ওএস প্রমাণীকরণ কেন ওরাকল ডাটাবেসের জন্য দুর্বল সুরক্ষা হিসাবে বিবেচিত?

ওরাকল ওরাকল ডাটাবেস সুরক্ষা নির্দেশিকা অনুসারে ওএস প্রমাণীকরণকে হ্রাস করছে which

সচেতন হন যে REMOTE_OS_AUTHENT প্যারামিটারটি ওরাকল ডেটাবেস 11 জি রিলিজ 1 (11.1) এ অবচয় করা হয়েছিল এবং কেবল পশ্চাদপদ সামঞ্জস্যের জন্য ধরে রাখা হয়েছে।

এছাড়াও, বেশিরভাগ সুরক্ষা তথ্য এবং সরঞ্জামগুলি ওএস (বহিরাগত) প্রমাণীকরণকে একটি সুরক্ষা সমস্যা হিসাবে বিবেচনা করে। আমি কেন চেষ্টা করছি তা বোঝার চেষ্টা করছি। আমি ওএস প্রমাণীকরণের কিছু সুবিধা দেখতে পাচ্ছি:

1. ওএস প্রমাণীকরণ ছাড়াই অ্যাপ্লিকেশনগুলিকে অবশ্যই তাদের নিজস্ব সুরক্ষা মডেল এবং দুর্বলতার সাথে বিভিন্ন অ্যাপ্লিকেশনগুলিতে পাসওয়ার্ড সংরক্ষণ করতে হবে।
2. ডোমেন প্রমাণীকরণ ইতিমধ্যে সুরক্ষিত থাকতে হবে কারণ এটি যদি না হয় তবে ডাটাবেস সুরক্ষা কেবল ডাটাবেসের অ্যাক্সেসকে কমিয়ে দেয় তবে তা আটকাতে পারে না।
3. কেবলমাত্র একটি ডোমেন পাসওয়ার্ড মনে রাখতে হবে এমন ব্যবহারকারীরা আরও সুরক্ষিত ডোমেন পাসওয়ার্ড তৈরি করতে আরও সহজে তৈরি করা যেতে পারে, যাতে তারা আরও সংখ্যক ডাটাবেসের সংখ্যা বৃদ্ধি করার সাথে সংযোগ করতে হবে বলে আরও কম সুরক্ষিত ডাটাবেস পাসওয়ার্ড তৈরি করতে পারে।

নিম্নলিখিত পরিস্থিতিতে বিবেচনা করুন:

1. gaiusবাহ্যিক প্রমাণীকরণের সাথে ওরাকল সার্ভারে একটি ইউনিক্স ব্যবহারকারী রয়েছে , সুতরাং ওরাকলে একটি সংশ্লিষ্ট ব্যবহারকারী বলা হয় ops$gaius। যখন শেলটিতে লগইন করা হয়, তখন আমি সরাসরি আমার ওরাকল স্কিমায় লগইন করতে পারি এবং আমার ক্রোন জবগুলিতে স্ক্রিপ্টে এম্বেড থাকা পাসওয়ার্ডের দরকার হয় না।
2. রিমোট ওএস প্রমাণীকরণ ভাবনাটি হলো এই যে LAN এর 100% নিরাপদ অনুমতিপ্রাপ্ত হয়, এবং ক্লায়েন্ট বিশ্বাস করা যাবে (একই হিসাবে rlogin/ rshস্বাভাবিকভাবে অনুমতি দেওয়া হবে ব্যবহৃত)
3. একজন আক্রমণকারী তার উপায়ে ল্যাপটপটি যে কোনও উপায়ে ল্যানে যায়, জানে যে আমি সেখানে কাজ করি এবং তাদের ল্যাপটপে একটি স্থানীয় ব্যবহারকারী তৈরি করে gaiusএবং এসকিউএল * প্লাসকে সেই ব্যবহারকারী হিসাবে চালায়
4. ওরাকল দেখুন (যেমন OSUSERইন V$SESSION) gaiusএবং সেই দূরবর্তী ব্যবহারকারীকে হিসাবে লগ করেops$gaius

এটি কেবল হাস্যকরভাবে বানোয়াট করা সহজ নয়, তবে আমার ছদ্মবেশের টুপি লাগিয়ে ওরাকল আপনাকে তাদের অভিনব একক সাইন-অন পণ্য বিক্রি করে আর কোনও অর্থ উপার্জন করতে পারে না ... যা ওএসের সুবিধা হিসাবে আপনার উত্থাপন করা সমস্ত পয়েন্ট পূরণ করে Which লেভেল লেখক। একের চেয়ে দুটি ভাল পাসওয়ার্ড সম্পূর্ণ উত্সাহজনক; বেশিরভাগ লোক তাদের যে কোনও উপায়ে একই হতে সেট করবে (এটি রোধ করার জন্য ওরাকলে কোনও ব্যবস্থা নেই)।

সাধারণ নীতিটি হ'ল যখন কোনও আক্রমণকারীর শারীরিক অ্যাক্সেস থাকে তখন সফ্টওয়্যারটিতে রক্ষা করা অত্যন্ত কঠিন। এবং ক্লায়েন্টকে কখনই বিশ্বাস করবেন না।

এটি ব্যর্থতার একক পয়েন্ট বৃদ্ধি করে এবং আপনার ডেটার ঝুঁকিপূর্ণ পৃষ্ঠকে প্রসারিত করে।

কোনও আক্রমণকারী যিনি সিস্টেমে অ্যাক্সেস অর্জন করেন তার ওএস প্রমাণীকরণের সাথে ডাটাবেসে অ্যাক্সেস থাকবে। ডাটাবেসে আরও সুরক্ষিত অ্যাক্সেসের প্রয়োজনের দ্বারা, সম্ভাব্য আক্রমণকারীকে কোনও ব্যবহারকারীর পরিবর্তে রুট বা ওরাকল অ্যাক্সেস পাওয়ার জন্য আপোষকৃত সিস্টেমে তাদের সুবিধাগুলি বাড়িয়ে তুলতে হবে।

এই সমস্যাটি ডাটাবেসটিতে বাহ্যিক অ্যাক্সেসের একটি ফাংশন। যদি কোনও বাহ্যিক অ্যাক্সেস না থাকে এবং মেশিনটি পুরোপুরি সুরক্ষিত থাকে তবে অনুমতিগুলির প্রশ্নটি মোটা হয়। তবে, বিকাশকারীদের অ্যাক্সেস থাকলে, ওএস স্তরের ব্যবহারকারীর অনুমতিগুলি সম্ভাব্য সুরক্ষা বিপর্যয়ের সুযোগ বাড়িয়ে তোলে।

সুরক্ষা লঙ্ঘনের পরিধি সীমাবদ্ধ করার জন্য মাল্টিটায়ার অ্যাক্সেস ব্যবহার করার বিষয়ে বিবেচনা করুন এবং প্রতিটি ব্যবহারকারীর জন্য ওএস স্তরের অ্যাকাউন্ট তৈরি করার প্রয়োজন ছাড়াই যে কোনও ব্যবহারকারী, অ্যাপ্লিকেশন বা ক্লায়েন্টকে তাদের প্রয়োজনীয় অ্যাক্সেস দিন।

গাইউস ইতিমধ্যে চিহ্নিত করেছে যে দূরবর্তী অপারেটিং সিস্টেমের প্রমাণীকরণ (ভ্যানিলা অপারেটিং সিস্টেমের প্রমাণীকরণের বিপরীতে যেখানে আপনি স্থানীয় মেশিন ব্যবহারকারীদের একটি পৃথক পাসওয়ার্ড উল্লেখ না করেই ডাটাবেস অ্যাক্সেসের অনুমতি দিচ্ছেন) তুলনামূলকভাবে নিরাপত্তাহীন কেন।

আমি প্রত্যাশা করব যে ওরাকল এই দিকে এগিয়ে চলেছে কারণ এটি দূরবর্তী অপারেটিং সিস্টেমের অনুমোদনপ্রাপ্ত ব্যবহারকারীদের পরিবর্তে এন্টারপ্রাইজ ব্যবহারকারীদের (বা সম্পূর্ণ উন্নত পরিচয় পরিচালন স্যুট) ব্যবহার করতে মানুষকে উত্সাহিত করতে চায় । এন্টারপ্রাইজ ব্যবহারকারীদের দূরবর্তী অপারেটিং সিস্টেমের অনুমোদনপ্রাপ্ত ব্যবহারকারীদের মতো একই সুবিধাগুলি রয়েছে তবে ওরাকল প্রকৃতপক্ষে বাইরে চলে যাচ্ছেন এবং ব্যবহারকারীর প্রমাণীকরণের জন্য আপনার অ্যাক্টিভ ডিরেক্টরি সার্ভারে চাপ দিচ্ছেন। আপনি ক্লায়েন্ট মেশিনে সুরক্ষা চেক আপ না রেখে সুবিধাগুলিতে একই একই সাইন পান।

আপনি বিশেষভাবে পরিচয়-শৈলীর প্রমাণীকরণের দিকে নির্দেশ করেছেন তবে আমি এটিও উল্লেখ করতে চাই যে ওএসের লগিনগুলিতে ডাটাবেস বা অন্য কোনও লগিন বেঁধে রাখার অন্যান্য পদ্ধতিগুলি ঠিক ততটাই খারাপ। (এটি স্থানীয় পাসওয়ার্ড ফাইল, এলডিএপি বা শংসাপত্রগুলির আসল সঞ্চয় করার জন্য যাই হোক না কেন)

আপনি যদি ডাটাবেসে রিমোট সংযোগগুলি (বা ওয়েবসার্ভার, বা যা যা যা যা করছেন তার অনুমতি দেয়), কিছু ওএস এমন নিয়মগুলি এড়িয়ে যাবে যেগুলি ফোর্স অ্যাকাউন্টগুলি ব্রুট করতে অসুবিধা হওয়ার জন্য নির্ধারিত হতে পারে (যেমন, আইপিগুলি যেখানে ব্যর্থ প্রচেষ্টা আসছে সেগুলি ব্লক করা; লকিং ব্যবহারকারীদের নির্দিষ্ট সময়ের জন্য নির্দিষ্ট সময়ের জন্য ভুল, ইত্যাদি for সাধারণত, এই নিয়ম মধ্যে বাঁধা sshd, এবং না সামগ্রিকভাবে প্রমাণীকরণ সিস্টেম।

সুতরাং, কেউ যদি ডাটাবেস / ওয়েবসার্ভার / যেকোন দূরবর্তী অবস্থান থেকে সংযোগ করতে সক্ষম হন তবে তারা পাসওয়ার্ড জোর করে ফেলতে পারে, কারণ ডাটাবেসগুলিতে প্রয়াসকে ধীর করতে একই ব্যবস্থা করার ঝোঁক থাকে না, তারপরে তারা প্রয়োজনীয় শংসাপত্রগুলি খুঁজে পাওয়ার পরে এসএসএস করে দেবে।