Sécuriser les listeners sur les bds Oracle 8i,9i et 10g
Est-ce que vous savez qu'on peut arrêter le listener d'une bd oracle à partir d'un client Listener Control Utility (lsnrctl.exe) à distance? On peut le faire lorsque le listener n'est pas protégé par un mot de passe. Cela est d'autant plus critique en 8i et 9i puisqu'en 10g, il y a une authentification OS sur le serveur qui permet seulement l'exécution locale du programme. Le listener est un programme qui permet à la BD d'écouter sur certains ports pour savoir quelles commandes exécuter.
Ce document de 27 pages sur la sécurité des listeners pour Oracle vous montre l'ampleur des dégâts possibles lorsqu'on sait exploiter la brèche.
Voici comment mettre un mot de passe en 9i:
* lsnrctl est un programme qu'on lance dans l'invite de commandes (cmd)
et pour 10g:
La seule différence entre 9 et 10 est qu'il faut s'authentifier avec le mot de passe choisi avant de sauvegarder la configuration. De plus, il existe un outil gratuit pouvant tester la sécurité de vos listeners Oracle.
Références:
Ce document de 27 pages sur la sécurité des listeners pour Oracle vous montre l'ampleur des dégâts possibles lorsqu'on sait exploiter la brèche.
Voici comment mettre un mot de passe en 9i:
$ lsnrctl
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
LSNRCTL> set password
Password:
LSNRCTL> save_config
* lsnrctl est un programme qu'on lance dans l'invite de commandes (cmd)
et pour 10g:
$ lsnrctl
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
LSNRCTL> save_config
La seule différence entre 9 et 10 est qu'il faut s'authentifier avec le mot de passe choisi avant de sauvegarder la configuration. De plus, il existe un outil gratuit pouvant tester la sécurité de vos listeners Oracle.
Références:
- http://www.dba-oracle.com/t_listener_password_security_lsnrctl.htm
- http://download-uk.oracle.com/docs/cd/B19306_01/server.102/b14196/network001.htm
Commentaires