Project Lockdown
今日はORACLE TECHNOLOGY NETWORK(OTN)よりProject
Lockdownという記事をご紹介します。
Lockdownとは囚人を監禁するというような意味です。
この記事ではDBA向けのSecurity強化方法のレクチャーが複数の
フェーズに分けて紹介されています。
今回はその中でもDBA権限の定期的な処理を
Oracleのスケジューラに登録することで
DBAパスワードを隠蔽しようといったレクチャーの一部を
ピックアップしました。
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
記事本文
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◆ Project Lockdown
3.3 Move DBA Scripts to Scheduler
Background
What about those rather common DBA scripts that
require a database login -- for statistics
collection, index rebuilding, and so on?
Traditionally DBAs use the cron (or AT, in Windows)
job approach to run jobs, but there are two risks here:
1.If this script needs to login to the database --
and most DBA scripts do -- the userid and passwords
must be placed in the script or somehow passed
to the script. So, anyone with access to this
script will be able to learn the password.
2.Worse, anyone with access to the server can
issue a ps -aef command and see the password
from the process name.
■ この記事のTOPページ
http://www.oracle.com/technology/pub/articles/project_lockdown/index.html?msgid=4836604
■ 引用ページ
http://www.oracle.com/technology/pub/articles/project_lockdown/phase3.html#3.3
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
英語の語順に近い解釈
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◆ Project Lockdown
3.3 Move DBA Scripts to Scheduler
DBAスクリプトをスケジューラに登録
Background
What about those rather common DBA scripts
一般的なDBAスクリプトについてどうしますか?
that require a database login
DBログインを必要とするようなDBAスクリプト
-- for statistics collection,
統計情報を収集したり、
index rebuilding, and so on?
インデクスをリビルドしたり、等々。
Traditionally DBAs use the cron (or AT, in Windows) job
昔のDBAならはcron(windowsならat)を使います。
approach to run jobs,
jobを実行する。
but there are two risks here:
しかし2つのリスクがそこには存在します。
1.If this script needs to login to the database
もしそのスクリプトがDBログインのために必要とするなら
-- and most DBA scripts do --
(ほとんどのスクリプトではそれが必要)
the userid and passwords
ユーザIDとパスワードが
must be placed in the script
スクリプト内に置かれている、
or somehow passed to the script.
もしくはスクリプトに引数などでわたされる。
So, anyone with access to this script
だから、そのスクリプトのアクセス権を持つ誰かが
will be able to learn the password.
パスワードを知ってしまう。
2.Worse, anyone with access to the server
悪いことにそのサーバーへのアクセス権を持つ誰か
can issue a ps -aef command
ps -aefコマンドを発行できる場合、
and see the password
そしてパスワードを見れてしまう場合
from the process name.
psコマンドで表示されたプロセス名から
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
解釈のポイント
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
that require a database login
※that以下は前述のscriptを説明
-- for statistics collection,
※さらにscriptを詳しく説明
Traditionally DBAs use the cron (or AT, in Windows) job
※cron(くーろん)はunixの一般的なjobスケジューリングツール
must be placed in the script
or somehow passed to the script.
※良くあるのはシェルの中でsqlplusコマンドをパスワードつきで
直接記述したり、パスワードは環境変数などにして
別のファイルから読み込むなどの方法があります。
can issue a ps -aef command
※psコマンドは現在動いているプロセスを確認できるUNIXコマンド
-aefはそのコマンドに対するオプション
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
解説
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
今回引用したのは実際の方法の説明ではなく、
それに至る前の背景の解説部分です。
実際のスケジュール方法などは実際のページで
コピーペーストできるような例が記載されています。
例はrepeat_intervalでjobの実行間隔を指定していますが、
10gではwindowという概念で実行期間を定義して、
そのwindowに対してjobをアサインすることでより
柔軟な運用が可能になっています。
以下のURLにも説明が記載されています。
http://download-west.oracle.com/docs/cd/B19306_01/server.102/b14231/schedover.htm#i1106396
Lockdownという記事をご紹介します。
Lockdownとは囚人を監禁するというような意味です。
この記事ではDBA向けのSecurity強化方法のレクチャーが複数の
フェーズに分けて紹介されています。
今回はその中でもDBA権限の定期的な処理を
Oracleのスケジューラに登録することで
DBAパスワードを隠蔽しようといったレクチャーの一部を
ピックアップしました。
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
記事本文
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◆ Project Lockdown
3.3 Move DBA Scripts to Scheduler
Background
What about those rather common DBA scripts that
require a database login -- for statistics
collection, index rebuilding, and so on?
Traditionally DBAs use the cron (or AT, in Windows)
job approach to run jobs, but there are two risks here:
1.If this script needs to login to the database --
and most DBA scripts do -- the userid and passwords
must be placed in the script or somehow passed
to the script. So, anyone with access to this
script will be able to learn the password.
2.Worse, anyone with access to the server can
issue a ps -aef command and see the password
from the process name.
■ この記事のTOPページ
http://www.oracle.com/technology/pub/articles/project_lockdown/index.html?msgid=4836604
■ 引用ページ
http://www.oracle.com/technology/pub/articles/project_lockdown/phase3.html#3.3
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
英語の語順に近い解釈
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◆ Project Lockdown
3.3 Move DBA Scripts to Scheduler
DBAスクリプトをスケジューラに登録
Background
What about those rather common DBA scripts
一般的なDBAスクリプトについてどうしますか?
that require a database login
DBログインを必要とするようなDBAスクリプト
-- for statistics collection,
統計情報を収集したり、
index rebuilding, and so on?
インデクスをリビルドしたり、等々。
Traditionally DBAs use the cron (or AT, in Windows) job
昔のDBAならはcron(windowsならat)を使います。
approach to run jobs,
jobを実行する。
but there are two risks here:
しかし2つのリスクがそこには存在します。
1.If this script needs to login to the database
もしそのスクリプトがDBログインのために必要とするなら
-- and most DBA scripts do --
(ほとんどのスクリプトではそれが必要)
the userid and passwords
ユーザIDとパスワードが
must be placed in the script
スクリプト内に置かれている、
or somehow passed to the script.
もしくはスクリプトに引数などでわたされる。
So, anyone with access to this script
だから、そのスクリプトのアクセス権を持つ誰かが
will be able to learn the password.
パスワードを知ってしまう。
2.Worse, anyone with access to the server
悪いことにそのサーバーへのアクセス権を持つ誰か
can issue a ps -aef command
ps -aefコマンドを発行できる場合、
and see the password
そしてパスワードを見れてしまう場合
from the process name.
psコマンドで表示されたプロセス名から
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
解釈のポイント
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
that require a database login
※that以下は前述のscriptを説明
-- for statistics collection,
※さらにscriptを詳しく説明
Traditionally DBAs use the cron (or AT, in Windows) job
※cron(くーろん)はunixの一般的なjobスケジューリングツール
must be placed in the script
or somehow passed to the script.
※良くあるのはシェルの中でsqlplusコマンドをパスワードつきで
直接記述したり、パスワードは環境変数などにして
別のファイルから読み込むなどの方法があります。
can issue a ps -aef command
※psコマンドは現在動いているプロセスを確認できるUNIXコマンド
-aefはそのコマンドに対するオプション
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
解説
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
今回引用したのは実際の方法の説明ではなく、
それに至る前の背景の解説部分です。
実際のスケジュール方法などは実際のページで
コピーペーストできるような例が記載されています。
例はrepeat_intervalでjobの実行間隔を指定していますが、
10gではwindowという概念で実行期間を定義して、
そのwindowに対してjobをアサインすることでより
柔軟な運用が可能になっています。
以下のURLにも説明が記載されています。
http://download-west.oracle.com/docs/cd/B19306_01/server.102/b14231/schedover.htm#i1106396
コメントを投稿