3.25.2008

Sécuriser les listeners sur les bds Oracle 8i,9i et 10g

Est-ce que vous savez qu'on peut arrêter le listener d'une bd oracle à partir d'un client Listener Control Utility (lsnrctl.exe) à distance? On peut le faire lorsque le listener n'est pas protégé par un mot de passe. Cela est d'autant plus critique en 8i et 9i puisqu'en 10g, il y a une authentification OS sur le serveur qui permet seulement l'exécution locale du programme. Le listener est un programme qui permet à la BD d'écouter sur certains ports pour savoir quelles commandes exécuter.

Ce document de 27 pages sur la sécurité des listeners pour Oracle vous montre l'ampleur des dégâts possibles lorsqu'on sait exploiter la brèche.

Voici comment mettre un mot de passe en 9i:

$ lsnrctl
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
LSNRCTL> set password
Password:
LSNRCTL> save_config

* lsnrctl est un programme qu'on lance dans l'invite de commandes (cmd)

et pour 10g:

$ lsnrctl
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
LSNRCTL> save_config


La seule différence entre 9 et 10 est qu'il faut s'authentifier avec le mot de passe choisi avant de sauvegarder la configuration. De plus, il existe un outil gratuit pouvant tester la sécurité de vos listeners Oracle.

Références:

Aucun commentaire:

Mes items partagés de Google Reader