|
Oracle veritabanı kurulumu esnasında, kurulumu yapılan uygulama türüyle de ilişkili olarak farklı kullanıcılar ve bu kullanıcılara ait şemalar oluşturulur. Farklı yetkilere ve erişim haklarına sahip olan bu kullanıcılar ayrıca Oracle veritabanı güvenliğinde de önemli bir yere sahiptir.
11gR2 sürümü ile birlikte kurulum esnasında ekrana gelen birçok uyarı ve yönergeler ile SCOTT kullanıcısı gibi öntanımlı hesapların artık kapalı gelmesi, sistemlerde güvenlik zafiyeti oluşmasını engellemeye yardımcı olmaktadır.
Resim 1. Oracle kurulum esnasında öntanımlı hesaplara şifre tanımlama
Bununla birlikte uzun yıllardır Oracle ürünlerini kullanan işletmelerin envaterinde eski versiyonlara rastlamak ne yazık ki sıklıkla karşılaşılan bir durumdur. Bu nedenle öntanımlı kullanıcılar ve bu kullanıcıların değiştirilmemiş şifreleri Oracle’da güvenlik açıklığı oluşturabilecek en temel nedendir.
Veritabanlarının sistemsel bütünlüğünü ve güvenliğini tehdit eden bu durumun özünde;
-
Uygulamaların üzerinde uzun yıllardır kullanılan ve ilgili versiyona özel yazılmış birçok betik bulunması,
-
Yeni versiyon geçişinde rastlanılabilecek problemlerin giderilememesi durumunda kuruma verebileceği maddi/manevi zarardan duyulan endişe,
-
Göç (migration) sürecinin yönetiminde karşılaşılan zorluklar,
-
Geçiş maliyeti
gibi nedenler bulunmaktadır. İşletmelerin bu süreçte karşılaştığı zorluklar ve alınabilecek önlemleri başka bir yazıya havale ederek, öntanımlı kullanıcı hesaplarının detayına geçebiliriz.
Öntanımlı kullanıcılar
Kurulum esnasında yada hemen sonrasında bir takım kullanıcılar sisteme tanımlanır. Sistemsel yetkilerinde farklılıklar bulunan bu çok çeşitli kullanıcıları incelemek için 3 ana gruba ayırabiliriz.
-
Yönetsel hakları olan öntanımlı kullanıcılar
-
Yönetsel haklara sahip olmayan öntanımlı kullanıcılar
-
Örnek hesaplara ait öntanımlı kullanıcılar
Bu başlıkları ayrı ayrı değerlendirebiliriz.
Yönetsel hakları olan öntanımlı kullanıcılar
Her sistemde bulunan ve çok geniş haklara sahip olan kullanıcılar bu gruptadır. Birçoğu kurulum esnasında DBA’in belirlediği bir şifreyle tanımlanırken, sistemin iç işlemleri için kullanılan ve dışardan bağlanılmasına izin verilmeyen kullanıcılar da olabilir.
Bu kullanıcıları en geniş yetkilere sahip olan ve her sistemde açık olan hesaplardan başlayarak aşağıdaki gibi listeleyebiliriz.
| Hesap Adı |
Tanımı |
Kurulum sonrası durumu |
| SYS |
Oracle veritabanında ait en üst
sistemsel yetkilere sahip hesaptır. Sisteme ait temel tablolar ve hazır
sorgular bu hesabın yönetimindedir. Oracle veritabanı yönetimi için bu şemaya
ait bütün objelerin değişmezliği sağlanmalıdır ve kesinlikle elle bir değişiklik
yapılmamalıdır. Veritabanına açma, kapama ve hatta tamamen silme işlemeri bu
kullanıcının yetkilerinde yapılabilmektedir. |
Açık |
| SYSMAN |
Oracle
Enterprise Manager'a ait yönetsel işlemleri yapan
hesaptır. Bu tip işlemler ayrıca SYS ve SYSTEM tarafından da yapılabilir. |
Açık |
| SYSTEM |
Öntanımlı Oracle veritabanı
yönetim hesabıdır. Özellikle üretim sistemlerinde, veritabanı yönetimi için
SYSTEM yerine sadece gerekli hakların tanımlanmış olduğu bir hesap
oluşturulması ve yönetim için bu hesabın kullanılması tavsiye edilmektedir.
Ayrıca yetki anlamında, SYSTEM şeması X$ tablolarına ait erişim yetkisi
olmadığından SYS'ye göre daha
zayıftır. |
Açık |
| DBSNMP |
Oracle SNMP (Simple
Network Management Protocol) kullanıcısıdır. Bu
kullanıcı ile Oracle IA (Intelligent Agent), veritabanı üzerinde gözetleme ve yönetim operasyonlarını
yapar. |
Açık |
| MGMT_VIEW |
Bu hesap Oracle
Enterprise Manager Database Control tarafından
kullanılır ve web tabanlı veritabanı yönetim uygulamalarının veritabanı
sistemiyle konuşmasını sağlar. Sistem yöneticilerinin bu kullanıcıya ait
şifreyi bilmesine gerek yoktur, sistem tarafından otomatik oluşturulur ve
kullanılır. |
Açık |
| ANONYMOUS |
Oracle XML DB ye HTTP üzerinden
erişim sağlar. EPG gömülü PL/SQL ağ geçişinin aktif olduğu durumlarda
APEX_PUBLIC_USER hesabı yerine kullanılır.
EPG'den bahsedecek olursak, Oracle veritabanında kullanılabilecek bir Web
Sunucu olarak tanımlayabiliriz. EPG, dinamik uygulamaların oluşturabilmesi
için Oracle'a alt yapı sağlar. |
Kilitlenmiş ve süresi geçmiş |
| CTXSYS |
Oracle Text'in yönetimi için
kullanılır. Oracle Text ise,
metin sorgu ve döküman sınıflandırma uygulamalarının yapılabilmesini sağlar.
Sıralama, kelime ve tema aratma ve metni gösterme seçenekleri kullanıcılara
sunulmuş olur. |
Kilitlenmiş ve süresi geçmiş |
| DSSYS |
Dynamic Services (DS) Engine,
farklı içerik sağlayıcılardan alınan servislerin veritabanında oluşturulması,
birleştirilmesi ve geliştirilmesi hizmetlerini sağlar. Dinamik servisler
SQL/PLSQL'den olduğu gibi HTTP/HTTPS bloklarından da veritabanına erişim hizmeti
vermektedir. İşte bu dinamik servisler motoru da, XML ve HTML içeriğini bu
sayede yorumlayıp veritabanının işleyebileceği hale getirir. DS motoru, web
sağlayıcı mekanizmasıyla Oracle Portal entegrasyon olanağı sağlar. Bu
entegrasyon ile DS motoruna kayıtlı servislerin bütün portletlerce erişim
mümkün hale gelir |
Kilitlenmiş ve süresi geçmiş |
| EXFSYS |
Bu hesap ile oracle EXFSYS
şemasını yönetir. EXFSYS şeması, RM (Rules Manager) ve EF (Expression Filter) kullanılabilmesini sağlayan şemadır. Bu özelliği ile kompleks
PL/SQL kuralları ve tanımları kullanılabilir. EXFSYS şeması RM, EF ve ilgili
metadata,DDL, DML tanımlarını içinde barındırır. |
Kilitlenmiş ve süresi geçmiş |
| LBACSYS |
Bu hesap ile OLS (Oracle Label
Security) yönetim fonksiyonları gerçekleştirilir.
Öntanımlı kurulumda gelmez, ancak kurulum esnasında Lable Security
seçeneğinin işaretlenmesiyle yüklenmiş olur. |
Kilitlenmiş ve süresi geçmiş |
| MDSYS |
Oracle Spatial ve Oracle
Multimedya Locator yönetimi bu hesapla yapılmaktadır. Bu özellikle Oracle'ın
lokasyon konulandırıcı hizmetleri ve uzamsal verileri konsolide edilmekte,
daha hızlı ve efektif data analizi mümkün hale gelmektedir. |
Kilitlenmiş ve süresi geçmiş |
| OLAPSYS |
OLAP kataloğuna (CWMLite) ait
bir hesaptır. OLAP seçeneğinin kurulu olduğu durumlarda, OLAP üstveri
yapılarının yönetimini sağlar. Artık kullanılmayan bu hesap, eski sürümlerle
uyum amacıyla şimdilik devam ettirilmektedir. |
Kilitlenmiş ve süresi geçmiş |
| OWBSYS |
OWB (Oracle
Warehouse Builder) yönetimini gerçekleştiren
hesaptır. Kurulum esnasında veri ambarının temel dili ve bilgi havuzu ile
kullanıcılara ait çalışma alanlarının tanımı yapılır. |
Kilitlenmiş ve süresi geçmiş |
| ORDPLUGINS |
Oracle multimedia eklentilerine
ait hesaptır. Oracle ve 3. parti firmaların sunduğu uygulamalar kurulum
esnasında bu şemaya tanımlanır. Böylece Oracle, görüntü, ses ve video
kayıtlarını veritabanının kullanabileceği şekilde entegre eder. |
Kilitlenmiş ve süresi geçmiş |
| ORDSYS |
Oracle multimedya yöneticisi
hesabıdır. Veritabanı üzerindeki hertürlü medyaya ait yönetim fonksiyonları
gerçekleştirilir. |
Kilitlenmiş ve süresi geçmiş |
| OUTLN |
Oracle işlem planlarının
değişmezliğini sağlayan hesaptır. Böylece veritabanı ortamında yapılan
değişikliklerin, uygulamaların performansını ve daha önce kaydedilmiş olan
çalışma planlarını etkilemesi engellenir. Bu şekilde daha önce hesaplanmış
olan çalışma planları, sistem değişikliklerin sonra bile aynı şekilde
koşar.OUTLN hesabı, merkezi olarak üstveri bilgilerinin ilişkilerini
korumakla yükümlüdür. |
Kilitlenmiş ve süresi geçmiş |
| SI_INFORMTN_SCHEMA |
SQL/MM Still
Image Standard fonksiyonu için bilgi sorgularını
saklayan şemaya ait hesaptır. |
Kilitlenmiş ve süresi geçmiş |
| TSMSYS |
TSM (Transparent
session migration) işlemlerini yöneten hesaptır. |
Kilitlenmiş ve süresi geçmiş |
| WK_TEST |
WK_INST, Ultra
Search kurulumu için öntanımlı yönetici hesabıdır.
Bu hesabı kullanabilmek için şifre atadıktan sonra Edit
Instance sayfasındaki yönetim aracından da aynı
şifreyi tanımlamak gerekmektedir. Ultra Search özelliği ile Oracle ve ODBC uyumlu veritabanlarından, IMAP
posta sunucularından, HTML dökümanlarından ve diskte kayıtlı bulunan
dosyalardan veri arama işlemleri yapılabilmektedir. |
Kilitlenmiş ve süresi geçmiş |
| WKSYS |
Ultra Search veritabanı için süper yetkili kullanıcıdır. Bu kullanıcı ile
WK_TEST gibi kullanıcılara çeşitli haklar verilebilr. Bütün Oracle Ultra
Search veritabanına ait objeler bu şemada bulunur. |
Kilitlenmiş ve süresi geçmiş |
| WKPROXY |
Oracle9i Uygulama Sunucusu için Ultra Search yönetici hesabıdır. |
Kilitlenmiş ve süresi geçmiş |
| WMSYS |
Oracle Workspace Manager'a ait
üstveri bilgilerinin tutulduğu hesaptır. |
Kilitlenmiş ve süresi geçmiş |
| XDB |
Oracle XML DB
veri ve üstverilerinin tutulduğu ve yönetildiği hesaptır. Bu hesapla yüksek
performans gerektiren XML kayıtlarının oluşturulması ve data çağırma
işlemleri yönetilmektedir. |
Kilitlenmiş
ve süresi geçmiş |
Görüldüğü gibi liste oldukça uzun. Uygulamalar farklılaştıkça bu şekilde farklı kullanıcılara ihtiyaç duyulmuştur. Listede “Kilitlenmiş ve süresi geçmiş” hesaplar, öntanımlı olarak bu şekilde tanımlanan hesaplardır. Ancak önceki sürümlerde açık olarak tanıtılmış veya DBA tarafından açıldıktan sonra unutulmuş hesaplar ciddi bir risk oluşturabilir.
Bu kullanıcılara ait şifrelerin tahmin edilemez hale getirilmesi veya kullanılmıyorsa kapatılması olası tehditlere karşı alınabilecek önlemlerdendir.
Yönetsel haklara sahip olmayan öntanımlı kullanıcılar
Bazı uygulamalar tarafından sistemde oluşturulan, ancak hakları bir önceki grup kadar yüksek olmayan hesapları burada toplayabiliriz.
| Hesap Adı |
Tanımı |
Kurulum sonrası durumu |
| APEX_PUBLIC_USER |
Oracle
Database Application Express hesabı. DAD (Database access descriptor) aracılığıyla
veritabanına bağlanılacak şema bu kullanıcıyla seçilebilir. Oracle
Application Express, Oracle veritabanları için web uygulamaları geliştirme
aracıdır. |
Kilitlenmiş ve süresi geçmiş |
| DIP |
DIP (Oracle
Directory Integration and Provisioning) hesabı,
Oracle Label Security opsiyonunun kurulmasıyla birlikte tanımlanır. DIP
işlemlerinin yönetimi için kullanılır. |
Kilitlenmiş ve süresi geçmiş |
| FLOWS_30000 |
Oracle
Database Application Express kurulumu esnasında
oluşturulan birçok objenin sahibi olan hesaptır. Tablolar, kayıtlı sorgular,
indeksler vs.. Bütün objeler bu hesabın şemasında bulunur. |
Kilitlenmiş ve süresi geçmiş |
| FLOWS_FILES |
Oracle
Database Application Express kurulumu esnasında
modplsql dökümanıyla ilgili olarak dosya upload/download işlemlerinin ve
oluşturulacak şemadaki objelerin yöneticisi olan hesaptır. |
Kilitlenmiş ve süresi geçmiş |
| MDDATA |
Oracle
Spatial tarafından kullanılan bu hesap, yer
konumlandırıcı ve yönlendirici bilgileri saklar. Oracle Spatial, Oracle'ın
uzamsal verilerinin saklandığı, güncellendiği, çağrıldığı ve sorgulandığı SQL
şemasını ve fonksiyonlarını kullanıcılarına sunan bir hizmettir. |
Kilitlenmiş ve süresi geçmiş |
| ORACLE_OCM |
Oracle
Configuration Manager tarafından kullanılan
hesaptır. Sistemde kurulu bulunan Oracle Veritabanı sürümüyle OracleMetaLink
arasındaki iletişimi sağlar ve yönetir.MetaLink'e giriş yapılarak servis
talebi istendiğinde veritabanı kurulumuyla ilgili bilgiler bu hesapla
iletilir. |
Kilitlenmiş ve süresi geçmiş |
| SPATIAL_CSW_ADMIN_USR |
CWS (The
Catalog Services for the Web) hesabıdır. Oracle
Spatial CWS önbellek yöneticisi tarafından kayıt bazlı üstverilerin
veritabanından merkezi belleğe aktarılması işlevini üstlenir. |
Kilitlenmiş ve süresi geçmiş |
| SPATIAL_WFS_ADMIN_USR |
WFS (Web Feature Service) hesabıdır. Oracle Spatial WFS önbellek yöneticisi tarafından
kullanılan bu hesap, WFS ile ilgili bütün üstveri ve ilgili özelliklerinin
veritabanından sistemin belleğine kaydolmasını yönetir. |
Kilitlenmiş ve süresi geçmiş |
| XS$NULL |
Oracle veritabanı yönetiminin
kullandığı içsel bir hesaptır. Sistemde aktif olmayan kullanıcıları işaret
eder. XS$NULL bir kullanıcı olmadığından, bu hesabı kullanarak sisteme giriş
yapılması da mümkün değildir. |
Kilitlenmiş ve süresi geçmiş |
| PERFSTAT |
Oracle Statistics Package
(STATSPACK), önceki sürümlerde UTLBSTAT/UTLESTAT isimleriyle hizmet veren
hesapların yerini almıştır. PERFSTAT de, STATSPACK ile ilgili bütün tablo,
paket ve performans göstergelerini bünyesinde barındıran hesabın adıdır. |
Kilitlenmiş ve süresi geçmiş |
| ODM |
Oracle veri madenciliği hesabıdır. ODM hesabının
öntanımlı şeması ODM, geçici dosyalar için kullanılan şeması da TEMPdir. |
Kilitlenmiş ve süresi geçmiş |
| ODM_MTR |
Oracle veri madenciğiyle ilgili
bir diğer hesaptır. ODM_MTR, ODM hesabıyla birlikte aynı ODM şemasını
kullanır. |
Kilitlenmiş ve süresi geçmiş |
| REPADMIN |
Oracle replikasyon hesabıdır.
Kurulum sonrası oidrsrms.sql sorgusuyla tetiklenerek oluşturabileceği gibi
DBA tarafından da oluşturulabilir. |
Kilitlenmiş ve süresi geçmiş |
Her ne kadar geniş yetkilere sahip olmadıklarını belirtsek de, bilgi ifşası ve saldırı sonrası hak yükseltme gibi tehlikeli durumların oluşmaması için bu hesaplar da özenle korunmalıdır.
Örnek hesaplara ait öntanımlı kullanıcılar
Emp, dept gibi tabloları Oracle veritabanıyla ilgilenen veya bu konuda herhangi bir eğitim almış herkes bilecektir. Bu tablolar ve benzerleri, Oracle eğitimleri esnasında incelenmesi için kullanılırlar. Tabi bu örnek tablolara ve şemalara ait hesaplar da hiç şüphesiz oluşturulmaktadır.
Bu grupta işte bu tip örnek hesapları sıralayabiliriz.
| Hesap Adı |
Tanımı |
Kurulum sonrası durumu |
| SCOTT |
Oracle'da en çok bilinen örnek
hesaptır. Çok kullanılan emp ve dept tablolarının sahibi olan SCOTT şeması,
gerek Oracle eğitimlerde gerekse güvenlik taramalarında ön plandadır. Son
sürümlerde öntanımlı olarak açık olmayan bu hesap, özellikle eski sürümler
için bir tehdit oluşturabilir. |
Kilitlenmiş ve süresi
geçmiş |
| BI |
Oracle örnek şemalarından BI (Business
Intelligence) hesabıdır. |
Kilitlenmiş ve süresi geçmiş |
| HR |
Oracle örnek şemalarından HR (Human Resources) hesabıdır. Şirketin
çalışanları ve tesisleri hakkındaki bilgiler bu şemada tutulmaktadır. |
Kilitlenmiş ve süresi geçmiş |
| OE |
OE (Order
Entry) , sipariş girişlerinin yapıldığı örnek
hesaptır. Ürün envanterini ve şirketin farklı kanallardan satışa sunduğu
ürünleri bu şemada bulmak mümkün. |
Kilitlenmiş ve süresi geçmiş |
| PM |
PM (Product
Media)
örnek hesabıdır. Şirketin sattığı herbir ürün için detaylı açıklama ve
bilgiler bu şemada bulunabilir. |
Kilitlenmiş ve süresi geçmiş |
| IX |
IX (Information Exchange) örnek hesabıdır. IX (Information
Exchange) şemasını bu hesap yönetir. B2B
uygulamaları arasındaki siparişler bu hesapla gerçekleştirilir. |
Kilitlenmiş ve süresi
geçmiş |
| SH |
Satış şeması hesabıdır. İş birimlerinin karar
verebilmesi için tutulan çeşitli istatistiksel bilgiler burada saklanır. |
Kilitlenmiş ve süresi geçmiş |
| QS |
Queued Shipping hesabıdır. QS
örnek hesabı, şirketin B2B işlemlerinde müşterilerine gönderdiği kargoları
ve ilgili bilgileri yönetir. |
Kilitlenmiş ve süresi
geçmiş |
Görüleceği üzere Oracle’da birçok öntanımlı kullanıcı bulunmaktadır. Bu hesapların yetkileri, hangi işlevler için kullanıldığı ve muhtemel şifreleri herkesçe bilindiğinden, birçok kurum/kuruluşta bu durumla ilgili güvenlik zafiyetiyle karşılaşma ihtimali her zaman vardır.
Bu riskleri minimuma çekmek için ilk yapılabilecek şey bu kullanıcılara ait yeni şifreler belirlemek veya mümkünse bu hesapları kilitlemek olacaktır.
alter user USER_NAME identified by MYNEWPASSWORD;
alter user USER_NAME account lock;
örnek betikleri, yeni bir şifre belirleme veya hesabı kilitlemek için kullanılabilir.
Özetlemek gerekirse Oracle veritabanı güvenliğinde, bu yazıda sıraladığımız öntanımlı veya örnek hesaplar önemli bir yere sahiptir. Oracle veritabanı güvenliği, uygulama mimarisinin hatalı dizaynından, erişim yetkilerinin yanlış konfigurasyonuna kadar uzunca bir listeyle incelenebilecek ve oldukça kapsamlı bir konudur. Bununla birlikte sistemlerde en sık karşılaşılan ve kapatılması en kolay olan güvenlik açıklığı öntanımlı hesaplar ve tahmin edilebilir kolay şifreleri olduğundan, bu yazıdaki listenin incelenmesi ve şifre değişikliği-hesap kilitleme gibi bahsi geçen aksiyonların alınması ilk adım olarak ön plana çıkmaktadır.
Referanslar:
[1] Securing Oracle Database User Accounts, http://download.oracle.com/docs/cd/B28359_01/server.111/b28337/tdpsg_user_accounts.htm
 Favori olarak ekle (0) | Görüntüleme sayısı: 805
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun. |
