数据库安全

8.2.2　数据库安全——弱点和例子

下面列出一些常用数据库服务器的安全漏洞和配置缺陷。

1.安全特性缺陷

大多数关系数据库已经存在有十年了，已经是相当成熟的产品。但不幸的是，IT安全专家对网络和操作系统要求的许多特性在多数关系数据库上还没有被使用。

2.没有内置一些基本安全策略（表8-1）

表8-1　常见数据库基本安全策略缺陷

由于这些数据库都是“端口性”的，操作系统核心安全机制不提供数据库的网络连接，例如MS SQL Server，它可以使用Windows NT的安全机制来弥补上面的缺陷。但是，多数运行MS SQL Server的环境并不一定都是Windows NT。此外，执行也是一个问题，如果正在运行Oracle 8，管理员怎么知道这些安全特性正在被使用呢？

若上面列举的这些特性同时出现，后果将更加严重。由于系统管理员账号不能改变（SQL Server和Sybase是“as”，Oracle是“system”和“sys”），如果没有设置密码，入侵者就能直接登录并攻击数据库服务器，没有任何东西能够阻止他们获得更高权限的系统账号。

3.数据库账号管理

多数数据库提供的基本安全特性，都没有机制来限制用户必须选择健壮的密码。这就需要更加谨慎地控制和管理。也有一些额外的功能来管理和保护整个密码表。比如，Oracle系统有超过10个特殊的默认用户账号和密码，并且有特定的密码来管理一些数据库操作，例如数据库的启动、控制网络监听进程和远程数据库登陆特权等。许多系统密码都能给入侵者以完全访问数据库的机会，更甚的是，有些系统密码就储存在操作系统中的普通文本文件中。比如Oracle内部密码，它储存在strXXX.cmd文件中，其中XXX是Oracle系统ID和SID，默认是“ORCL”。这个密码用于数据库启动进程，提供完全访问数据库资源权限。这个文件在Windows NT中需要设置权限。

Oracle监听进程密码则保存在文件“listener.ora”（保存着所有的Oracle执行密码）中，用于启动和停止Oracle的监听进程。它需要设置一个健壮的密码来代替默认的，并且必须对访问设置权限。入侵者可以通过这个弱点进行DOS攻击。

Oracle内部密码——“orapw”文件权限控制。Oracle内部密码和账号密码允许SYSDBA角色保存在“orapw”文本文件中，该文件的访问权限应该被限制。但即使加密，它也能被入侵者暴力破解。

以上只是一些例子。密码保护不仅只针对Oracle，其他数据库系统一样需要。

4.操作系统后门

多数数据库系统都有一些特性来满足数据库管理员的需要，但这些也往往成为数据库主机操作系统的后门。

对于Sybase和SQl Server的账号“sa”，入侵者可以执行“扩展存储过程”来获得系统权限。他们只要用“sa”登陆，就可以使用扩展存储过程xp＿cmdshell，它允许Sybase和SQL Server用户执行操作系统命令，就好像在运行操作系统的命令行模式。例如，下面可以添加一个系统账号“refdom”，密码是“nopassword”，可使其添加到administrators组中：

这就是因为SQL Server是用Windows NT的本地账号“localsystem”来运行的命令。黑客还可以使用xp＿regread来读取加密的SAM密码。然后再暴力破解。

注意，能读出加密的密码是NT的“administrator”账号也是不能做的。SQL Server能读出来同样是使用的“LocalSystem”账号。

Oracle具备的这种特性可以使用户获得操作系统的文件访问权限。比如，UTL＿FILE允许用户读和写文件，UTL＿FILE＿DIR可以用来设置用户使用UTL＿FILE来写文件。

5.审核

主要信息和时间能被关系数据库的认证系统很详细地记录下来，但是，这只能在正确的使用和配置下才能起到安全和报警作用。这些功能能提前报警入侵者正在威胁数据库服务器，并且能探测和修复破坏。

6.木马的威胁

数据库管理员需要特别小心，一个著名的木马能够改变密码存储过程并修改密码，而且能通知入侵者。比如，它可以添加几行代码到sp＿password中，并记录新账号到库表中，通过E－mail发送这个密码，或者写到文件中以后使用。这个存储过程使黑客能不断地获得密码，直到弄到“sa”的密码。