навести порядок. Если у такого пользователя есть объекты, то его удаление или блокировка может привести к печальным последствиям для других объектов.

Этим запросом получим статистику по таким пользователям: Continue reading »

Май 132011
 

Оператор Grant позволяет нам предоставить привилегию или назначить роль пользователю. Информация о предоставленных правах хранится в трёх представлениях: dba_tab_privs, dba_sys_privs, и dba_role_privs.
У данного оператора есть особенность: При выдаче прав на объекты в dba_tab_privs в поле grantor будет указано не имя пользователя, который, собственно предоставил грант (будь то sys, system, или юзер с ролью DBA), а владелец объекта, т.е. было бы корректнее назвать этот столбец не grantee, а owner.
Как обычно, на слово мне не верим, и проводим эксперимент: Continue reading »

Май 062011
 

ORACLE хранит пароли пользователей не в открытом виде, а в виде хэша (hash). Это хорошо и безопасно, но иногда нужно временно сменить пароль, не зная его, а потом вернуть обратно.
В примере будем мучить юзера по имени cube: Continue reading »

Фев 042011
 

Если мы забыли или потеряли пароль пользователя ias_admin в Enterprise Manager Console, то сбросить его можно так:
Находим файл $ORACLE_HOME/sysman/j2ee/config/jazn-data.xml (неплохо перед экзекуцией его забэкапить), открываем его текстовым редактором, и находим фрагмент:

<user>
	<name>ias_admin</name>
	<credentials>{903}8QkQ/cnnt37X0f3+67fj8WxW9KJMXacT</credentials>
</user>

и заменяем содержимое элемента credentials на новый пароль, предварённый восклицательным знаком (это означает, что пароль хранится в открытом виде), например так: <credentials>!newpassword</credentials>, после чего перезапускаем консоль.

emctl stop  iasconsole
emctl start iasconsole

Теперь можно войти под паролем newpassword и сменить его снова, чтобы в jazn-data.xml прописался хеш.