使用技术手段限制DBA的危险操作—Oracle Database Vault
概述
众所周知,在业务高峰期,某些针对Oracle数据库的操作具有很高的风险,比如修改表结构、修改实例参数等等,如果没有充分评估和了解这些操作所带来的影响,这些操作很可能会导致故障,轻则导致应用错误,重则导致数据库服务不可用。
另外,在非业务高峰期,某些看似风险不大的操作也可能会导致严重后果,比如不按管理流程修改表结构,如果这个表正好是Oracle GoldenGate复制组的一部分,修改了源端结构而没有通知OGG的相关人员,没有在目标端进行相同的操作,而DDL复制功能也没有打开的情况下,就会导致复制进程故障,导致数据不一致,在某些应用场景下,这也是很严重的生产事故。
目前,传统的应对方法还是强调管理,不管是客户还是服务商都在不断强调制度和规范,希望从制度建设和工程师的职业素养上着手,防止DBA的这种随意的危险操作。
但是,管理制度毕竟是“软性”的,把希望寄托在工程师自觉地遵守制度和“自我修养”上,并不能保证万无一失。
Oracle提供的安全组件,可以用来限制、阻断这种随意的危险操作,用技术手段保证管理制度被遵守。
Oracle Database Vault简介
我们要讨论的是Oracle数据库的安全组件之一: Oracle Database Vault(DV),它的主要功能是保护敏感数据和职责分离。
DV保护敏感数据主要通过Realm(安全域),Realm可以简单理解为敏感数据的集合,DV通过realm的配置来指定用户是否可以访问Realm保护的数据,如果在DV中没有给访问权限,即使是sysdba也无权访问受Realm保护的数据,这是DV的核心功能,但不是本文的重点。
DV还有一个很重要的功能,Command Rules,就是可以按一定的判断条件,允许或阻止数据库用户执行DDL、DML以及DCL命令,而且对特权用户,包括sysdba都有效。这个功能正好可以满足我们限制dba的需求。
大家如果想详细了解DV的功能,可以访问Oracle官网:http://www.oracle.com/technetwork/database/options/database-vault/index-085211.html
Oracle Database Vault最低支持的数据库版本是9.2.0.8,早期是单独的一个安装包。从11g开始,Oracle的数据库安装介质中包含了这个组件,想要使用这个组件的用户需要在安装时勾选Database Vault选项。除了安装相关的软件组件,还需要在创建数据库时,创建相关的数据库对象。
Database Vault可以使用相关的存储过程来实现命令行方式的配置、管理,也可以通过web管理界面来管理,在早期,必须安装EM,才能使用web管理界面,从11gR2起,数据库自带的dbcontrol也可以进行web界面的管理了。
除了前面讲到的Realm和Command Rules,还有两个概念要介绍一下,一个是Factor(认证因子),另一个是Rule sets(规则集)。
Factor(认证因子)就是可以用于进行条件判断的因素,比如客户端主机名,客户端IP等等,Oracle内置了一些常用的Factor,用户也可以自己创建Factor,Factor可以是一个表达式,也可以是一个存储过程的返回值。
Rule Sets简单说就是判断条件的集合,类似SQL的where之后的判断条件,当规则集的判断条件返回为true时,DV允许用户访问数据或执行特定的命令。Rule sets中的Rule可以引用Factor做判断。
示例1:只允许在非业务时间执行drop命令
这个例子是最简单的,不需要使用Factor,只使用Rule Sets和Command Rules就可以完成。我们用数据库用户test来示范:
登录DV的管理页面:
创建一个Rule Set,名字叫”Can not drop table in business time”,选择Any True,意思是说规则集中的规则(判断条件)任何一个为True,规则集判断结果就为True。其实All True就相当于and,Any True就相当于or
这两个RULE也很好理解,就是判断当前时间是否为业务时间,在这里,为了便于做实验,把业务时间定义为11:45~11:55,这个规则集判断当前时间,如果当前时间不在业务时间内,规则集返回True。
然后创建Command Rule,如下图:
这个Command Rule的意思就是指定的Rule Set 返回True时,允许drop test用户下的表,否则即使是sysdba或表的owner也无权drop table。
效果:
其他我们想控制的Alter Table等Command Rule的设置方法类似。
实例2:只允许用户使用特定工具(应用)登录数据库
实际工作中,我们经常遇到这样的情况:应用开发人员都有应用用户的口令,他们可以随意用SQL*PLUS或PL/SQL Developer这样的工具连接到生产库上,如果一时搞混了生产库和测试库,就可能有悲剧发生。最好的解决方法就是限制应用用户所用的工具,应该只允许中间件以这个用户连接,其他工具都不允许连接。
这个例子会用到Factor,首先我们创建一个Factor,取用户会话的Module:
用SQL*PLUS登录数据库,验证这个Factor取出的值:
引用Factor的方法就是DVF.F$+Factor name,在Linux本机登录,Module就是上面显示的那样,在windows上远程登录,Module的值是“SQLPLUS.EXE”。
下面创建Rule Set,名字叫“Limit SQL*PLUS“,
注意是“Any True”
创建RULE:
创建Command Rule:
按照这种规则,除了SYS,SYSTEM,DV_MANAGER之外的用户,不管是本地还是远程,都不能用SQL*PLUS登录。
用SQL Developer登录正常:
实例3:使用Dual Key安全功能
现实场景中,我们希望DBA遵守制度,比如在修改表结构之前,通知OGG相关人。或者为了增加安全性,要求DBA做的重大操作,必须得到老板的批准。DV可以利用Dual Key功能满足这种需求。
简单说,我们可以写一个存储过程,判断流程中需要通知的人是否在线,如果在线,才允许执行相应的操作。而那个需要被通知的人,只要拥有connect数据库的权限就行,他(她)的登录动作就变成了一种授权或被通知后的确认。
具体步骤:
首先给DV的管理员授权,让用户可以访问字典视图和编写存储过程:
SQL> GRANT CREATE PROCEDURE TO dv_manager;
Grant succeeded.
SQL> GRANT SELECT ON V_$SESSION TO dv_manager;
Grant succeeded.
我们假设授权的用户是“BOSS“,而执行操作的用户是”TEST“,相应的判断BOSS是否在线的存储过程如下:
CREATE OR REPLACE FUNCTION check_boss_logged_in
return varchar2
authid definer as
v_session_number number := 0;
v_allow varchar2(10) := 'TRUE';
v_deny varchar2(10) := 'FALSE';
BEGIN
SELECT COUNT(*) INTO v_session_number
FROM SYS.V_$SESSION
WHERE USERNAME = 'BOSS';
IF v_session_number > 0
THEN RETURN v_allow;
ELSE
RETURN v_deny;
END IF;
END check_boss_logged_in;
/
使用DV管理员创建这个Function,然后授权给DVSYS:
SQL>GRANT EXECUTE ON check_boss_logged_in to DVSYS;
创建Rule Set:
Name:Dual Key
Evaluation Options:Any True
规则如下:
创建Command Rule:
这个Command Rule达到的效果是,如果test用户想alter owner为test的table,必须boss用户同时在线,否则报错,无权限。如果是其他人修改test用户下的表,不受这个限制。
最后的效果:
BOSS用户没有在线,那么TEST用户alter table报错
只有在test用户通知了boss用户,或者按照流程,得到了boss用户的批准,boss用户用登录数据库这个动作来代表确认,test用户才可以修改表结构: