Oracle Vault是Oracle推出的一套比较完整的运维安全体系框架。在很多运维机构中,Vault是非常好的可选择方案。
Oracle Vault的原则是安全职责的拆分保护。从原来数据库管理员sys承担安全职责这个假设,转变为单独安全人员dbvowner和dbvaccount manager为安全配置中心。之后,从行为、领域等多个层面设定了很多安全区,对安全区采用额外的保护策略,将管理员屏蔽住。
注意:Vault的出发点是我们进行选型的一个重要考虑。安全威胁是多种类、多层次的。Oracle Vault是针对运维机构对“自己人”的一种约束设置,形成管理员和安全员相互牵制的结构。
数据库管理员虽然可以进行管理工作,但是却不能访问特定敏感区域。而安全员虽然有安全授权能力,但是没有管理员数据授权(系统权限和数据权限),安全员也不能访问敏感数据。
这个过程中是有一些漏洞的,比如管理员存在修改安全员密码,夺取安全员权限的可能,所以Oracle Vault在安装之后,有一些默认的领域和命令规则,将管理员严格的进行束缚。
此外,管理员有一些日常操作,如使用DB Control、Datapump和Recovery Manager,都有触动安全领域规则的风险。这样的情况Oracle是如何处理呢?本篇从Data Pump操作入手,进行简单讨论。
1、Data Pump与Vault
Oracle Data Pump(数据泵)是Oracle10g以后推出的数据备份管理工具。作为Exp/Imp的进化版,Data Pump对于各种Oracle新特性、功能支持力度是比较好的,在海量数据操作的时候,Data Pump也是有独特的优势。
如果我们仔细研究过Data Pump操作过程,就可以得知,Oracle Data Pump进行数据导入的过程并不是一个整体,而是一系列动作的集合。比如:当进行数据导入Schema模式的时候,如果目标数据库没有这个用户,Data Pump时会创建出这个用户。这个过程其实就是一般的create user xxx语句执行。
所以,进行export和import数据的过程,是一个多种权限(系统权限)综合的过程。这也就是为什么Oracle中导入导出数据库的权限是两个角色权限(Import/Export Full Database)。
那么,如果管理员(备份操作员)需要进行数据导入导出敏感数据的时候,是要触动到敏感信息的。Oracle Vault环境下我们是怎么配置呢?
2、默认行为配置
当前我们实验选择Oracle 11gR2版本,数据库已经配置Vault组件。对scott数据进行保护,即使sys管理员也是无法访问的。
SQL> show user;
User is "SYS"
SQL> select count(*) from scott.emp;
select count(*) from scott.emp
ORA-01031: 权限不足
创建directory对象,导出数据。
[oracle@SimpleLinux ~]$ cd /dumps/
[oracle@SimpleLinux dumps]$ ls -l
total 0
Oracle中创建directory对象dumps。尝试进行导出。
[oracle@SimpleLinux dumps]$ expdp "/ as sysdba" directory=dumps schemas=scott dumpfile=scottvault.dmp
Export: Release 11.2.0.4.0 - Production on Fri Apr 4 15:21:30 2014
Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved.
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
(篇幅原因,有省略……)
Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/REF_CONSTRAINT
ORA-39127: unexpected error from call to export_string :=SYS.DBMS_TRANSFORM_EXIMP.INSTANCE_INFO_EXP('AQ$_MGMT_NOTIFY_QTABLE_S','SYSMAN',1,1,'11.02.00.04.00',newblock)
ORA-01031: insufficient privileges
ORA-06512: at "SYS.DBMS_TRANSFORM_EXIMP", line 197
ORA-06512: at line 1
ORA-06512: at "SYS.DBMS_METADATA", line 9876
ORA-39127: unexpected error from call to export_string :=SYS.DBMS_TRANSFORM_EXIMP.INSTANCE_INFO_EXP('AQ$_MGMT_LOADER_QTABLE_S','SYSMAN',1,1,'11.02.00.04.00',newblock)
ORA-01031: insufficient privileges
ORA-06512: at "SYS.DBMS_TRANSFORM_EXIMP", line 197
ORA-06512: at line 1
ORA-06512: at "SYS.DBMS_METADATA", line 9876
Processing object type SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA
ORA-31693: Table data object "SCOTT"."DEPT" failed to load/unload and is being skipped due to error:
ORA-02354: error in exporting/importing data
ORA-28116: insufficient privileges to do direct path access
ORA-31693: Table data object "SCOTT"."EMP" failed to load/unload and is being skipped due to error:
ORA-02354: error in exporting/importing data
ORA-28116: insufficient privileges to do direct path access
ORA-31693: Table data object "SCOTT"."SALGRADE" failed to load/unload and is being skipped due to error:
ORA-02354: error in exporting/importing data
ORA-28116: insufficient privileges to do direct path access
. . exported "SCOTT"."BONUS" 0 KB 0 rows
Master table "SYS"."SYS_EXPORT_SCHEMA_01" successfully loaded/unloaded
******************************************************************************
Dump file set for SYS.SYS_EXPORT_SCHEMA_01 is:
/dumps/scottvault.dmp
Job "SYS"."SYS_EXPORT_SCHEMA_01" completed with 5 error(s) at Fri Apr 4 15:22:22 2014 elapsed 0 00:00:41
从报错信息中,我们看到Data Pump本质就是调用一系列的包方法,来将数据导出。Sys用户是有导出数据权限的,但是默认情况如果碰触敏感信息,也是报错失败。
更多详情见请继续阅读下一页的精彩内容: