Oracle Database Security Assessment

01.
Oktober
2018

Seit Juni 2016 steht DBSAT zur Verfügung. Es kann ab der Oracle Version 10.2.0.5 und höher für alle Editionen verwendet werden.

 

DBSAT 2.0.1

Mit dem Oracle Database Security Assessment Tool (DBSAT) bietet Oracle die Möglichkeit potenziellen Sicherheitsrisiken der Datenbank frühzeitig zu erkennen. Die erkannten Schwachstellen werden dokumentiert und können somit vom DBA behoben werden.

Der Download ist unter Öffnet externen Link in neuem FensterMOS Doc ID 2138254.1 erhältlich.

Installation

DBSAT ist unabhängig vom Betriebssystem. Die zip-Datei dbsat.zip nach /home/oracle entpacken.

Es liegt dann folgende Struktur vor:

/home/oracle/dbsat
-r-xr-xr-x 1 oracle dba  28216 Dec 20  2017 sat_analysis.py
-r-xr-xr-x 1 oracle dba  43181 Jan  8  2018 sat_collector.sql
-r-xr-xr-x 1 oracle dba  12579 Jan 11  2018 dbsat.bat
-r-xr-xr-x 1 oracle dba  12433 Jan 11  2018 dbsat
-r-xr-xr-x 1 oracle dba 247465 Jan 16  2018 sat_reporter.py
-r-xr-xr-x 1 oracle dba   6889 Feb 20  2018 dbsat_diff
-r-xr-xr-x 1 oracle dba   6000 Feb 20  2018 dbsat_extract
drwxr-xr-x 5 oracle dba   4096 Jun 20 18:26 Discover
-r-------- 1 oracle dba  25095 Jun 20 18:35 sat_analysis.pyc
drwxr-xr-x 2 oracle dba   4096 Jun 20 18:35 xlsxwriter
-rw------- 1 oracle dba    185 Jun 20 18:38 discoverer.log

DBAST benötigt einen Datenbankbenutzer:

CREATE USER DBSAT
IDENTIFIED BY <PASSWORT>
DEFAULT TABLESPACE USERS
TEMPORARY TABLESPACE TEMP
PROFILE DEFAULT
ACCOUNT UNLOCK;
GRANT SELECT_CATALOG_ROLE TO DBSAT;
ALTER USER DBSAT DEFAULT ROLE ALL;
GRANT CREATE SESSION TO DBSAT;
GRANT SELECT ON SYS.DBA_USERS_WITH_DEFPWD TO DBSAT;
GRANT SELECT ON SYS.REGISTRY$HISTORY TO DBSAT;

Hinweis: Der Oracle Benutzer DBSAT besitzt keine Datenbankobjekte, sondern nur Rechte.

Daten sammeln:

./dbsat collect -n dbsat/<Passwort> /home/oracle/dbsat/TEST_DB_sec_report

Die Option -n besagt, dass die Ausgabe nicht verschlüsselt wird.

Database Security Assessment Tool version 2.0.1 (December 2017)

Connecting to the target Oracle database...


SQL*Plus: Release 12.2.0.1.0 Production on So Sep 23 09:25:17 2018

Copyright (c) 1982, 2016, Oracle.  All rights reserved.

Last Successful login time: Mo Sep 24 2018 08:27:50 +02:00

Connected to:
Oracle Database 12c Standard Edition Release 12.2.0.1.0 - 64bit Production

Setup complete.
SQL queries complete.
OS commands complete.
Disconnected from Oracle Database 12c Standard Edition Release 12.2.0.1.0 - 64bit Production
DBSAT Collector completed successfully.

Unter /home/oracle/dbsat/ wird die Datei TEST_DB_sec_report.json erstellt.

Report erstellen

Die Option -a besagt, dass der Report für alle Benutzer, incl. gesperrte Benutzer erstellt wird.

Die Option -n besagt, dass die Ausgabe nicht verschlüsselt wird.

./dbsat report -a -n /home/oracle/dbsat/TEST_DB_sec_report

Database Security Assessment Tool version 2.0.1 (December 2017)

This tool is intended to assist in you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.

DBSAT Reporter ran successfully.

Es liegen nun Reports in verschiedenen Dateiformaten vor:

TEST_DB_sec_report_report.json
TEST_DB_sec_report_report.xlsx
TEST_DB_sec_report_report.html
TEST_DB_sec_report_report.txt

HTML Report

Beim Link Basic Information zeigt uns der Punkt High Risk, dass der Oktober Patch fehlt.


Fazit

DBAST ist sehr informativ und übersichtlich. Vor der Umsetzung der Empfehlungen ist es aber ratsam, die angestrebten Massnahmen ausführlich zu testen (!).

Weitere Details zu diesem und vielen anderen sicherheitsrelevanten Themen erhalten Sie direkt durch einen unserer erfahrenen Öffnet internen Link im aktuellen FensterOracle Consultants. 

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.