Infrastructure at your Service

Olivier Toussaint

DBSAT un outil pour la sécurité de vos bases de données Oracle

Qu’est-ce que DBSAT ?

C’est un outil gratuit d’Oracle que vous pouvez télécharger sur My Oracle Support avec comme référence : Doc Id 2138254.1.
Il a pour but d’évaluer la sécurité de vos bases de données Oracle en analysant la configuration et les stratégies de sécurité mise en place afin de découvrir les risques liés à la sécurité.

Comment cela fonctionne t-il ?

Dans un premier temps il sera nécessaire de collecter les informations de votre database et dans un second temps de générer un rapport.
L’outil met à notre disposition 3 types de rapport.

  • Rapport Texte
  • Rapport Tableau
  • Rapport HTML

En quelques mots :

  • Implémentation et utilisation facile et rapide
  • Rapports détaillés
  • Détecte de véritable problème de sécurité
  • Pas de coûts supplémentaires si vous avez avez un contrat de support Oracle
  • Les résultats sont mis en évidence par différentes couleurs (Bleu, Vert, Jaune, Rouge)

Les différentes étapes nécessaires à la mise en œuvre

  • Installation de l’outil (DBSAT)
  • Collection des informations (DBSAT Collector)
  • Rapport sur l’état des risques (DBSAT Reports)

Installation de l’outil

Cet outil est développé en Python est requiert la version 2.6 ou supérieure (voir la version : python -V).

Le répertoire d’installation peut être ou vous le souhaitez car l’installation n’est qu’une décompression d’un fichier zippé, mais nous vous conseillons de le décompresser dans le répertoire de l’utilisateur  Oracle (/Home/Oracle/DBSAT).

DBSAT Collector doit être exécuté en tant qu’utilisateur OS avec des autorisations de lecture sur les fichiers et les répertoires sous ORACLE_HOME afin de collecter et traiter les données.

Si vous utilisez un environnement Vault il sera nécessaire d’utiliser un utilisateur non-SYS avec le role DV_SECANALYST.

Rôle DV_SECANALYST :

    • CREATE SESSION
    • SELECT on SYS.REGISTRY$HISTORY
    • Role SELECT_CATALOG_ROLE
    • Role DV_SECANALYST (if Database Vault is enabled)
    • Role AUDIT_VIEWER (12c only)
    • Role CAPTURE_ADMIN (12c only)
    • SELECT on SYS.DBA_USERS_WITH_DEFPWD (11g and 12c)
    • SELECT on AUDSYS.AUD$UNIFIED (12c only)

Vous trouverez plus d’information dans la documentation à l’adresse suivante :
https://docs.oracle.com/cd/E76178_01/SATUG/toc.htm

Collection des informations

La collection des informations est obligatoire. Celle-ci sera nécessaire pour la génération des rapports (Texte, HTML ou Tableau).
Très simple à utiliser et sécurisé : dbsat collect /file_name
Capture d’écran 2017-06-09 à 17.00.00

Rapport sur l’état des risques

Le rapport peut être généré de différentes manière en excluant plusieurs sections avec l’option -x.
dbsat report [-a] [-n] [-x section] pathname

Options :
Capture d’écran 2017-06-12 à 17.52.53

Les différentes sections utilisables

USER     : Compte utilisateur
PRIV      : Privileges et Roles
AUTH     : Contrôles authorisations
CRYPT    : Encryption des données
ACCESS  : Contrôle d’accès
AUDIT    : Audit
CONF      : Configuration Base de données
NET         : Configuration réseaux
OS            : Système d’exploitation

Capture d’écran 2017-06-09 à 17.31.14
Une fois décompressé, nous avons nos 3 types de fichier, texte, tableau et html.

Capture d’écran 2017-06-09 à 17.35.39

 Consultation du rapport

Aperçu du rapport.
Si vous utilisez des PDB, il sera nécessaire de collecter les informations auprès de chaque PDB individuellement.

Capture d’écran 2017-06-12 à 17.11.04

Capture d’écran 2017-06-12 à 17.14.03Les différents status du rapport

Vous pouvez utiliser ces status comme un fil rouge pour la mise en œuvre de recommandation. Ceci peut être utilisé pour prioriser et  planifier les modifications en fonction du niveau de risque. Un risque grave pourrait nécessiter des mesures correctives immédiates, alors que d’autres risques pourraient être résolus pendant un temps d’arrêt planifié ou associés à d’autres activités de maintenance.

Passe             : Aucune erreur trouvée
Évaluation   : Nécessite une analyse manuelle
Risque           : Bas
Risque           : Medium significatif
Risque           : Haut

Conclusion

Testez-le sans modération, il vous permettra d’avoir une vue globale sur la mise en place de la sécurité de vos bases de données. Une fois les problèmes identifiés il ne vous restera plus qu’à les corriger.

 

Leave a Reply


8 − = seven

Olivier Toussaint
Olivier Toussaint

Consultant