Oracle DB-04. 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용

Oracle DB-04. 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용

[주요정보통신기반시설 MSIT] 데이터베이스(Oracle) 보안가이드

 

:: DB-04 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용

양호	관리자 권한이 필요한 계정 및 그룹에만 관리자 권한이 부여된 경우
취약	관리자 권한이 필요 없는 계정 및 그룹에 권한이 부여된 경우

 

> 관리자 권한을 보유한 계정 목록을 확인 > 담당자와의 인터뷰 > 일반 사용자 계정 판단 / DBA 권한을 가진 계정 확인

 

- DBA 권한을 가진 계정 조회 쿼리

SQL> SELECT grantee, granted_role, CASE when grantee ='SYS' THEN 'GOOD' when grantee ='SYSTEM' THEN 'GOOD' ELSE 'INTERVIEW' END AS CASE FROM dba_role_privs where granted_role='DBA';

 

 

- SYSDBA 권한을 가진 계정 조회 쿼리

SQL> SELECT username, sysdba, CASE when username ='SYS' and sysdba='TRUE' THEN 'GOOD' ELSE 'INTERVIEW' END AS CASE FROM V$PWFILE_USERS;

 

 

- SYSOPER 권한을 가진 계정 조회 쿼리

SQL> SELECT username, sysoper, CASE when username ='SYS' and sysdba='TRUE' THEN 'GOOD' ELSE 'INTERVIEW' END AS CASE FROM V$PWFILE_USERS;

 

No	관리자 권한	설명
1	DBA	사용자들이 소유한 데이터베이스객체를 관리하고 사용자들을 작성하고 변경하고 제거할 수 있도록 하는 모든 권한을 가집니다. 즉, 시스템 자원을 무제한적으로 사용하며 시스템 관리에 필요한 모든 권한을 부여할 수 있는 강력한 권한을 보유한 롤
2	SYSDBA	데이터베이스의 root, Administrator에 해당되는 관리자 권한이며 모든 데이터에 접근 할 수 있다. sysoper가 가지고 있는 권한을 모두 가지고 모든 system privilege 를 가지며 데이터베이스 생성 및 삭제의 권한을 추가적으로 가진다.
3	SYSOPER	데이터베이스 시작, 종료 및 상태 전환, 테이블스페이스 및 컨트롤 파일 백업, 데이터베이스 아카이브 또는 노아카이브 로그 모드 전환, 파라미터 파일 생성, 데이터베이스 완전 복구,접속 세션 제한 등의 권한을 가지고 있으며 sysoper 권한은 상기의 기본적인 권한을 수행할 수 있을 뿐 다른 유저 의 data를 볼 수 있는 권한은 없다.