Налаштування парольного політики в СУБД Oracle, Інші СУБД, Бази даних, статті

 Автор: Олександр Поляков, провідний аудитор інформаційної безпеки компанії Digital Security

У статті описані покрокові інструкції по налаштуванню парольного політики популярної СУБД Oracle відповідно до вимог стандарту PCIDSS.
 
Досить часто при проведенні аудиту на відповідність стандарту PCI DSS, та й аудиту безпеки в цілому, доводиться стикатися з відсутністю правильно налаштованих парольних політик. Власне через цього в підсумку ми і отримуємо на виході паролі типу “12345” та інші вже приїлися аудиторського оці набори символів, які потім миготять в черговому огляді найпопулярніших паролів. І якщо на контролері домену сяк політика налаштована, та й то, в основному, тому що настроюється за замовчуванням, то в СУБД ми бачимо досить сумну картину.

А адже чим по сотні разів на дню пояснювати користувачам кошмари про підбір паролів, чи не простіше один раз впровадити адекватну парольний політику і позбутися вже як мінімум від 90% популярних паролів, тим більше, що в цьому немає нічого складного і весь набір технічних вимог розділу 8.5 стандарту, як не дивно, можна реалізувати навіть не вдаючись до додаткових додатків, витративши мінімальну кількість часу.

Отже, не будемо більше втрачати дорогоцінного часу і приступимо до налаштування парольного політики в
СУБД Oracle. Визначимося з технічними вимогами:




  1. Зміна пароля користувача не рідше одного разу на 90 днів.


  2. При зміні пароля забороняється вибір як нового-якого з останніх чотирьох


  3. використовувалися даними користувачем паролів.


  4. Блокування облікового запису після шести невдалих спроб введення пароля.


  5. Блокування облікового запису користувача не менш ніж на 30 хвилин, або поки


  6. адміністратор не зніме блокування.


  7. Блокування робочої сесії користувача не більш ніж через 15 хвилин простою.


  8. Використання в паролі не менше семи символів.


  9. Використання в паролі як цифр, так і букв.

Тепер перейдемо до реалізації. Власне, основна частина вимог реалізується за допомогою
настройки профілів:

 
•  Створюємо новий профіль для парольного політики з відповідними значеннями:

 
CREATE PROFILE  BANK_USERS LIMIT
PASSWORD_LIFE_TIME 80 – вимога 1 і 2
PASSWORD_GRACE_TIME 10 – вимога 1 і 2
PASSWORD_REUSE_TIME 450 – вимога 3

PASSWORD_REUSE_MAX 4 – вимога 3
FAILED_LOGIN_ATTEMPTS 6 – вимога 4
PASSWORD_LOCK_TIME 1/48 – вимога 5
IDLE_TIME 15; – вимога 6

Перевірити встановлені значення можна таким запитом:
select PROFILE, RESOURCE_NAME from dba_profiles;

 
• Для виконання вимоги 7 необхідно вказати так звану функцію перевірки, в якій можна налаштувати більш тонкі параметри і навіть, при бажанні, впровадити будь-які свої функції. Приклад даної функції знаходиться за замовчуванням в директорії $ ORACLE_HOME / rdbms / admin / UTLPWDMG.SQL. Для відповідності вимогам необхідно внести в цю функцію одна зміна, а саме – знайти в скрипті рядок, що відповідає за довжину пароля та змінити значення з 4 на 7 (від себе додам, що краще поставити 9):

 
— Check for the minimum length of the password
IF length(password) < 7 THEN
raise_application_error(-20002, “Password length less than 7”);
END IF;

Для того, щоб ввести в експлуатацію цю функцію, необхідно запустити модифікований в попередньому пункті скрипт UTLPWDMG.SQL від імені користувача SYS.
Після чого необхідно додати її в наш профіль наступною командою:

 
Alter profile BANK_USERS limit PASSWORD_VERIFY_FUNCTION verify_function;

• Призначити кожному користувачеві створений профіль:

Alter user USERNAME set profile BANK_USERS;

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*