Oracle 審計失敗的用戶登錄(Oracle audit)

時間  2021-08-15
標籤 linux sql 數據庫 安全 session oracle app tcp ide 欄目 Oracle 简体版
原文   原文鏈接

 對於在線交易系統,且Oracle用戶在使用缺省的profile的情形下,多用戶共享相同的數據庫用戶及密碼,任意用戶輸入錯誤密碼累計達到10次以上,其賬戶會被自動鎖定使得交易被迫臨時終止將產生不小的損失。故有必要對那些失敗的賬戶登錄進行分析以預估是否存在惡意***等。Oracle提供了審計功能用於審計那些失敗的Oracle用戶登錄來進行風險評估。本文便是描述如何開啓審計失敗的用戶登錄。本文不涉及審計的具體的描述信息,僅僅描述如何審計失敗的用戶登錄。詳細完整的審計你們能夠參考Oracle Database Security Guide。linux

一、賬戶被鎖定的情形
一般狀況下,賬戶能夠由DBA手動鎖定,也多是因爲錯誤的密碼輸入次數超出了profile中failed_login_attempts 次數的限制而被鎖定。sql

 

  1. a、手動鎖定的情形 數據庫

  2. sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like'USR%'安全

  3. USERNAME ACCOUNT_STATUS LOCK_DATE session

  4. ------------------------------ -------------------------------- ----------------- oracle

  5. USR2 OPENapp

  6. USR1 OPENtcp

  7. sys@SYBO2SZ> alteruser usr1 account lock; ide

  8. sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like'USR%'ui

  9. USERNAME ACCOUNT_STATUS LOCK_DATE 

  10. ------------------------------ -------------------------------- -----------------

  11. USR2 OPEN

  12. USR1 LOCKED 20131023 16:37:37 

  13. b、登錄失敗超出的情形 

  14. sys@SYBO2SZ> selectname,lcount fromuserwherename='USR2'

  15. NAME LCOUNT 

  16. ------------------------------ ----------

  17. USR2 10 

  18. sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like'USR%'

  19. USERNAME ACCOUNT_STATUS LOCK_DATE 

  20. -------------- ------------------ -----------------

  21. USR2 LOCKED(TIMED) 20131023 16:41:48 -->用戶usr2登錄10次以後賬戶被鎖定,其狀態不一樣於手動鎖定的用戶,爲LOCKED(TIMED)

  22. USR1 LOCKED 20131023 16:37:37 

a、手動鎖定的情形
sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like 'USR%';

USERNAME                       ACCOUNT_STATUS                   LOCK_DATE         
------------------------------ -------------------------------- ----------------- 
USR2                           OPEN
USR1                           OPEN

sys@SYBO2SZ> alter user usr1 account lock;

sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like 'USR%';

USERNAME                       ACCOUNT_STATUS                   LOCK_DATE
------------------------------ -------------------------------- -----------------
USR2                           OPEN
USR1                           LOCKED                           20131023 16:37:37

b、登錄失敗超出的情形
sys@SYBO2SZ> select name,lcount from user$ where name='USR2';

NAME                               LCOUNT
------------------------------ ----------
USR2                                   10

sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like 'USR%';

USERNAME       ACCOUNT_STATUS     LOCK_DATE
-------------- ------------------ -----------------
USR2           LOCKED(TIMED)      20131023 16:41:48   -->用戶usr2登錄10次以後賬戶被鎖定,其狀態不一樣於手動鎖定的用戶,爲LOCKED(TIMED)
USR1           LOCKED             20131023 16:37:37

二、如何開啓審計失敗的用戶登錄
開啓審計須要作以下設置
a、設置參數 audit_trail = { none | os | db [, extended] | xml [, extended] }
b、設置參數 audit_file_dest = '<os_dir>'
c、開啓登錄失敗審計 audit session whenever not successful;
d、執行下面的SQL來查看那些用戶經歷了登錄失敗的情形
select userid, userhost, terminal, clientid from aud$ where returncode=1017;

關於參數audit_trail,
當值爲DB時,非sys賬戶的審計信息都會被記錄到表SYS.AUD$,會佔用system表空間,存在資源佔用問題,固然也可將其部署到非系統表空間。sys賬戶登錄成功與失敗都會生成審計文件。
當值爲OS時,全部的審計記錄被寫入到操做系統文件,對於高度安全的數據庫,Oracle建議採用該設置,理由很簡單,高度安全,寫入DB的話,整個系統忙得不亦樂乎。
若是數據庫處於只讀模式且該參數值爲DB時,Oracle 內部設置audit_trail爲OS,細節可查看alert log。其他的幾個值可參考Oracle Database Reference。

三、演示配置審計登錄失敗(oracle 10g)

[sql] view plain copy print ?

  1. goex_admin@SYBO2SZ> select * from v$version where rownum<2; 

  2. BANNER 

  3. ----------------------------------------------------------------

  4. Oracle Database 10g Release 10.2.0.3.0 - 64bit Production 

  5. --Oracle 10g下當前數據庫的配置,以下,也是缺省配置

  6. goex_admin@SYBO2SZ> show parameter audit 

  7. NAME TYPE VALUE 

  8. ------------------------------------ ----------- ------------------------------

  9. audit_file_dest string /users/oracle/OraHome10g/rdbms 

  10. /audit 

  11. audit_sys_operations boolean FALSE

  12. audit_syslog_level string 

  13. audit_trail string NONE 

  14. --下面修改存儲審計文件位置

  15. goex_admin@SYBO2SZ> ho mkdir -p /u02/database/SYBO2SZ/audit 

  16. goex_admin@SYBO2SZ> alter system set audit_trail='DB' scope=spfile; 

  17. goex_admin@SYBO2SZ> alter system set audit_file_dest='/u02/database/SYBO2SZ/audit' scope=spfile; 

  18. goex_admin@SYBO2SZ> audit session whenever not successful; 

  19. goex_admin@SYBO2SZ> conn / as sysdba 

  20. sys@SYBO2SZ> shutdown immediate; 

  21. sys@SYBO2SZ> startup 

  22. sys@SYBO2SZ> ho ls /u02/database/SYBO2SZ/audit 

  23. C:\Users\robinson.cheng>sqlplus scott/wrongpwd@sybo2sz --嘗試使用錯誤的密碼從客戶端來登錄

  24. sys@SYBO2SZ> select userid, userhost, terminal from aud$ where returncode=1017; 

  25. USERID USERHOST TERMINAL 

  26. ------------------------------ ------------------------------ ------------------------------ 

  27. SCOTT TRADESZ\DEVELOPERPC01 DEVELOPERPC01 

  28. SCOTT TRADESZ\DEVELOPERPC01 DEVELOPERPC01 

  29. SCOTT TRADESZ\DEVELOPERPC01 DEVELOPERPC01 

  30. USR2 SZDB pts/1 

  31. USR2 SZDB pts/1 

  32. --有關具體的審計生成的OS文件參考接下來的演示

goex_admin@SYBO2SZ> select * from v$version where rownum<2;

BANNER
----------------------------------------------------------------
Oracle Database 10g Release 10.2.0.3.0 - 64bit Production

--Oracle 10g下當前數據庫的配置,以下,也是缺省配置
goex_admin@SYBO2SZ> show parameter audit

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest                      string      /users/oracle/OraHome10g/rdbms
                                                 /audit
audit_sys_operations                 boolean     FALSE
audit_syslog_level                   string
audit_trail                          string      NONE

--下面修改存儲審計文件位置
goex_admin@SYBO2SZ> ho mkdir -p /u02/database/SYBO2SZ/audit

goex_admin@SYBO2SZ> alter system set audit_trail='DB' scope=spfile;

goex_admin@SYBO2SZ> alter system set audit_file_dest='/u02/database/SYBO2SZ/audit' scope=spfile;

goex_admin@SYBO2SZ> audit session whenever not successful;

goex_admin@SYBO2SZ> conn / as sysdba

sys@SYBO2SZ> shutdown immediate;

sys@SYBO2SZ> startup

sys@SYBO2SZ> ho ls /u02/database/SYBO2SZ/audit

C:\Users\robinson.cheng>sqlplus scott/wrongpwd@sybo2sz   --嘗試使用錯誤的密碼從客戶端來登錄

sys@SYBO2SZ> select userid, userhost, terminal from aud$ where returncode=1017;

USERID                         USERHOST                       TERMINAL                       
------------------------------ ------------------------------ ------------------------------ 
SCOTT                          TRADESZ\DEVELOPERPC01       DEVELOPERPC01
SCOTT                          TRADESZ\DEVELOPERPC01       DEVELOPERPC01
SCOTT                          TRADESZ\DEVELOPERPC01       DEVELOPERPC01
USR2                           SZDB                           pts/1
USR2                           SZDB                           pts/1
--有關具體的審計生成的OS文件參考接下來的演示

四、演示配置審計登錄失敗(oracle 11g)

[sql] view plain copy print ?

  1. --Oracle 11g下,缺省已經開啓了審計功能,也就是說若是審計失敗的登錄賬戶,無須單獨執行audit session whenever not successful;

  2. sys@USBO> select * from v$version where rownum<2; 

  3. BANNER 

  4. -------------------------------------------------------------------------------------------------------

  5. Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 

  6. sys@USBO> show parameter audit 

  7. NAME TYPE VALUE 

  8. ------------------------------------ --------------------------------- ------------------------------

  9. audit_file_dest string /u03/database/usbo/adump 

  10. audit_sys_operations boolean FALSE

  11. audit_syslog_level string 

  12. audit_trail string DB 

  13. --下面是審計產生的文件

  14. sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2 

  15. -rw-r----- 1 oracle asmadmin 758 Oct 21 16:29 usbo_ora_4502_1.aud

  16. -rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud

  17. --使用系統用戶登錄

  18. C:\Users\robinson.cheng>sqlplus sys/oracle@usbo as sysdba 

  19. sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2 

  20. -rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud

  21. -rw-r----- 1 oracle asmadmin 773 Oct 22 15:41 usbo_ora_13497_1.aud

  22. --系統用戶登錄被審計,審計文件中給出了比較詳細的描述

  23. sys@USBO> ho more /u03/database/usbo/adump/usbo_ora_13497_1.aud 

  24. Audit file /u03/database/usbo/adump/usbo_ora_13497_1.aud 

  25. Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 

  26. With the Partitioning, Real Application Clusters, OLAP, Data Mining 

  27. andReal Application Testing options 

  28. ORACLE_HOME = /u01/app/oracle/db_1 

  29. System name: Linux 

  30. Node name: linux1.orasrv.com 

  31. Release: 2.6.18-194.el5PAE 

  32. Version: #1 SMP Mon Mar 29 20:19:03 EDT 2010 

  33. Machine: i686 

  34. Instance name: usbo 

  35. Redo thread mounted by this instance: 1 

  36. Oracle process number: 31 

  37. Unix process pid: 13497, p_w_picpath: oracle@linux1.orasrv.com 

  38. Tue Oct 22 15:41:45 2013 +08:00 

  39. LENGTH : '180'

  40. ACTION :[7] 'CONNECT'

  41. DATABASEUSER:[3] 'sys'

  42. PRIVILEGE :[6] 'SYSDBA'

  43. CLIENT USER:[14] 'Robinson.Cheng'

  44. CLIENT TERMINAL:[13] 'DEVELOPERPC01'

  45. STATUS:[1] '0'---->登錄成功的狀態碼

  46. DBID:[10] '3456778221'

  47. C:\Users\robinson.cheng>sqlplus sys/wrongpwd@usbo as sysdba 

  48. [oracle@linux1 adump]$ more usbo_ora_13677_1.aud 

  49. Audit file /u03/database/usbo/adump/usbo_ora_13677_1.aud 

  50. Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 

  51. With the Partitioning, Real Application Clusters, OLAP, Data Mining 

  52. andReal Application Testing options 

  53. ORACLE_HOME = /u01/app/oracle/db_1 

  54. System name: Linux 

  55. Node name: linux1.orasrv.com 

  56. Release: 2.6.18-194.el5PAE 

  57. Version: #1 SMP Mon Mar 29 20:19:03 EDT 2010 

  58. Machine: i686 

  59. Instance name: usbo 

  60. Redo thread mounted by this instance: 1 

  61. Oracle process number: 31 

  62. Unix process pid: 13677, p_w_picpath: oracle@linux1.orasrv.com 

  63. Tue Oct 22 15:44:59 2013 +08:00 

  64. LENGTH : '181'

  65. ACTION :[7] 'CONNECT'

  66. DATABASEUSER:[3] 'sys'

  67. PRIVILEGE :[4] 'NONE'

  68. CLIENT USER:[14] 'Robinson.Cheng'

  69. CLIENT TERMINAL:[13] 'DEVELOPERPC01'

  70. STATUS:[4] '1017'---->登錄失敗的狀態碼1017

  71. DBID:[10] '3456778221'

  72. --下面使用普通的賬戶登錄,沒有相應的os審計文件,可是被添加到了表SYS.AUD$

  73. C:\Users\robinson.cheng>sqlplus scott/tg@usbo 

  74. --Author : Leshami

  75. --Blog : http://blog.csdn.net/leshami

  76. sys@USBO> select sessionid,userid,userhost,comment$text,spare1,ntimestamp# from aud$ where returncode=1017; 

  77. SESSIONID USERID USERHOST COMMENT$TEXT SPARE1 NTIMESTAMP# 

  78. ---------- ------ ------------------------- ---------------------------------------- ------------------ -------------------------------

  79. 1470011 SCOTT TRADESZ\DEVELOPERPC01 Authenticated byDATABASE; Client addre Robinson.Cheng 21-OCT-13 08.51.15.528497 AM 

  80. ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168 

  81. .7.133)(PORT=53432)) 

  82. 1480153 SCOTT TRADESZ\DEVELOPERPC01 Authenticated byDATABASE; Client addre Robinson.Cheng 22-OCT-13 08.06.49.012661 AM 

  83. ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168 

  84. .7.133)(PORT=60613)) 

  85. 1480154 SCOTT TRADESZ\DEVELOPERPC01 Authenticated byDATABASE; Client addre Robinson.Cheng 22-OCT-13 08.09.41.927143 AM 

  86. ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168 

  87. .7.133)(PORT=60622)) 

--Oracle 11g下,缺省已經開啓了審計功能,也就是說若是審計失敗的登錄賬戶,無須單獨執行audit session whenever not successful;
sys@USBO> select * from v$version where rownum<2;

BANNER
-------------------------------------------------------------------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
 
sys@USBO> show parameter audit

NAME                                 TYPE                              VALUE
------------------------------------ --------------------------------- ------------------------------
audit_file_dest                      string                            /u03/database/usbo/adump
audit_sys_operations                 boolean                           FALSE
audit_syslog_level                   string
audit_trail                          string                            DB

--下面是審計產生的文件
sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2
-rw-r----- 1 oracle asmadmin 758 Oct 21 16:29 usbo_ora_4502_1.aud
-rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud

--使用系統用戶登錄
C:\Users\robinson.cheng>sqlplus sys/oracle@usbo as sysdba

sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2
-rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud
-rw-r----- 1 oracle asmadmin 773 Oct 22 15:41 usbo_ora_13497_1.aud

--系統用戶登錄被審計,審計文件中給出了比較詳細的描述
sys@USBO> ho more /u03/database/usbo/adump/usbo_ora_13497_1.aud
Audit file /u03/database/usbo/adump/usbo_ora_13497_1.aud
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
ORACLE_HOME = /u01/app/oracle/db_1
System name:    Linux
Node name:      linux1.orasrv.com
Release:        2.6.18-194.el5PAE
Version:        #1 SMP Mon Mar 29 20:19:03 EDT 2010
Machine:        i686
Instance name: usbo
Redo thread mounted by this instance: 1
Oracle process number: 31
Unix process pid: 13497, p_w_picpath: oracle@linux1.orasrv.com

Tue Oct 22 15:41:45 2013 +08:00
LENGTH : '180'
ACTION :[7] 'CONNECT'
DATABASE USER:[3] 'sys'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[14] 'Robinson.Cheng'
CLIENT TERMINAL:[13] 'DEVELOPERPC01'
STATUS:[1] '0'             ---->登錄成功的狀態碼
DBID:[10] '3456778221'

C:\Users\robinson.cheng>sqlplus sys/wrongpwd@usbo as sysdba
[oracle@linux1 adump]$ more usbo_ora_13677_1.aud
Audit file /u03/database/usbo/adump/usbo_ora_13677_1.aud
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
ORACLE_HOME = /u01/app/oracle/db_1
System name:    Linux
Node name:      linux1.orasrv.com
Release:        2.6.18-194.el5PAE
Version:        #1 SMP Mon Mar 29 20:19:03 EDT 2010
Machine:        i686
Instance name: usbo
Redo thread mounted by this instance: 1
Oracle process number: 31
Unix process pid: 13677, p_w_picpath: oracle@linux1.orasrv.com

Tue Oct 22 15:44:59 2013 +08:00
LENGTH : '181'
ACTION :[7] 'CONNECT'
DATABASE USER:[3] 'sys'
PRIVILEGE :[4] 'NONE'
CLIENT USER:[14] 'Robinson.Cheng'
CLIENT TERMINAL:[13] 'DEVELOPERPC01'
STATUS:[4] '1017'   ---->登錄失敗的狀態碼1017
DBID:[10] '3456778221'

--下面使用普通的賬戶登錄,沒有相應的os審計文件,可是被添加到了表SYS.AUD$
C:\Users\robinson.cheng>sqlplus scott/tg@usbo

--Author : Leshami
--Blog   : http://blog.csdn.net/leshami

sys@USBO> select sessionid,userid,userhost,comment$text,spare1,ntimestamp# from aud$ where returncode=1017;

SESSIONID USERID     USERHOST                  COMMENT$TEXT                             SPARE1             NTIMESTAMP#                 
---------- ------ ------------------------- ---------------------------------------- ------------------ -------------------------------
   1470011 SCOTT  TRADESZ\DEVELOPERPC01  Authenticated by: DATABASE; Client addre Robinson.Cheng     21-OCT-13 08.51.15.528497 AM
                                            ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168
                                            .7.133)(PORT=53432))

   1480153 SCOTT  TRADESZ\DEVELOPERPC01  Authenticated by: DATABASE; Client addre Robinson.Cheng     22-OCT-13 08.06.49.012661 AM
                                            ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168
                                            .7.133)(PORT=60613))

   1480154 SCOTT  TRADESZ\DEVELOPERPC01  Authenticated by: DATABASE; Client addre Robinson.Cheng     22-OCT-13 08.09.41.927143 AM
                                            ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168
                                                     .7.133)(PORT=60622))

五、使用過程分析失敗登錄的審計記錄

[sql] view plain copy print ?

  1. CREATEORREPLACEPROCEDURE auditlogin (since VARCHAR2, times PLS_INTEGER) 

  2. IS

  3. user_id VARCHAR2 (20); 

  4. CURSOR c1 

  5. IS

  6. SELECT userid, COUNT (*) 

  7. FROM sys.aud$ 

  8. WHERE returncode = '1017'AND ntimestamp# >= TO_DATE (since, 'yyyy-mm-dd'

  9. GROUPBY userid; 

  10. CURSOR c2 

  11. IS

  12. SELECT userhost, terminal, TO_CHAR (ntimestamp#, 'YYYY-MM-DD:HH24:MI:SS'

  13. FROM sys.aud$ 

  14. WHERE returncode = '1017'AND ntimestamp# >= TO_DATE (since, 'yyyy-mm-dd'AND userid = user_id; 

  15. ct PLS_INTEGER; 

  16. v_userhost VARCHAR2 (40); 

  17. v_terminal VARCHAR (40); 

  18. v_date VARCHAR2 (40); 

  19. BEGIN

  20. OPEN c1; 

  21. DBMS_OUTPUT.enable (1024000); 

  22. LOOP 

  23. FETCH c1 

  24. INTO user_id, ct; 

  25. EXIT WHEN c1%NOTFOUND; 

  26. IF (ct >= times) 

  27. THEN

  28. DBMS_OUTPUT.put_line ('USER BROKEN ALARM:' || user_id); 

  29. OPEN c2; 

  30. LOOP 

  31. FETCH c2 

  32. INTO v_userhost, v_terminal, v_date; 

  33. DBMS_OUTPUT.put_line (CHR (9) || 'HOST:' || v_userhost || ',TERM:' || v_terminal || ',TIME:' || v_date); 

  34. EXIT WHEN c2%NOTFOUND; 

  35. END LOOP; 

  36. CLOSE c2; 

  37. END IF; 

  38. END LOOP; 

  39. CLOSE c1; 

  40. END

  42. sys@USBO> exec auditlogin('2013-10-22',2); 

  43. USER BROKEN ALARM:SCOTT 

  44. HOST:TRADESZ\DEVELOPERPC01,TERM:DEVELOPERPC01,TIME:2013-10-22:08:06:49 

  45. HOST:TRADESZ\DEVELOPERPC01,TERM:DEVELOPERPC01,TIME:2013-10-22:08:09:41 

  46. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:08:58:34 

  47. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:08:58:34 

  48. USER BROKEN ALARM:USR1 

  49. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:09:01:36 

  50. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:09:11:13 

  51. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:09:11:13 

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程