پرسش: چگونه می توان در زمان پایین بودن سرویس listener، به صورت از راه دور به دیتابیس متصل شد؟
در متن پیش رو، خواهیم دید که علاوه پروسس listener، پروسس های دیگری چون Dispatcher، هم امکان اتصال از راه دور را فراهم می کنند.
(بیشتر…)lock/unlock کردن کاربران بدون داشتن مجوز alter user
قصد داریم به کاربری “مجوز unlock کردن کاربران دیگر” را اهدا کنیم! می دانیم که این کار با دادن مجوز alter user به آن کاربر، قابل انجام خواهد بود منتها این مجوز، قابلیتهای دیگری چون تغییر پسورد کاربران، قفل کردن آنها و … را هم به آن کاربر خواهد داد!
در نتیجه، اهدای مجوز alter user، گزینه مناسبی برای این کار نخواهد بود و باید به دنبال راه حل دیگری برای حل این مسئله باشیم!
(بیشتر…)Auditing در محیط Active Data Guard
در زمان استفاده از Active Data Gaurd، ممکن است نیاز باشد تا نظارتی بر روی دسترسی کاربران به جداول صورت پذیرد. با توجه به read only بودن ADG، طبیعی است که امکان استفاده از $aud برای ثبت auditing امکان پذیر نخواهد بود و تنظیم پارامتر audit_trail به مقدار DB نمی تواند در این محیط موثر باشد.
ممانعت از تغییر پسورد توسط کاربران فاقد مجوز
هر کاربری می تواند بدون داشتن مجوز اضافه ای(مانند alter user)؛ پسوردش را با یکی از روشهای زیر تغییر دهد:
سیر تکاملی ذخیره سازی پسورد کاربران dblink(ویژگی DICTIONARY CREDENTIALS ENCRYPT)
در اوراکل 10gR1، پسورد کاربران استفاده شده برای dblink، بدون رمزنگاری و بصورت کاملا شفاف(clear text) در جداول data dictionary ذخیره می شدند و امکان مشاهده کلمه عبور به صورت clear text، از طریق ویوهای data dictionary امکان پذیر بود:
SQL*Plus: Release 10.1.0.4.2 – Production on Wed Apr 18 11:23:01 2018
SQL> create database link dblinkname connect to usef identified by “pass@123” using ‘tns_name’;
Database link created.
SQL> select DB_LINK,USERNAME,PASSWORD from USER_DB_LINKS;
DB_LINK USERNAME PASSWORD
——————– ———- ———-
DBLINKNAME USEF pass@123
تهیه دامپ از جداول auditing در اوراکل 12c
در اوراکل 11g، امکان گرفتن دامپ از جدول $aud با کمک data pump وجود ندارد:
[oracle@myhost ~]$ expdp directory=mrm dumpfile=aud.dmp tables=aud$
Export: Release 11.2.0.4.0 – Production on Sat Dec 8 17:30:47 2018
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 – 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
Starting “SYS”.”SYS_EXPORT_TABLE_01″: sys/******** AS SYSDBA directory=mrm dumpfile=aud.dmp tables=aud$
Estimate in progress using BLOCKS method…
Total estimation using BLOCKS method: 0 KB
ORA-39166: Object SYS.AUD$ was not found.
ORA-31655: no data or metadata objects selected for job
Job “SYS”.”SYS_EXPORT_TABLE_01″ completed with 2 error(s) at Sat Dec 8 17:30:59 2018 elapsed 0 00:00:04
Data Masking از طریق Data Pump
در زمان انتقال اطلاعات از یک بانک عملیاتی به یک بانک تستی، ممکن است نیاز باشد تا اطلاعات حساس به طور شفاف به بانک مقصد منتقل نشوند در این صورت اگر از data pump برای جابجایی دیتا استفاده می کنیم، می توانیم در زمان برگرداندن دیتا با دستور impdp، داده های حساس را دستکاری کنیم. این کار، از طریق پارامتر REMAP_DATA و یک function(که از قبل در بانک تستی موجود است)، قابل انجام خواهد بود.
REMAP_DATA=[schema.]tablename.column_name:[schema.]pkg.function
دست گرمی با پسوردفایل
همانطور که می دانید، برای لاگین از راه دور به بانک اطلاعاتی، آن هم از طریق administrative privilegeها(از قبیل sysdba و sysoper)، ناگزیر باید password file را برای بانک ایجاد کرده باشیم در غیر این صورت، با خطا مواجه خواهیم شد:
[oracle@myhost ~]$ sqlplus “sys/a@mydb1 as sysdba”
SQL*Plus: Release 18.0.0.0.0 – Production on Sat Aban 26 12:27:51 1397
Version 18.3.0.0.0
Copyright (c) 1982, 2018, Oracle. All rights reserved.
ERROR:
ORA-01017: invalid username/password; logon denied
Enter user-name:
نگاهی گذرا به administrative privilegeها در اوراکل
Unified Auditing
همانطور که می دانید، ثبت وقایع برای نسخه های قبل از اوراکل 12c، از طریق standard auditing امکان پذیر است. با کمک این شیوه از auditing، می توان تمامی عملیات کاربران حاضر در بانک اطلاعاتی را مانیتور نمود (البته به غیر از کاربرانی که با مجوز sysdba به بانک لاگین کرده اند.) این شیوه از auditing در کنار مزیتهای فراوانی که به همراه دارد، با محدودیتهایی هم روبروست، محدودیتهایی نظیر:
1.امکان دستکاری راحت audit record توسط کاربر sys
2.عدم ثبت وقایع کاربر sys در جدولی از بانک
3.عدم امکان auditing بر اساس role کاربران
4.عدم پارتیشن بندی پیش فرض جدول $aud و مشقتهای حذف بازه ای اطلاعات آن(delete + HWM)
5.عدم امکان auditing بر اساس مولفه هایی چون rman، datapump، sqlldr و …
6.عدم امکان auditing بر مبنای host name، ip address و …
و …