ওএস প্রমাণীকরণ কেন ওরাকল ডাটাবেসের জন্য দুর্বল সুরক্ষা হিসাবে বিবেচিত?


29

ওরাকল ওরাকল ডাটাবেস সুরক্ষা নির্দেশিকা অনুসারে ওএস প্রমাণীকরণকে হ্রাস করছে which

সচেতন হন যে REMOTE_OS_AUTHENT প্যারামিটারটি ওরাকল ডেটাবেস 11 জি রিলিজ 1 (11.1) এ অবচয় করা হয়েছিল এবং কেবল পশ্চাদপদ সামঞ্জস্যের জন্য ধরে রাখা হয়েছে।

এছাড়াও, বেশিরভাগ সুরক্ষা তথ্য এবং সরঞ্জামগুলি ওএস (বহিরাগত) প্রমাণীকরণকে একটি সুরক্ষা সমস্যা হিসাবে বিবেচনা করে। আমি কেন চেষ্টা করছি তা বোঝার চেষ্টা করছি। আমি ওএস প্রমাণীকরণের কিছু সুবিধা দেখতে পাচ্ছি:

  1. ওএস প্রমাণীকরণ ছাড়াই অ্যাপ্লিকেশনগুলিকে অবশ্যই তাদের নিজস্ব সুরক্ষা মডেল এবং দুর্বলতার সাথে বিভিন্ন অ্যাপ্লিকেশনগুলিতে পাসওয়ার্ড সংরক্ষণ করতে হবে।
  2. ডোমেন প্রমাণীকরণ ইতিমধ্যে সুরক্ষিত থাকতে হবে কারণ এটি যদি না হয় তবে ডাটাবেস সুরক্ষা কেবল ডাটাবেসের অ্যাক্সেসকে কমিয়ে দেয় তবে তা আটকাতে পারে না।
  3. কেবলমাত্র একটি ডোমেন পাসওয়ার্ড মনে রাখতে হবে এমন ব্যবহারকারীরা আরও সুরক্ষিত ডোমেন পাসওয়ার্ড তৈরি করতে আরও সহজে তৈরি করা যেতে পারে, যাতে তারা আরও সংখ্যক ডাটাবেসের সংখ্যা বৃদ্ধি করার সাথে সংযোগ করতে হবে বলে আরও কম সুরক্ষিত ডাটাবেস পাসওয়ার্ড তৈরি করতে পারে।

আপনি কোথায় দেখেছেন যে ওরাকল বাহ্যিক প্রমাণীকরণের অবনতি ঘটাচ্ছে?
জাস্টিন গুহ

1
@ জাস্টিন কেভ আমি সেই তথ্যটি দিয়ে প্রশ্নটি আপডেট করব।
লেইফ রিফেল

2
আপডেটের জন্য ধন্যবাদ. কেবল স্পষ্টতার জন্য, যদিও, ওরাকল বাহ্যিক প্রমাণীকরণের অবনতি করছে না, এটি দূরবর্তী বাহ্যিক প্রমাণীকরণকে হ্রাস করছে যা সাধারণত খুব কম সুরক্ষিত হয় (গাইস নীচে আলোচনা হিসাবে)
জাস্টিন গুহ

উত্তর:


16

নিম্নলিখিত পরিস্থিতিতে বিবেচনা করুন:

  1. gaiusবাহ্যিক প্রমাণীকরণের সাথে ওরাকল সার্ভারে একটি ইউনিক্স ব্যবহারকারী রয়েছে , সুতরাং ওরাকলে একটি সংশ্লিষ্ট ব্যবহারকারী বলা হয় ops$gaius। যখন শেলটিতে লগইন করা হয়, তখন আমি সরাসরি আমার ওরাকল স্কিমায় লগইন করতে পারি এবং আমার ক্রোন জবগুলিতে স্ক্রিপ্টে এম্বেড থাকা পাসওয়ার্ডের দরকার হয় না।
  2. রিমোট ওএস প্রমাণীকরণ ভাবনাটি হলো এই যে LAN এর 100% নিরাপদ অনুমতিপ্রাপ্ত হয়, এবং ক্লায়েন্ট বিশ্বাস করা যাবে (একই হিসাবে rlogin/ rshস্বাভাবিকভাবে অনুমতি দেওয়া হবে ব্যবহৃত)
  3. একজন আক্রমণকারী তার উপায়ে ল্যাপটপটি যে কোনও উপায়ে ল্যানে যায়, জানে যে আমি সেখানে কাজ করি এবং তাদের ল্যাপটপে একটি স্থানীয় ব্যবহারকারী তৈরি করে gaiusএবং এসকিউএল * প্লাসকে সেই ব্যবহারকারী হিসাবে চালায়
  4. ওরাকল দেখুন (যেমন OSUSERইন V$SESSION) gaiusএবং সেই দূরবর্তী ব্যবহারকারীকে হিসাবে লগ করেops$gaius

এটি কেবল হাস্যকরভাবে বানোয়াট করা সহজ নয়, তবে আমার ছদ্মবেশের টুপি লাগিয়ে ওরাকল আপনাকে তাদের অভিনব একক সাইন-অন পণ্য বিক্রি করে আর কোনও অর্থ উপার্জন করতে পারে না ... যা ওএসের সুবিধা হিসাবে আপনার উত্থাপন করা সমস্ত পয়েন্ট পূরণ করে Which লেভেল লেখক। একের চেয়ে দুটি ভাল পাসওয়ার্ড সম্পূর্ণ উত্সাহজনক; বেশিরভাগ লোক তাদের যে কোনও উপায়ে একই হতে সেট করবে (এটি রোধ করার জন্য ওরাকলে কোনও ব্যবস্থা নেই)।

সাধারণ নীতিটি হ'ল যখন কোনও আক্রমণকারীর শারীরিক অ্যাক্সেস থাকে তখন সফ্টওয়্যারটিতে রক্ষা করা অত্যন্ত কঠিন। এবং ক্লায়েন্টকে কখনই বিশ্বাস করবেন না।


2
এটি এর চেয়েও খারাপ। দেখুন orafaq এর 'কেন OPS হয় $ একটি ক্লায়েন্ট / সার্ভার পরিবেশে একটি নিরাপত্তা ঝুঁকি অ্যাকাউন্ট?' (তারা উইন্ডোজকে দোষ দেয়, তবে আপনি ঠিক বলেছেন, এটি নেটওয়ার্কে কিছু আছে)
জো

3
সার্ভারটি কীভাবে এটিতে উইন্ডোজ ডোমেন ফ্যাক্টারে রয়েছে? উদাহরণস্বরূপ, ডোমেন অন্তর্ভুক্ত করে এমন কোনও অ্যাকাউন্ট রাখার জন্য আক্রমণকারীকে কি তাদের কম্পিউটারটিতে ডোমেনে যোগ দিতে হবে, বা আক্রমণকারী তাদের কম্পিউটারে যোগদান না করেই ডোমেনের উপস্থিতি অনুকরণ করতে পারে?
লেইফ রিফেল

আমি অনুমান করছি যে মূলত এমন সময়ে লেখা হয়েছিল যখন সমস্ত সার্ভারগুলি ইউনিক্স ছিল এবং সমস্ত ডেস্কটপগুলি উইন্ডোজ ছিল
গাইস

3
@ লেইহ - আপনি উইন্ডোজ ক্লায়েন্টের সাথে ওএস_এইউটিভিপিপিআরএফআইএক্সকে একটি বিশ্বস্ত উইন্ডোজ ডোমেন হিসাবে সেট করে রিমোট ওএস প্রমাণীকরণকে আরও সুরক্ষিত করতে পারেন। এর জন্য প্রয়োজন যে বিশ্বস্ত ডোমেনে দূরবর্তী ক্লায়েন্টটি (বা উপস্থিত হতে পারে)। এটি যথেষ্ট পরিমাণে একটি তুচ্ছ "প্লাগ কম্পিউটারকে একটি অতিরিক্ত বন্দরে পরিণত করে, একটি স্থানীয় ব্যবহারকারী যুক্ত করে এবং আপনি" আক্রমণে আক্রান্ত হন তবে এটি এখনও বেশ মারাত্মক।
জাস্টিন গুহ

1
এটি যদি সত্যিকারের AD / কার্বেরোস প্রমাণীকরণের কাজটি করে, এবং ব্যবহারকারীর কাছ থেকে টিকিট নিয়েছে এবং কেডিসির সাথে এটি যাচাই করছিল তার সাথে তুলনা করুন এবং তার বিপরীতে যা আমার ধারণা, উইন্ডোজ প্রমাণীকরণ ব্যবহারের জন্য সেট করার সময় স্কেল সার্ভারটি কি করে?
আরকনিদ

8

এটি ব্যর্থতার একক পয়েন্ট বৃদ্ধি করে এবং আপনার ডেটার ঝুঁকিপূর্ণ পৃষ্ঠকে প্রসারিত করে।

কোনও আক্রমণকারী যিনি সিস্টেমে অ্যাক্সেস অর্জন করেন তার ওএস প্রমাণীকরণের সাথে ডাটাবেসে অ্যাক্সেস থাকবে। ডাটাবেসে আরও সুরক্ষিত অ্যাক্সেসের প্রয়োজনের দ্বারা, সম্ভাব্য আক্রমণকারীকে কোনও ব্যবহারকারীর পরিবর্তে রুট বা ওরাকল অ্যাক্সেস পাওয়ার জন্য আপোষকৃত সিস্টেমে তাদের সুবিধাগুলি বাড়িয়ে তুলতে হবে।

এই সমস্যাটি ডাটাবেসটিতে বাহ্যিক অ্যাক্সেসের একটি ফাংশন। যদি কোনও বাহ্যিক অ্যাক্সেস না থাকে এবং মেশিনটি পুরোপুরি সুরক্ষিত থাকে তবে অনুমতিগুলির প্রশ্নটি মোটা হয়। তবে, বিকাশকারীদের অ্যাক্সেস থাকলে, ওএস স্তরের ব্যবহারকারীর অনুমতিগুলি সম্ভাব্য সুরক্ষা বিপর্যয়ের সুযোগ বাড়িয়ে তোলে।

সুরক্ষা লঙ্ঘনের পরিধি সীমাবদ্ধ করার জন্য মাল্টিটায়ার অ্যাক্সেস ব্যবহার করার বিষয়ে বিবেচনা করুন এবং প্রতিটি ব্যবহারকারীর জন্য ওএস স্তরের অ্যাকাউন্ট তৈরি করার প্রয়োজন ছাড়াই যে কোনও ব্যবহারকারী, অ্যাপ্লিকেশন বা ক্লায়েন্টকে তাদের প্রয়োজনীয় অ্যাক্সেস দিন।


আমি দেখতে পাচ্ছি, ওভারসিম্প্লিফাই করতে - দুটি ব্যবহারকারীর নাম / পাসওয়ার্ডের প্রয়োজনীয়তা একের চেয়ে বেশি সুরক্ষিত -। আপনার পয়েন্ট যুক্তিসঙ্গত মনে হয়।
লেইফ রিফেল

এটি একটি সুস্পষ্টভাবে ভুল উত্তর - সমস্যাটি বাহ্যিক প্রমাণীকরণ নয়, দূরবর্তী বাহ্যিক প্রমাণীকরণের। আমি নীচে ব্যাখ্যা করব।
গাইস

@ গাইউস যদি দূরবর্তী না হয় তবে বাহ্যিক ওএস প্রমাণীকরণটি প্রায় নিষ্ক্রিয়তার পর্যায়ে সীমাবদ্ধ থাকবে না? আপনি কি বলছেন যে ওরাকল ওএস ব্যবহার করে প্রমাণীকরণের অবনতি ঘটছে না, তবে কেবল একটি দূরবর্তী কম্পিউটার থেকে ওএস প্রমাণীকরণের অবনতি করছেন?
লেইফ রিফেল

@ লেইগ - স্থানীয় অ্যাকাউন্টগুলির ওএস প্রমাণীকরণের জন্য প্রধান ব্যবহারের ক্ষেত্রটি ডিবিএ-টাইপ কাজের জন্য যেখানে আপনার কাছে গুচ্ছ শেল স্ক্রিপ্টগুলির একটি গুচ্ছ রয়েছে যা ডাটাবেস সার্ভারে খুব শক্তিশালী অ্যাকাউন্ট অ্যাক্সেস করতে হবে। ওএস প্রমাণীকরণ আপনাকে সেই শেল স্ক্রিপ্টগুলিতে এনক্রিপ্ট করা ডিবিএ স্তরের পাসওয়ার্ডগুলি এড়াতে দেয়।
জাস্টিন গুহ

@ জাস্টিন ব্যাচের চাকরি সাধারণভাবে, শেল স্ক্রিপ্ট হিসাবে প্রয়োগ করা হয় বা যাই হোক না কেন, পৃথক ক্রোনগুলিতে
গাইস ২

4

গাইউস ইতিমধ্যে চিহ্নিত করেছে যে দূরবর্তী অপারেটিং সিস্টেমের প্রমাণীকরণ (ভ্যানিলা অপারেটিং সিস্টেমের প্রমাণীকরণের বিপরীতে যেখানে আপনি স্থানীয় মেশিন ব্যবহারকারীদের একটি পৃথক পাসওয়ার্ড উল্লেখ না করেই ডাটাবেস অ্যাক্সেসের অনুমতি দিচ্ছেন) তুলনামূলকভাবে নিরাপত্তাহীন কেন।

আমি প্রত্যাশা করব যে ওরাকল এই দিকে এগিয়ে চলেছে কারণ এটি দূরবর্তী অপারেটিং সিস্টেমের অনুমোদনপ্রাপ্ত ব্যবহারকারীদের পরিবর্তে এন্টারপ্রাইজ ব্যবহারকারীদের (বা সম্পূর্ণ উন্নত পরিচয় পরিচালন স্যুট) ব্যবহার করতে মানুষকে উত্সাহিত করতে চায় । এন্টারপ্রাইজ ব্যবহারকারীদের দূরবর্তী অপারেটিং সিস্টেমের অনুমোদনপ্রাপ্ত ব্যবহারকারীদের মতো একই সুবিধাগুলি রয়েছে তবে ওরাকল প্রকৃতপক্ষে বাইরে চলে যাচ্ছেন এবং ব্যবহারকারীর প্রমাণীকরণের জন্য আপনার অ্যাক্টিভ ডিরেক্টরি সার্ভারে চাপ দিচ্ছেন। আপনি ক্লায়েন্ট মেশিনে সুরক্ষা চেক আপ না রেখে সুবিধাগুলিতে একই একই সাইন পান।


এলডিএপি প্রমাণীকরণ কৃমির আরেকটি ক্যান খুলতে পারে ... আমি একটি দীর্ঘ উত্তর পোস্ট করব।
জো

+1 এন্টারপ্রাইজ ব্যবহারকারী সুরক্ষা নির্দেশ করার জন্য ধন্যবাদ। আমরা ইতিমধ্যে উন্নত সুরক্ষা বিবেচনা করেছি এবং এটি এটিকে আরও আকর্ষণীয় করে তুলেছে।
লেইফ রিফেল

4

আপনি বিশেষভাবে পরিচয়-শৈলীর প্রমাণীকরণের দিকে নির্দেশ করেছেন তবে আমি এটিও উল্লেখ করতে চাই যে ওএসের লগিনগুলিতে ডাটাবেস বা অন্য কোনও লগিন বেঁধে রাখার অন্যান্য পদ্ধতিগুলি ঠিক ততটাই খারাপ। (এটি স্থানীয় পাসওয়ার্ড ফাইল, এলডিএপি বা শংসাপত্রগুলির আসল সঞ্চয় করার জন্য যাই হোক না কেন)

আপনি যদি ডাটাবেসে রিমোট সংযোগগুলি (বা ওয়েবসার্ভার, বা যা যা যা যা করছেন তার অনুমতি দেয়), কিছু ওএস এমন নিয়মগুলি এড়িয়ে যাবে যেগুলি ফোর্স অ্যাকাউন্টগুলি ব্রুট করতে অসুবিধা হওয়ার জন্য নির্ধারিত হতে পারে (যেমন, আইপিগুলি যেখানে ব্যর্থ প্রচেষ্টা আসছে সেগুলি ব্লক করা; লকিং ব্যবহারকারীদের নির্দিষ্ট সময়ের জন্য নির্দিষ্ট সময়ের জন্য ভুল, ইত্যাদি for সাধারণত, এই নিয়ম মধ্যে বাঁধা sshd, এবং না সামগ্রিকভাবে প্রমাণীকরণ সিস্টেম।

সুতরাং, কেউ যদি ডাটাবেস / ওয়েবসার্ভার / যেকোন দূরবর্তী অবস্থান থেকে সংযোগ করতে সক্ষম হন তবে তারা পাসওয়ার্ড জোর করে ফেলতে পারে, কারণ ডাটাবেসগুলিতে প্রয়াসকে ধীর করতে একই ব্যবস্থা করার ঝোঁক থাকে না, তারপরে তারা প্রয়োজনীয় শংসাপত্রগুলি খুঁজে পাওয়ার পরে এসএসএস করে দেবে।


2
আমি নিশ্চিত নই যে আমি এখানে যুক্তিটি অনুসরণ করি। আপনার যদি এলডাপের বিরুদ্ধে ওরাকল প্রমাণীকরণ থাকে তবে পাসওয়ার্ডটি পেতে আপনাকে এলডিএপটি ভেঙে ফেলতে হবে - নিয়মিত ওরাকল ব্যবহারকারীর মতো সেখানে ব্রুড ফোর্স করার জন্য পাসওয়ার্ড হ্যাশের কোনও স্থানীয় কপি নেই। যদি আপনি আক্রমণকারীরা আপনার এলডিএপি প্রমাণীকরণকে মারধর করার বিষয়ে উদ্বিগ্ন হন তবে আপনি কীভাবে ওরাকল ব্যবহারকারীদের প্রমাণীকরণ করছেন তার চেয়ে আপনার বড় সমস্যা হতে পারে। এবং বেশ কয়েকটি ব্যর্থ চেষ্টার পরেও অ্যাকাউন্টগুলি লক করার জন্য ওরাকলকে কনফিগার করা যথেষ্ট সহজ, অনুমোদিত আইপি অ্যাড্রেসগুলি সীমাবদ্ধ করে দেয় ইত্যাদি 11 আসলে বেশিরভাগই 11 জি-তে ডিফল্ট আচরণ।
জাস্টিন গুহ

@ জাস্টিন: এটি কেবলমাত্র একটি সমস্যা যদি আপনি এটি বেঁধেন তবে ওএসে লগইন করার শংসাপত্রগুলি ডাটাবেসে লগইন করার শংসাপত্রগুলির (বা ওয়েবসারভার, ইত্যাদি) হিসাবে একই। এবং শুনে মনে হচ্ছে ওরাকলের প্রমাণীকরণ সম্পর্কে আমি যখন এটি শেষবার ব্যবহার করেছি তখন তার চেয়ে ভাল হয়েছে, তবে বেশিরভাগ অন্যান্য ডাটাবেসগুলিতে হয়নি। (এবং অ্যাপাচি হয় না, সুতরাং ম্যাকস এক্স সার্ভার ব্যবহারকারীদের অদলবদল করা উচিত mod_auth_appleএবং mod_auth_digest_appleডিফল্ট সংস্করণগুলির জন্য, যদিও আমি এখনও পরীক্ষা করে দেখিনি যে সমস্যাটি এখনও 10.6 তে বিদ্যমান রয়েছে)
জো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.