Oracle Database Security Assessment Tool (dbsat)

von

Mit dem Tool dbsat von Oracle können Schwachstellen in Oracle Datenbanken (Ab Version 10g) gesucht (und auch gefunden 😉 ) werden. Das Erstellen eines Reports ist ziemlich einfach, die Interpretation ist die Herausforderung. Aber auch dabei hilft Oracle.

Die Installation ist denkbar einfach: Unter Doc ID 2138254.1 kann einfach das Zipfile heruntergeladen werden und auf dem Datenbankserver entpackt werden, zB nach /home/oracle/dbsat. Zusätzlich muss noch ein User in der Datenbank angelegt werden:

create user dbsat identified by dbsat;
-- mit dem Kennwort sollte der User auch in dem Bericht auftauchen ;)
grant create session to dbsat;
grant select_catalog_role to dbsat;
grant select on sys.registry$history to dbsat;
grant select on sys.dba_users_with_defpwd to dbsat;
grant select on audsys.aud$unified to dbsat;
grant audit_viewer to dbsat;
grant capture_admin to dbsat;
grant DV_SECANALYST to dbsat;

dbsat selber besteht aus 3 Komponenten: collect, report und discover. Mit collect werden die Daten gesammelt, mit report wird daraus ein Menschenlesbarer Report erstellt und mit discover wird nach Mustern in der Datenbank gesucht um zB Kreditkarteninformationen zu finden. Normalerweise fragen die Komponenten nach einem Kennwort um die ZIP-Archive mit den Auswertungen zu schützen, wenn man aber automatisiert Auswertungen fahren möchte kann man mit dem Parameter „-n“ den Passwortschutz abschalten

Um die Sammlung zu starten einfach dieses Kommando nutzen, damit wird in die Datei AUSGABENAME (Keine Dateiendung) die Auswertung geschrieben

./dbsat collect -n dbsat@TNSALIAS AUSGABENAME

Nachdem dies durchgelaufen ist, kann ein Maschinenlesbarer Report gezogen werden:

./dbsat report -a -n AUSGABENAME

Dieser sollte dann genau angeschaut und Maßnahmen ergriffen werden. Nicht alles in dem Report ist wirklich ein Problem, aber zumindest kann man sich so bewusst machen was man eventuell noch verbessern kann.

Den Discover-Teil habe ich mir noch nicht so genau angeschaut, bisher gab es diese Anforderung noch nicht. Sollte sich das ändern, gibt es auf jeden Fall ein Update bzw einen neuen Artikel 😉

Schreibe einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..