Чому автентифікацію ОС вважають поганою безпекою баз даних Oracle?

Oracle припиняє автентифікацію ОС відповідно до Посібника з безпеки бази даних Oracle , в якому йдеться

Майте на увазі, що параметр REMOTE_OS_AUTHENT був застарілий у Oracle Database 11g, випуск 1 (11.1), і зберігається лише для зворотної сумісності.

Крім того, більшість інформації та інструментів безпеки вважають проблемою безпеки зовнішню аутентифікацію ОС (зовнішньою) . Я намагаюся зрозуміти, чому це так. Ось деякі переваги, які я бачу щодо аутентифікації ОС:

1. Без програм аутентифікації ОС потрібно зберігати паролі в різних програмах, кожен з яких має власну модель безпеки та вразливості.
2. Аутентифікація домену вже має бути захищеною, оскільки якщо її немає, то безпека бази даних просто уповільнює доступ до бази даних, але не може її запобігти.
3. Користувачі, які мають пам'ятати лише один пароль домену, можуть створювати більш захищені паролі домену легше, ніж їх можна створити ще менш захищені паролі баз даних, оскільки кількість різних баз даних, до яких потрібно підключитися, збільшується.

Розглянемо наступний сценарій:

1. На gaiusсервері Oracle є ім'я користувача Unix із зовнішньою автентифікацією, тому в Oracle є відповідний користувач, який називається ops$gaius. Після входу в оболонку я також можу входити прямо в мою схему Oracle, і для моїх робочих записів cron також не потрібен пароль, вбудований у скрипт.
2. Віддалену автентифікацію ОС дозволено за умови, що локальна мережа на 100% захищена, а клієнтам можна довіряти (те саме, що rlogin/ rshзазвичай використовувались)
3. Зловмисник будь-яким способом потрапляє на свій ноутбук в локальну мережу, знає, що я там працюю, і створює локального користувача на своєму ноутбуку, який називається gaiusта працює SQL * Plus як цей користувач
4. Oracle бачить (тобто OSUSERв V$SESSION) є gaiusта реєструє цього віддаленого користувача у якops$gaius

Це не тільки смішно легко підробляти, але, надягаючи шапку мого циніку, Oracle не може більше заробляти гроші, продаючи вам свій вигадливий продукт для єдиного входу ... Що, до речі , виконує всі бали, які ви набираєте як переваги ОС -рівень авт. Два паролі, які краще, ніж один, є абсолютно помилковими; більшість людей так чи інакше встановлять їх однаковими (в Oracle немає механізму, який би запобігав цьому).

Загальний принцип полягає в тому, що захищати в програмному забезпеченні надзвичайно важко, коли зловмисник має фізичний доступ. І ніколи не довіряйте клієнту.

Це збільшує окремі точки відмови та збільшує поверхню ризику ваших даних.

Зловмисник, який отримає доступ до системи, матиме автентифікацію ОС, мати доступ до бази даних. Вимагаючи більш безпечного доступу до бази даних, потенційний зловмисник повинен ескалірувати свої привілеї на компрометованій системі, щоб отримати root або oracle доступ, а не будь-який користувач.

Ця проблема є функцією зовнішнього доступу до бази даних. Якщо немає зовнішнього доступу і машина повністю захищена, то питання дозволів суперечить. Однак якщо розробники мають доступ, дозволи користувачів на рівні ОС збільшують сферу можливих катастроф безпеки.

Подумайте про використання мультієр-доступу для обмеження обсягу порушень безпеки та надання будь-якому користувачеві, додатку чи клієнту необхідного їм доступу без необхідності створювати облікові записи на рівні ОС для кожного примірника.

Гайус уже вказував, чому автентифікація віддаленої операційної системи (на відміну від автентифікації ванільної операційної системи, коли ви дозволяєте місцевим користувачам машини отримувати доступ до бази даних, не вказуючи окремий пароль) є відносно небезпечною.

Я б очікував, що Oracle рухається в цьому напрямку, оскільки хоче заохотити людей використовувати корпоративних користувачів (або повноцінний набір управління ідентифікацією), а не віддалених користувачів, що підтверджують автентичність віддаленої операційної системи. Корпоративні користувачі мають ті самі переваги, що й аутентифіковані користувачі віддаленої операційної системи, але Oracle насправді виходить і натискає ваш сервер Active Directory для автентифікації користувача. Ви отримуєте однаковий знак про переваги, не залишаючи перевірку безпеки на клієнтській машині.

Ви конкретно вказуєте на автентифікацію в стилі ідентичності, але я також хотів би зазначити, що інші способи прив’язки бази даних чи будь-яких інших входів до входів ОС настільки ж погані. (будь то локальні файли паролів, LDAP або будь-яке інше для фактичного зберігання облікових даних)

Якщо ви дозволите віддалене підключення до бази даних (або веб-сервер, або все, що робить аутентифікацію), деякі ОС ігноруватимуть правила, які можуть бути встановлені для утруднення жорстокого обліку облікових записів (наприклад, блокування IP-адрес, звідки надходять невдалі спроби; блокування користувачів протягом періоду після встановленої кількості несправностей тощо). Зазвичай ці правила пов'язані sshd, а не система автентифікації в цілому.

Отже, якщо хтось зможе підключитися до бази даних / веб-сервера / що завгодно віддалено, вони можуть жорстоко примусити пароль, оскільки бази даних, як правило, не мають однакових механізмів для уповільнення спроб, а потім схуднути, як тільки знайдуть необхідні облікові дані.