|
|
知识路径: > 数据库系统安全 > 数据库安全概况 > 数据库安全隐患 > 数据库安全隐患 >
|
|
相关知识点:7个
|
|
|
|
|
虽然多数数据库提供基本安全功能,但是没有机制来限制用户必须选择健壮的密码。多数数据库系统有公开的默认账号和默认密码。例如,Oracle系统有超过10个特殊的默认用户账号和密码,并且有特定的密码来管理一些数据库操作,如数据库的启动、控制网络监听进程和远程数据库登录特权。许多账号都能给入侵者完全访问数据库的机会,更严重的是,系统密码有些就储存在操作系统中的普通文本文件中。以Oracle数据库为例,其安全隐患如下:
|
|
|
|
. Oracle内部密码,储存在strXXX.cmd文件中,其中XXX是Oracle系统ID和SID,默认是“ORCL”。这个密码用于数据库启动进程,提供完全访问数据库资源。这个文件在Windows NT中需要设置权限。
|
|
|
|
. Oracle监听进程密码,保存在文件“listener.ora”(保存着所有的Oracle执行密码)中,用于启动和停止Oracle的监听进程。这就需要设置一个健壮的密码来代替默认的,并且必须对访问设置权限。入侵者可以通过这个弱点进行DoS攻击。
|
|
|
|
. Oracle的“orapw”文件权限控制,Oracle内部密码和账号密码允许SYSDBA角色保存在“orapw”文本文件中,该文件的访问权限应该被限制。即使加密,也能被入侵者暴力破解。
|
|
|
