Autenticação de Usuários via Sistema Operacional - OS Authentication

Natal DevMedia: Assine hoje e ganhe 3 meses gr�tis

Autentica��o de Usu�rios via Sistema Operacional - OS Authentication

Dando continuidade � s�rie de artigos sobre seguran�a de �infra-estrutura� em bancos de dados Oracle, vamos abordar neste artigo uma das formas de autentica��o de usu�rios em bancos Oracle: Autentica��o via Sistema Operacional.

Autentica��o via banco

Os usu�rios Oracle podem ser autenticados de diferentes formas, sendo que a mais comum � a autentica��o via banco.

Quando um usu�rio � criado com o comando "create user <user_name> identified by <user_password>;", a �nica forma de o usu�rio 'logar' no banco � informando usu�rio e senha.

Autentica��o via Sistema Operacional

Uma das alternativas de autentica��o de usu�rios � a autentica��o via sistema operacional.

Consideremos a cria��o de usu�rio conforme abaixo:

create user <ops$user_name> identified externally;

Se o sistema operacional tem um usu�rio chamado "user_name", ent�o o Oracle n�o ir� mais checar as suas credenciais. Ele simplesmente assume que o sistema operacional fez a autentica��o e permite que o usu�rio acesse o banco normalmente, sem nenhuma verifica��o adicional.

Mas � ai que mora o perigo!

Se o ambiente possui uma pol�tica 'forte' de autentica��o de usu�rios via sistema operacional, ent�o o procedimento � seguro. Mas se o ambiente � 'fraco' em autentica��o via sistema operacional, ent�o h� riscos de um usu�rio quebrar senhas ou entrar no banco sem precisar inform�-las, apenas com:

sqlplus /

Entenda que, na falta de informa��es sobre usu�rio e senha, a string "/" instrui o banco a aceitar a conex�o do usu�rio <user_name> � conta do banco do usu�rio <ops$user_name>.

Utilidade

Este tipo de autentica��o, geralmente � muito �til em scripts de sistema operacional (shell scripts), onde a senha do usu�rio de banco n�o est� embutida nos scripts, havendo apenas um comando do tipo 'sqlplus /' para que seja efetuada a conex�o.

Pelo simples fato de a senha do usu�rio n�o estar presente nos scripts, podemos considerar este m�todo conveniente e seguro. Mas devemos contar com a possibilidade de que, em um ambiente com autentica��o de sistema operacional 'fraca', algu�m pode criar um usu�rio (de sistema operacional) chamado <user_name> e poder efetuar o login no banco atrav�s da conta <ops$user_name>, com o comando 'sqlplus /'.

A string que identifica a autentica��o via sistema operacional n�o precisa ser 'OPS$', como temos utilizado nos exemplos. Ela pode ser modificada, alterando-se o par�metro do banco os_authent_prefix.

Para sabermos quem s�o os usu�rios corretamente configurados para serem autenticados pelo sistema operacional podemos usar o seguinte comando:

select username, password

from dba_users

where password = 'EXTERNAL';

Se o par�metro de inicializa��o os_authent_prefix for alterado, os usu�rios autenticados pelo sistema operacional tamb�m precisam ser alterados. Caso contr�rio, n�o ser� poss�vel efetuar o login com <ops$user_name>.

Uma outra varia��o interessante � configurar o par�metro os_authent_prefix para "" (NULL).

Alterando ent�o o usu�rio com alter user <ops$user_name> identified by <user_password>; o login do usu�rio poderia ser feito das duas maneiras:

sqlplus /

sqlplus <ops$user_name>/<user_password>

H� algo de errado com isso?

Bem, o lado negativo dessa configura��o � a possibilidade de, em ambientes com pol�tica de autentica��o 'fraca' (via sistema operacional), algu�m criar um usu�rio (de sistema operacional) chamado SYSTEM e logar como:

sqlplus /

Este usu�rio estar� 'logado' no banco Oracle como usu�rio SYSTEM!

Poder�amos dizer que ele teria privil�gios para fazer o que quisesse com o banco, como por exemplo criar usu�rios, 'dropar' datafiles, visualizar dados sigilosos (talvez at� cobertos por pol�ticas de seguran�a extras - VPD, por exemplo), dentre muitas outras coisas.

Assim, o que parece uma conveni�ncia e facilidade, passa a ser uma responsabilidade enorme e que deve ser muito bem pensada antes de ser adotada.

Implementa��o 'ideal' (sugerida)

Podemos entender ent�o, que este tipo de autentica��o precisa de uma s�rie de combina��es para que seja implementada de maneira satisfat�ria, em termos de seguran�a. Uma delas � a necessidade de que o par�metro os_authent_prefix n�o seja nulo, e outra � que as senhas sejam configuradas para a autentica��o dos usu�rios via sistema operacional.

Assim, a primeira verifica��o a fazer � quanto ao valor do par�metro os_authent_prefix:

select value

from v$parameter

where name = 'os_authent_prefix';

Se o comando acima retornar NULL, ent�o ser� necess�rio elaborar um plano para alter�-lo. N�o h� nenhuma regra ou restri��o quanto ao valor a ser usado, embora seja recomendado o uso de algum caracter n�o-alfanum�rico, para que um usu�rio autenticado via sistema operacional n�o combine com nenhum usu�rio real atual.

E a segunda verifica��o a fazer � assegurar-se de que os usu�rios autenticados via sistema operacional sejam de fato autenticados dessa forma - via sistema operacional - nunca tendo uma senha definida para eles.

Por exemplo, se o par�metro os_authent_prefix estiver configurado para 'OPS$', com o comando abaixo seria poss�vel identificar quais usu�rios autenticados externamente possuem senha, ao inv�s de estarem definidas como 'EXTERNAL':

select username, password from dba_users

where username like 'OPS$%';

Se este comando retornar algum usu�rio com valor de senha diferente de 'EXTERNAL', ent�o ser� necess�rio alterar este usu�rio:

alter user OPS$USER_NAME identified externally;

Isso ir� alterar o valor da coluna password para 'EXTERNAL'.

Finalizando

Os impactos das altera��es sugeridas neste artigo, dependem do uso desse tipo de usu�rio. Se estas contas s�o usadas nas aplica��es, ent�o � necess�rio que elas sejam alteradas, o que pode ser feito sem maiores transtornos ou dificuldades.

No pr�ximo artigo iremos tratar de Autentica��o Remota via Sistema Operacional.

Anderson Rodrigo Farias

DBA Oracle

Betha Sistemas LTDA

http://www.betha.com.br