Oracle database security; meer dan alleen maar patchen!

Oracle database security meer dan alleen maar patchen! Met het steeds belangrijker worden van security is de houding tot de database omgeving ook veranderd. Van “niet patchen tenzij”  via “in ieder geval een maal per jaar” naar “iedere kwartaalpatch van Oracle wordt toegepast volgens een vooraf bepaald ritme”.

Maar security is veel meer dan het patchen van de database. Alle aspecten (van de database) moeten doordacht worden. En  sommige aspecten liggen zo voor de hand.  Als we kijken naar de veelheid van aspecten waar het om informatiebeveiliging gaat kom je vaak op 3 aspecten uit:

  • Beschikbaarheid
     informatie moet (altijd) toegankelijk zijn.
  • Betrouwbaarheid
    informatie moet correct, up to date  en volledig zijn.
  • Exclusiviteit.
    Informatie moet alleen toegankelijk zijn voor de juiste personen

Als we kijken naar het eerste punt: Beschikbaarheid dan denkt de DBA meestal aan zaken als Backup en Recovery strategie├źn en eventueel inzet van standby databases om de data altijd benaderbaar te laten zijn. Echter er zijn zaken veel banaler in de database inrichting die zeker net zo belangrijk zijn, maar structureel worden vergeten.  Laten we een voorbeeld geven.

In de database bestaat de configuratie parameter: MAX_DUMP_FILE_SIZE. Deze heeft een default waarde van unlimited. Hiermee kan de file ongehinderd groeien. Nu zal de vraag zijn wat is het risico?  Een trace file wordt geplaatst in de DIAGNOSTIC_DEST. Dit is (meestal) dezelfde directory en filesysteem voor alle database op dezelfde server. Doordat er geen limiet op een trace file staat is het mogelijk de file te laten groeien zodat er geen diskruimte meer over is.  Hiermee kunnen er geen logfile entries meer geschreven worden voor alle databases op de server.

De facto zal de consequentie zijn dat alle databases gaan hangen en daarmee de informatie niet meer toegankelijk is. Op deze manier is het mogelijk een DDOS aanval uit te voeren.

Omdat dit om een standaard trace file gaat is het relatief eenvoudig een normale applicatie sessie een (zeer) grote trace file te laten genereren.  Door de MAX_DUMP_FILE_SIZE te beperken wordt het moeilijker dit te realiseren. We moeten er ons wel van bewust zijn dat dit een nadeel kan zijn bij het debuggen van bepaalde situaties.

Naast dit voorbeeld zijn er nog vele te benoemen waarbij security niet over patchen gaat, of over het inzetten van complexe, dure additionele opties, maar neerkomt op goed beheer en configuratie management.

We hopen dat we je met dit artikel, “Oracle database security; meer dan alleen maar patchen!”, op weg bent geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten. Wil je een cursus of training volgen over Oracle 23c new features? Laat het ons weten, we helpen je graag.

Scroll to Top