Oracle数据库安全评估工具(DBSAT)

这篇具有很好参考价值的文章主要介绍了Oracle数据库安全评估工具(DBSAT)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

工具概述:

Oracle数据库安全评估工具(DBSAT)是一个流行的命令行工具,它可以帮助识别数据库配置、操作或实施引入风险的领域,并建议改变和控制以减少这些风险。DBSAT帮助评估数据库配置的安全程度,确定谁是用户和他们的权利,并确定敏感数据在数据库中的位置。DBSAT可以区分企业内部的Oracle数据库、自主数据库(共享的和专用的)和DBCS。根据数据库的目标类型,DBSAT执行不同的检查,并提供针对目标的注释。

DBSAT有三个组成部分: 收集器、报告器和发现器。收集器和报告器一起工作,发现风险区域,并就这些风险区域产生报告–数据库安全评估报告。发现器是一个独立的模块,用于定位和报告敏感数据–数据库敏感数据评估报告。

  • 收集器负责通过执行SQL查询和操作系统命令从目标数据库收集原始数据。

  • 报告器读取收集到的数据,对其进行分析,并产生带有发现的报告。报告器输出四种报告,分别是:HTML、XLS、JSON和文本格式。

  • 发现器对数据库字典视图执行SQL查询以发现敏感数据,并以HTML和CSV格式的报告。从12.2.0.8版本开始,Discoverer CSV报告可以加载到Oracle Audit Vault和Database Firewall、以在新的数据隐私报告中添加敏感数据背景。关于此功能的更多信息,请参见将敏感数据导入

    敏感数据导入AVDF库,见《Oracle审计库和数据库防火墙审计员指南》。

先决条件:

一、支持的操作系统及DB版本:

1.支持的操作系统

数据库配置收集查询可以在大多数支持的Oracle数据库平台上运行。然而,目前在Windows平台上,操作系统数据收集将被跳过

Oracle DBSAT运行在:

• Solaris x64 and Solaris SPARC64
• Linux x86-64
• Windows x64
• HP-UX IA (64-bit)
• IBM AIX (64-bit) & Linux on zSeries (64-bit)

2.支持的数据库版本

你可以在Oracle数据库11.2.0.4及以后的版本中,在企业内部或云端,在Oracle数据库标准版2和Oracle数据库企业版上运行Oracle DBSAT。

注意:
Oracle数据库标准版2从Oracle数据库12c版本1(12.1.0.2)。对于12.1.0.1,Oracle数据库标准一版和Oracle数据库标准版可用。
参考资料:https://docs.oracle.com/database/121/DBLIC/editions.htm#DBLIC109

二、评估工具的前提条件:

1.所需安装包及工具

DBSAT需要在Unix/Linux系统上安装bash shell,Zip和UnZip
Oracle DBSAT使用Zip和Unzip来压缩或解压生成的文件。
Oracle DBSAT在默认位置搜索Zip和Unzip工具,如下所示。
下的默认位置。为了使用其他的Zip和Unzip工具,请在相关脚本中更新以下几行。
相关脚本中的以下几行。
Windows(dbsat.bat脚本):

SET ZIP_CMD=%ORACLE_HOME%\bin\zip.exe
SET UNZIP_CMD=%ORACLE_HOME%\bin\unzip.exe

注意:
Oracle数据库12.2及更高版本中不包括Unzip工具。请确保确保您已经安装了诸如 WinZip 或 WinRar 等工具,并在 SET UNZIP_CMD 中添加工具的路径。并在 SET UNZIP_CMD 参数中添加该工具的路径。
所有其他平台(dbsat脚本):

ZIP=/usr/bin/zip
UNZIP=/usr/bin/unzip
DBZIP=${ORACLE_HOME}/bin/zip
2.Collector的先决条件

为了收集完整的数据,Oracle DBSAT收集器必须在包含数据库的服务器上运行。
为了收集完整的数据,Oracle DBSAT采集器必须在包含数据库的服务器上运行,因为它执行了一些操作系统命令来收集不能从数据库中获得的进程和文件系统信息。
数据库中获得。此外,Oracle DBSAT采集器必须以操作系统用户的身份运行,并具有ORACLE_HOME下的文件和目录的读取权限,以便使用操作系统命令收集和处理文件系统数据。
使用操作系统命令来收集和处理文件系统数据。
Oracle DBSAT收集器通过查询数据库视图来收集大部分的数据。
它必须作为一个有足够权限的用户连接到数据库,以便从这些视图中进行选择。

授予DBSAT用户以下权限:

• CREATE SESSION
• READ or SELECT on SYS.REGISTRY$HISTORY
• Role SELECT_CATALOG_ROLE
• Role DV_SECANALYST (if Database Vault is enabled or if Database Vault Operations Control is enabled)
• Role AUDIT_VIEWER (12c and later)
• Role CAPTURE_ADMIN (12c and later)
• READ or SELECT on SYS.DBA_USERS_WITH_DEFPWD (11g and later)

Note:
If you plan to run only the Collector component, you can assign only the following privileges:
• CREATE SESSION
• Role SELECT_CATALOG_ROLE
In order to successfully collect Database Vault information in a Database Vault protected
environment, you must connect as a non-SYS user with the DV_SECANALYST role.

3.Reporter的先决条件

报告器是一个独立于平台的Python程序,需要Python 2.6或更高版本才能运行。

4.Discoverer的先决条件

发现器是一个Java程序,需要Java Runtime Environment (JRE)1.8(jdk8-u172)或更高版本才能运行。
发现者从数据库字典视图中收集元数据,并将它们与指定的模式相匹配,以发现敏感数据。
与指定的模式相匹配以发现敏感数据。发现者必须以具有足够权限的用户身份连接以一个有足够权限的用户连接到数据库,以便从这些视图中进行选择。

工具下载:

Download DBSAT (oracle.com)

工具使用:

1.安装 DBSAT
  1. 登录到数据库服务器
  2. 创建dbsat目录
mkdir -p /home/oracle/dbsat
  1. 下载并上传dbsat.zip文件到数据库服务器/tmp, 并且解压文件
chown oracle:oinstall /tmp/dbsat.zip
unzip /tmp/dbsat.zip -d /home/oracle/dbsat

- d指定解压路径

2.创建数据库用户

创建dbsat用户作为数据库安全评估工具使用

-- Create user
create user dbsat identified by dbsat123;
grant CONNECT to dbsat;
grant SELECT on SYS.REGISTRY$HISTORY to dbsat;
grant SELECT_CATALOG_ROLE to dbsat;
grant DV_SECANALYST to dbsat;
grant SELECT on SYS.DBA_USERS_WITH_DEFPWD to dbsat;
grant AUDIT_VIEWER to dbsat;
grant CAPTURE_ADMIN to dbsat;

-- Verify permissions
set lines 200
col GRANTEE for a20
col OWNER for a20
col GRANTOR for a20
col PRIVILEGE for a20
col GRANTED_ROLE for a20
SELECT * FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DBSAT';
SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DBSAT';
SELECT * FROM DBA_ROLE_PRIVS WHERE GRANTEE = 'DBSAT';
3.运行收集器
./dbsat collect dbsat/dbsat123@ORCL /home/oracle/dbsat/output_ORCL
Database Security Assessment Tool version 2.2.2 (June 2021)

This tool is intended to assist you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.

Connecting to the target Oracle database...


SQL*Plus: Release 19.0.0.0.0 - Production on Mon Jun 26 09:54:35 2023
Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.

Last Successful login time: Mon Jun 26 2023 09:43:40 +08:00

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0

Setup complete.
SQL queries complete.
Warning: Exit status 256 from OS rule: dbcs_status
OS commands complete.
Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
DBSAT Collector completed successfully.

Calling /u01/app/oracle/product/19.3.0/dbhome_1/bin/zip to encrypt output_ORCL.json...

Enter password: 	#设置压缩包解压密码
Verify password: 	#再次确认密码
  adding: output_ORCL.json (deflated 87%)
zip completed successfully.
4.运行报告器
./dbsat report /home/oracle/dbsat/output_ORCL
Database Security Assessment Tool version 2.2.2 (June 2021)

This tool is intended to assist you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.

Archive:  output_ORCL.zip
[output_ORCL.zip] output_ORCL.json password: 		#输入压缩包解压密码
  inflating: output_ORCL.json        
DBSAT Reporter ran successfully.

Calling /usr/bin/zip to encrypt the generated reports...

Enter password:		#设置报告解压密码
Verify password:	#再次确认密码
	zip warning: output_ORCL_report.zip not found or empty
  adding: output_ORCL_report.txt (deflated 78%)
  adding: output_ORCL_report.html (deflated 84%)
  adding: output_ORCL_report.xlsx (deflated 3%)
  adding: output_ORCL_report.json (deflated 82%)
zip completed successfully.

注意: 在19.0.0.0及以后版本,在运行收集器时,如果使用远程登录数据库或使用服务名连接到数据库其他节点,导致报错:ORA-20002: Complete without OS Commands. When DBSAT is Executed Remotely and not from DB server (Doc ID 2736491.1)

此时需要登录数据库服务器使用VIP指定数据库节点如./dbsat collect dbsat/dbsat123@192.168.245.10:1521/orcl /home/oracle/dbsat/output_ORCL

5.分析报告

解压报告压缩包后共四种格式报告:

  • output_ORCL_report.html
  • output_ORCL_report.json
  • output_ORCL_report.txt
  • output_ORCL_report.xlsx

html格式报告展示:
Oracle数据库安全评估工具(DBSAT),oracle,数据库,sql

对报告的分析请参阅:(Doc ID 2138254.1) 中的 “database-security-assessment-tool-user-guide”文章来源地址https://www.toymoban.com/news/detail-734629.html

到了这里,关于Oracle数据库安全评估工具(DBSAT)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Oracle数据库面试题 精选 Oracle 面试题

    1.解释冷备份和热备份的不同点以及各自的优点 冷备份 发生在数据库已经正常关闭的情况下,将关键性文件拷贝到另外位置的一种说法。适用于所有模式的数据库。 优点 1. 是非常快速的备份方法(只需拷贝文件) 2. 容易归档(简单拷贝即可) 3. 容易恢复到某个时间点上(只

    2024年02月05日
    浏览(100)
  • 【Oracle】使用 SQL Developer 连接 Oracle 数据库

    SQL Developer 是 Oracle 官方推出的一款免费的数据库开发工具,它提供了丰富的数据库开发功能,其中包括连接 Oracle 数据库的功能。 在本文中,我们将从多个方面详细阐述如何使用 SQL Developer 连接 Oracle 数据库。 在连接 Oracle 数据库前,需要需要做一些准备工作,包括安装 SQ

    2024年02月06日
    浏览(67)
  • Oracle数据库

    ①层次型数据库 ②网状型数据库 ③关系型数据库(主要介绍) E-R图:属性(椭圆形),实体(矩形),联系(菱形-一对一、一对多、多对多) 注:有的联系也有属性 关系型数据库的设计范式: 第一范式(1NF):属性不可再分,字段保证原子性 第二范式(2NF):在满足1

    2024年02月08日
    浏览(57)
  • Oracle 开发篇+Java通过HiKariCP访问Oracle数据库

    标签:HikariCP、数据库连接池、JDBC连接池、 释义:HikariCP 是一个高性能的 JDBC 连接池组件,号称性能最好的后起之秀,是一个基于BoneCP做了不少的改进和优化的高性能JDBC连接池。 ★ Java代码 ※ 如果您觉得文章写的还不错, 别忘了在文末给作者点个赞哦 ~

    2024年02月13日
    浏览(56)
  • Oracle数据库完整卸载

    进入计算机管理,在服务中,找到oracle开头的所有服务,右击选择停止。 快捷键:ctrl+shift+esc打开任务管理器 点击开始菜单找到Oracle,然后点击Oracle安装产品,再点击Universal Installer。 点击之后稍等一会然后会进入进入下图界面,点击卸载产品。 单击“卸载产品”,选中除“Or

    2024年01月16日
    浏览(64)
  • Oracle大型数据库技术

    sqlplus 记录实验过程的方法: 开启相关服务 oracleserviceORCL 控制面板–管理–服务–找到后开启 命令行方法: cmd–net start|stop oracleserviceorcl 常用操作 显示当前用户名 常用的用户名和口令 :dba用户,默认口令:change_on_install,Oraclell,必须以sysdba或者sysoper身份登录 system: 普通管

    2024年02月19日
    浏览(47)
  • oracle数据库巡检脚本

    用于Oracle数据库巡检的示例脚本: 

    2024年02月14日
    浏览(60)
  • Oracle数据库概念简介

    一般意义上的数据库包含两个部分 库:就是一个存储一堆文件的文件目录 数据库管理系统:管理库的系统 数据库管理系统(Database Management System),是一种操纵和管理数据库的大型软件,用于建立、使用和维护数据库,简称 DBMS ; 它对数据库进行统一的管理和控制,以保证数

    2024年02月09日
    浏览(50)
  • 快速监控 Oracle 数据库

    Oracle 数据库在行业内应用广泛,通常存放的非常重要的数据,监控是必不可少的,本文使用 Cprobe 采集 Oracle 监控数据,极致简单,分享给大家。 安装配置 Oracle 简单起见,我使用 Docker 启动 Oracle,命令如下: 如上命令启动之后,Oracle 的监听端口是 1521,用户名/密码是 syst

    2024年01月20日
    浏览(50)
  • 数据库(二) Oracle篇

    概述 SQL函数有单行函数和多行函数,其区别为: 单行:输入一行,返回一行,如字符、数字、转换、通用函数等 多行:输入多行,返回一行,也称为分组函数、组函数、聚合函数, 且多行函数会自动滤空 字符函数 CONCAT( X,Y): 连接字符串X和Y INSTR(X,STR) : 后面STR在前面字符串X第一次

    2024年02月10日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包