Đối với CSDL oracle có thể áp dụng tính năng kiểm tra kết nối IP của các user kết nối database trên các phiên bản CSDL oracle bắt đầu từ phiên bản 10g và áp dụng tính năng kết xuất log tác động vào hệ thống FGA và ghi log tác động user sys toàn quyền quản trị database.
Áp dụng tính năng kiểm tra kết nối IP của các user kết nối database
Trên oracle sqlnet.ora là một tệp cấu hình thuần văn bản có chứa thông tin (như các tùy chọn truy tìm, mã hóa, tuyến đường kết nối, tham số đặt tên bên ngoài) về cách máy chủ Oracle và máy khách Oracle phải sử dụng Oracle Net (trước đây Net8 hoặc SQL * Net) khả năng truy cập CSDL được nối mạng.
Tham số cấu hình cơ bản của một file sqlnet.ora # sqlnet.ora.evs2-db01 Network Configuration File: /data/11.2.0/grid/network/admin/sqlnet.ora.evs2-db01 # Generated by Oracle configuration tools.
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT) ADR_BASE = /data/orabase
TCP.INVITED_NODES =
(10.50.12.86,10.50.12.44,10.50.12.46,10.50.12.50,10.50.12.32,10.50.12.35)
Trong đó tham số TCP.VALIDNODE_CHECKING đặt giá trị YES thì việc cấu hình mới có hiệu lực, TCP.INVITED_NODES là list IP được phép truy cập vào CSDL. Việc thay đổi sửa, xóa, thay đổi cấu hình cần phải thực hiện restart lại listener của database thì việc thay đổi mới có hiệu lực.
Ngoài ra CSDL của oracle cho phép phân quyền cho toàn bộ user của CSDL, chỉ có user sys được phân quyền cao nhất tương tự như user root, adminstrator… trên các hệ điều hành. Việc thay đổi cấu hình từ disable sang enable check list IP cho phép truy cập vào CSDL của oracle cần restart lại toàn bộ database vì vậy cần rà soát mức độ ảnh hưởng và tắt toàn bộ ứng dụng kết nối vào CSDL trước khi thay đổi cấu hình.
Đối với CSDL MongoDB áp dụng Authentication và Security. Thực chất tính năng xác nhận tài khoản và xác thực đã có sẵn trong MongoDB tuy nhiên mặc định khi được cài đặt ban đầu tính năng này không được bật.
Để kích hoạt tính năng bảo mật truy cập vào CSDL của MongoDB với quyền administrator sau đó cần sửa file mongod.conf
sudo vim /etc/mongod.conf
sau đó chuyển đến dòng # sercurity, bỏ comment # và thêm vào một dòng cấu hình như bên dưới
security: authorization:"enabled"
dòng security không có khoảng trống phía trước, authorization được indent bởi 2 spaces.
sau đó khởi động lại MongoDB bằng lệnh sau để việc thay đổi cấu hình có hiệu lực sudo systemctl restart mongod.
Thiết lập tính năng ghi log tác động FGA các bảng dữ liệu trên cơ sở dữ liệu oracle.
Việc thực hiện ghi log tác động sử dụng trực tiếp proceduce trên database, đồng thời quản trị hệ thống có thể cấu hình được các dữ liệu cần ghi log và các tùy chọn tác động vào bảng dữ liệu như select, insert, update, drop, truncate..
Việc thực hiện tính năng này cần thêm Policcy giám sát cho từng bảng dữ liệu begin
dbms_fga.add.policy(
object_schema tên schema chứa bảng dữ liệu
object_name tên bảng dữ liệu cần giám sát tác động
policy_name đặt theo quy tắc để dễ quản trị sau này
statement_type “insert,update,..’’ các tác động cần giám sát vào bảng dữ liệu
audit_trail DBMS_FGA.DB+DBMS_FGA.EXTENDED end;
Sau khi cấu hình tính năng việc xuất log tác động sẽ được ghi trực tiếp vào database dưới dạng 1 bảng dữ liệu bình thường.
Quản trị hệ thống có thể thực hiện xuất dữ liệu này ra dạng file text hoặc excel để import vào hệ thống báo cáo tập trung.
Thiết lập tính năng ghi log tác động bằng user sys
Tính năng ghi log tác động vào bảng dữ liệu FGA có nhược điểm là không ghi được log giám sát từ user sys tác động, việc tác động từ user sys toàn quyền cần được cấu hình độc lập với FGA như sau:
Mục đích: Ghi lại toàn bộ log tác động vào hệ thống bằng user sys với quyền quản trị DB cao nhất, sau khi cấu hình ta sẽ ghi lại toàn bộ log tác động từ user sys như sau:
Thực hiện cấu hình enable tính năng giám sát user sys. sqlplus / as sysdba
ALTER SYSTEM SET AUDIT_SYS_OPERATIONS=TRUE SCOPE=SPFILE; ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE sid='*';
alter system set audit_syslog_level='local1.debug' scope=spfile; sửa file cấu hình syslog : vi /etc/syslog.conf
touch /var/log/audit
phân quyền cho file log chown root:sys /var/log/audit $ svcadm restart system/system-log
Restart db
sqlplus / as sysdba shutdown immediate startup ;
3.2.5 Triển khai áp dụng thêm tính năng hệ thống giám sát bảo mật tập trung SCB
Hệ thống giám sát bảo mật tập trung ngoài các tính năng giám sát học viên đã trình bày còn có thêm một số tính năng khá hữu ích trong công tác bảo mật như xác thực với các kết nối sử dụng tính năng ủy quyền, enable các policy ngăn chặn các tác động trái phép. Để thực hiện được các tính năng này cần phải upgrade fireware hệ thống, việc này cần downtime hệ thống trong khoảng 2h, vì vậy cần cân nhắc và rà soát các ảnh hưởng khi hệ thống này downtime.
Xác thực với các kết nối sử dụng tính năng ủy quyền: Tính năng ủy quyền cho phép cán bộ vận hành xác thực người dùng khi cần truy cập vào máy chủ làm việc. Tính năng này có thể áp dụng để giám sát, tăng cường bảo mật với các máy chủ quan trọng. Để bật tính năng này, cán bộ vận hành cần liên hệ với cán bộ quản trị có quyền để thực hiện khai báo trên hệ thống Cổng giám sát.
Khi người dùng thực hiện kết nối vào máy chủ, hệ thống SCB sẽ chặn phiên kết nối của người dùng. Cán bộ vận hành cần thực hiện thao tác xác thực để cho phép phiên kết nối thành công. Các bước thực hiện như sau:
Đăng nhập vào web quản trị Truy cập Main Menu Four Eyes. Danh sách các kết nối đang chờ xác thực sẽ hiện ra.
Hình 3. 18 Màn hình khai báo tính năng ủy quyền của hệ thống SCB
(Nguồn: Tài liệu vận hành và khai thác hệ thống SCB MobiFone) [1]
Chọn Accept để chấp nhận kết nối, Reject để từ chối.
Ngoài ra không chỉ ghi lại log tác động mà tính năng mới của SCB còn có thể ngăn chặn được các hành vi không được phép bởi các policy, cụ thể như sau:
Chỉ mở cho list user, ip được phép sử dụng các câu lệnh nguy hiểm như tắt, restart server, DB…, nếu user không nằm trong list IP và user được phân quyền ngay lập tức SCB sẽ reject ngay các lệnh nguy hiểm này và không chuyển tiếp tới server.
Hình 3. 19 Mô hình giám sát Policy SCB