Mit dem Oracle Database Security Assessment Tool (DBSAT) bietet Oracle die Möglichkeit potenziellen Sicherheitsrisiken der Datenbank frühzeitig zu erkennen. Die erkannten Schwachstellen werden dokumentiert und können somit vom DBA behoben werden.
Der Download ist unter MOS Doc ID 2138254.1 erhältlich.
DBSAT ist unabhängig vom Betriebssystem. Die zip-Datei dbsat.zip nach /home/oracle entpacken.
Es liegt dann folgende Struktur vor:
/home/oracle/dbsat
-r-xr-xr-x 1 oracle dba 28216 Dec 20 2017 sat_analysis.py
-r-xr-xr-x 1 oracle dba 43181 Jan 8 2018 sat_collector.sql
-r-xr-xr-x 1 oracle dba 12579 Jan 11 2018 dbsat.bat
-r-xr-xr-x 1 oracle dba 12433 Jan 11 2018 dbsat
-r-xr-xr-x 1 oracle dba 247465 Jan 16 2018 sat_reporter.py
-r-xr-xr-x 1 oracle dba 6889 Feb 20 2018 dbsat_diff
-r-xr-xr-x 1 oracle dba 6000 Feb 20 2018 dbsat_extract
drwxr-xr-x 5 oracle dba 4096 Jun 20 18:26 Discover
-r-------- 1 oracle dba 25095 Jun 20 18:35 sat_analysis.pyc
drwxr-xr-x 2 oracle dba 4096 Jun 20 18:35 xlsxwriter
-rw------- 1 oracle dba 185 Jun 20 18:38 discoverer.log
DBAST benötigt einen Datenbankbenutzer:
CREATE USER DBSAT
IDENTIFIED BY <PASSWORT>
DEFAULT TABLESPACE USERS
TEMPORARY TABLESPACE TEMP
PROFILE DEFAULT
ACCOUNT UNLOCK;
GRANT SELECT_CATALOG_ROLE TO DBSAT;
ALTER USER DBSAT DEFAULT ROLE ALL;
GRANT CREATE SESSION TO DBSAT;
GRANT SELECT ON SYS.DBA_USERS_WITH_DEFPWD TO DBSAT;
GRANT SELECT ON SYS.REGISTRY$HISTORY TO DBSAT;
Hinweis: Der Oracle Benutzer DBSAT besitzt keine Datenbankobjekte, sondern nur Rechte.
Daten sammeln:
./dbsat collect -n dbsat/<Passwort> /home/oracle/dbsat/TEST_DB_sec_report
Die Option -n besagt, dass die Ausgabe nicht verschlüsselt wird.
Database Security Assessment Tool version 2.0.1 (December 2017)
Connecting to the target Oracle database...
SQL*Plus: Release 12.2.0.1.0 Production on So Sep 23 09:25:17 2018
Copyright (c) 1982, 2016, Oracle. All rights reserved.
Last Successful login time: Mo Sep 24 2018 08:27:50 +02:00
Connected to:
Oracle Database 12c Standard Edition Release 12.2.0.1.0 - 64bit Production
Setup complete.
SQL queries complete.
OS commands complete.
Disconnected from Oracle Database 12c Standard Edition Release 12.2.0.1.0 - 64bit Production
DBSAT Collector completed successfully.
Unter /home/oracle/dbsat/ wird die Datei TEST_DB_sec_report.json erstellt.
Die Option -a besagt, dass der Report für alle Benutzer, incl. gesperrte Benutzer erstellt wird.
Die Option -n besagt, dass die Ausgabe nicht verschlüsselt wird.
./dbsat report -a -n /home/oracle/dbsat/TEST_DB_sec_report
Database Security Assessment Tool version 2.0.1 (December 2017)
This tool is intended to assist in you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.
DBSAT Reporter ran successfully.
Es liegen nun Reports in verschiedenen Dateiformaten vor:
TEST_DB_sec_report_report.json
TEST_DB_sec_report_report.xlsx
TEST_DB_sec_report_report.html
TEST_DB_sec_report_report.txt
Beim Link Basic Information zeigt uns der Punkt High Risk, dass der Oktober Patch fehlt.
DBAST ist sehr informativ und übersichtlich. Vor der Umsetzung der Empfehlungen ist es aber ratsam, die angestrebten Massnahmen ausführlich zu testen (!).
Weitere Details zu diesem und vielen anderen sicherheitsrelevanten Themen erhalten Sie direkt durch einen unserer erfahrenen Oracle Consultants.
In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den
Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.