Oracle 审计失败的用户登陆(Oracle audit)

 对于在线交易系统,且Oracle用户在使用缺省的profile的情形下,多用户共享相同的数据库用户及密码,任意用户输入错误密码累计达到10次以上,其帐户会被自动锁定使得交易*临时终止将产生不小的损失。故有必要对那些失败的帐户登陆进行分析以预估是否存在恶意攻击等。Oracle提供了审计功能用于审计那些失败的Oracle用户登陆来进行风险评估。本文即是描述如何开启审计失败的用户登陆。本文不涉及审计的具体的描述信息,仅仅描述如何审计失败的用户登陆。详细完整的审计大家可以参考Oracle Database Security Guide。

1、帐户被锁定的情形
通常情况下,帐户可以由DBA手动锁定,也可能是由于错误的密码输入次数超出了profile中failed_login_attempts 次数的限制而被锁定。

 
  1. a、手动锁定的情形 

  2. sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like'USR%'

  3. USERNAME ACCOUNT_STATUS LOCK_DATE 

  4. ------------------------------ -------------------------------- ----------------- 

  5. USR2 OPEN

  6. USR1 OPEN

  7. sys@SYBO2SZ> alteruser usr1 account lock; 

  8. sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like'USR%'

  9. USERNAME ACCOUNT_STATUS LOCK_DATE 

  10. ------------------------------ -------------------------------- -----------------

  11. USR2 OPEN

  12. USR1 LOCKED 20131023 16:37:37 

  13. b、登陆失败超出的情形 

  14. sys@SYBO2SZ> selectname,lcount fromuserwherename='USR2'

  15. NAME LCOUNT 

  16. ------------------------------ ----------

  17. USR2 10 

  18. sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like'USR%'

  19. USERNAME ACCOUNT_STATUS LOCK_DATE 

  20. -------------- ------------------ -----------------

  21. USR2 LOCKED(TIMED) 20131023 16:41:48 -->用户usr2登陆10次之后帐户被锁定,其状态不同于手动锁定的用户,为LOCKED(TIMED)

  22. USR1 LOCKED 20131023 16:37:37 

a、手动锁定的情形
sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like 'USR%';

USERNAME                       ACCOUNT_STATUS                   LOCK_DATE         
------------------------------ -------------------------------- ----------------- 
USR2                           OPEN
USR1                           OPEN

sys@SYBO2SZ> alter user usr1 account lock;

sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like 'USR%';

USERNAME                       ACCOUNT_STATUS                   LOCK_DATE
------------------------------ -------------------------------- -----------------
USR2                           OPEN
USR1                           LOCKED                           20131023 16:37:37

b、登陆失败超出的情形
sys@SYBO2SZ> select name,lcount from user$ where name='USR2';

NAME                               LCOUNT
------------------------------ ----------
USR2                                   10

sys@SYBO2SZ> select username,account_status,lock_date from dba_users where username like 'USR%';

USERNAME       ACCOUNT_STATUS     LOCK_DATE
-------------- ------------------ -----------------
USR2           LOCKED(TIMED)      20131023 16:41:48   -->用户usr2登陆10次之后帐户被锁定,其状态不同于手动锁定的用户,为LOCKED(TIMED)
USR1           LOCKED             20131023 16:37:37

2、如何开启审计失败的用户登陆
开启审计需要做如下设置
a、设置参数 audit_trail = { none | os | db [, extended] | xml [, extended] }
b、设置参数 audit_file_dest = '<os_dir>'
c、开启登陆失败审计 audit session whenever not successful;
d、执行下面的SQL来查看那些用户经历了登陆失败的情形
select userid, userhost, terminal, clientid from aud$ where returncode=1017;

关于参数audit_trail,
当值为DB时,非sys帐户的审计信息都会被记录到表SYS.AUD$,会占用system表空间,存在资源占用问题,当然也可将其部署到非系统表空间。sys帐户登陆成功与失败都会生成审计文件。
当值为OS时,所有的审计记录被写入到操作系统文件,对于高度安全的数据库,Oracle建议采用该设置,理由很简单,高度安全,写入DB的话,整个系统忙得不亦乐乎。
如果数据库处于只读模式且该参数值为DB时,Oracle 内部设置audit_trail为OS,细节可查看alert log。其余的几个值可参考Oracle Database Reference。

3、演示配置审计登陆失败(oracle 10g)

  1. goex_admin@SYBO2SZ> select * from v$version where rownum<2; 

  2. BANNER 

  3. ----------------------------------------------------------------

  4. Oracle Database 10g Release 10.2.0.3.0 - 64bit Production 

  5. --Oracle 10g下当前数据库的配置,如下,也是缺省配置

  6. goex_admin@SYBO2SZ> show parameter audit 

  7. NAME TYPE VALUE 

  8. ------------------------------------ ----------- ------------------------------

  9. audit_file_dest string /users/oracle/OraHome10g/rdbms 

  10. /audit 

  11. audit_sys_operations boolean FALSE

  12. audit_syslog_level string 

  13. audit_trail string NONE 

  14. --下面修改存储审计文件位置

  15. goex_admin@SYBO2SZ> ho mkdir -p /u02/database/SYBO2SZ/audit 

  16. goex_admin@SYBO2SZ> alter system set audit_trail='DB' scope=spfile; 

  17. goex_admin@SYBO2SZ> alter system set audit_file_dest='/u02/database/SYBO2SZ/audit' scope=spfile; 

  18. goex_admin@SYBO2SZ> audit session whenever not successful; 

  19. goex_admin@SYBO2SZ> conn / as sysdba 

  20. sys@SYBO2SZ> shutdown immediate; 

  21. sys@SYBO2SZ> startup 

  22. sys@SYBO2SZ> ho ls /u02/database/SYBO2SZ/audit 

  23. C:\Users\robinson.cheng>sqlplus scott/wrongpwd@sybo2sz --尝试使用错误的密码从客户端来登陆

  24. sys@SYBO2SZ> select userid, userhost, terminal from aud$ where returncode=1017; 

  25. USERID USERHOST TERMINAL 

  26. ------------------------------ ------------------------------ ------------------------------ 

  27. SCOTT TRADESZ\DEVELOPERPC01 DEVELOPERPC01 

  28. SCOTT TRADESZ\DEVELOPERPC01 DEVELOPERPC01 

  29. SCOTT TRADESZ\DEVELOPERPC01 DEVELOPERPC01 

  30. USR2 SZDB pts/1 

  31. USR2 SZDB pts/1 

  32. --有关具体的审计生成的OS文件参考接下来的演示

goex_admin@SYBO2SZ> select * from v$version where rownum<2;

BANNER
----------------------------------------------------------------
Oracle Database 10g Release 10.2.0.3.0 - 64bit Production

--Oracle 10g下当前数据库的配置,如下,也是缺省配置
goex_admin@SYBO2SZ> show parameter audit

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest                      string      /users/oracle/OraHome10g/rdbms
                                                 /audit
audit_sys_operations                 boolean     FALSE
audit_syslog_level                   string
audit_trail                          string      NONE

--下面修改存储审计文件位置
goex_admin@SYBO2SZ> ho mkdir -p /u02/database/SYBO2SZ/audit

goex_admin@SYBO2SZ> alter system set audit_trail='DB' scope=spfile;

goex_admin@SYBO2SZ> alter system set audit_file_dest='/u02/database/SYBO2SZ/audit' scope=spfile;

goex_admin@SYBO2SZ> audit session whenever not successful;

goex_admin@SYBO2SZ> conn / as sysdba

sys@SYBO2SZ> shutdown immediate;

sys@SYBO2SZ> startup

sys@SYBO2SZ> ho ls /u02/database/SYBO2SZ/audit

C:\Users\robinson.cheng>sqlplus scott/wrongpwd@sybo2sz   --尝试使用错误的密码从客户端来登陆

sys@SYBO2SZ> select userid, userhost, terminal from aud$ where returncode=1017;

USERID                         USERHOST                       TERMINAL                       
------------------------------ ------------------------------ ------------------------------ 
SCOTT                          TRADESZ\DEVELOPERPC01       DEVELOPERPC01
SCOTT                          TRADESZ\DEVELOPERPC01       DEVELOPERPC01
SCOTT                          TRADESZ\DEVELOPERPC01       DEVELOPERPC01
USR2                           SZDB                           pts/1
USR2                           SZDB                           pts/1
--有关具体的审计生成的OS文件参考接下来的演示

4、演示配置审计登陆失败(oracle 11g)

  1. --Oracle 11g下,缺省已经开启了审计功能,也就是说如果审计失败的登陆帐户,无须单独执行audit session whenever not successful;

  2. sys@USBO> select * from v$version where rownum<2; 

  3. BANNER 

  4. -------------------------------------------------------------------------------------------------------

  5. Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 

  6. sys@USBO> show parameter audit 

  7. NAME TYPE VALUE 

  8. ------------------------------------ --------------------------------- ------------------------------

  9. audit_file_dest string /u03/database/usbo/adump 

  10. audit_sys_operations boolean FALSE

  11. audit_syslog_level string 

  12. audit_trail string DB 

  13. --下面是审计产生的文件

  14. sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2 

  15. -rw-r----- 1 oracle asmadmin 758 Oct 21 16:29 usbo_ora_4502_1.aud

  16. -rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud

  17. --使用系统用户登陆

  18. C:\Users\robinson.cheng>sqlplus sys/oracle@usbo as sysdba 

  19. sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2 

  20. -rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud

  21. -rw-r----- 1 oracle asmadmin 773 Oct 22 15:41 usbo_ora_13497_1.aud

  22. --系统用户登陆被审计,审计文件中给出了比较详细的描述

  23. sys@USBO> ho more /u03/database/usbo/adump/usbo_ora_13497_1.aud 

  24. Audit file /u03/database/usbo/adump/usbo_ora_13497_1.aud 

  25. Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 

  26. With the Partitioning, Real Application Clusters, OLAP, Data Mining 

  27. andReal Application Testing options 

  28. ORACLE_HOME = /u01/app/oracle/db_1 

  29. System name: Linux 

  30. Node name: linux1.orasrv.com 

  31. Release: 2.6.18-194.el5PAE 

  32. Version: #1 SMP Mon Mar 29 20:19:03 EDT 2010 

  33. Machine: i686 

  34. Instance name: usbo 

  35. Redo thread mounted by this instance: 1 

  36. Oracle process number: 31 

  37. Unix process pid: 13497, image: oracle@linux1.orasrv.com 

  38. Tue Oct 22 15:41:45 2013 +08:00 

  39. LENGTH : '180'

  40. ACTION :[7] 'CONNECT'

  41. DATABASEUSER:[3] 'sys'

  42. PRIVILEGE :[6] 'SYSDBA'

  43. CLIENT USER:[14] 'Robinson.Cheng'

  44. CLIENT TERMINAL:[13] 'DEVELOPERPC01'

  45. STATUS:[1] '0'---->登陆成功的状态码

  46. DBID:[10] '3456778221'

  47. C:\Users\robinson.cheng>sqlplus sys/wrongpwd@usbo as sysdba 

  48. [oracle@linux1 adump]$ more usbo_ora_13677_1.aud 

  49. Audit file /u03/database/usbo/adump/usbo_ora_13677_1.aud 

  50. Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 

  51. With the Partitioning, Real Application Clusters, OLAP, Data Mining 

  52. andReal Application Testing options 

  53. ORACLE_HOME = /u01/app/oracle/db_1 

  54. System name: Linux 

  55. Node name: linux1.orasrv.com 

  56. Release: 2.6.18-194.el5PAE 

  57. Version: #1 SMP Mon Mar 29 20:19:03 EDT 2010 

  58. Machine: i686 

  59. Instance name: usbo 

  60. Redo thread mounted by this instance: 1 

  61. Oracle process number: 31 

  62. Unix process pid: 13677, image: oracle@linux1.orasrv.com 

  63. Tue Oct 22 15:44:59 2013 +08:00 

  64. LENGTH : '181'

  65. ACTION :[7] 'CONNECT'

  66. DATABASEUSER:[3] 'sys'

  67. PRIVILEGE :[4] 'NONE'

  68. CLIENT USER:[14] 'Robinson.Cheng'

  69. CLIENT TERMINAL:[13] 'DEVELOPERPC01'

  70. STATUS:[4] '1017'---->登陆失败的状态码1017

  71. DBID:[10] '3456778221'

  72. --下面使用普通的帐户登陆,没有相应的os审计文件,但是被添加到了表SYS.AUD$

  73. C:\Users\robinson.cheng>sqlplus scott/tg@usbo 

  74. --Author : Leshami

  75. --Blog : http://blog.csdn.net/leshami

  76. sys@USBO> select sessionid,userid,userhost,comment$text,spare1,ntimestamp# from aud$ where returncode=1017; 

  77. SESSIONID USERID USERHOST COMMENT$TEXT SPARE1 NTIMESTAMP# 

  78. ---------- ------ ------------------------- ---------------------------------------- ------------------ -------------------------------

  79. 1470011 SCOTT TRADESZ\DEVELOPERPC01 Authenticated byDATABASE; Client addre Robinson.Cheng 21-OCT-13 08.51.15.528497 AM 

  80. ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168 

  81. .7.133)(PORT=53432)) 

  82. 1480153 SCOTT TRADESZ\DEVELOPERPC01 Authenticated byDATABASE; Client addre Robinson.Cheng 22-OCT-13 08.06.49.012661 AM 

  83. ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168 

  84. .7.133)(PORT=60613)) 

  85. 1480154 SCOTT TRADESZ\DEVELOPERPC01 Authenticated byDATABASE; Client addre Robinson.Cheng 22-OCT-13 08.09.41.927143 AM 

  86. ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168 

  87. .7.133)(PORT=60622)) 

--Oracle 11g下,缺省已经开启了审计功能,也就是说如果审计失败的登陆帐户,无须单独执行audit session whenever not successful;
sys@USBO> select * from v$version where rownum<2;

BANNER
-------------------------------------------------------------------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
 
sys@USBO> show parameter audit

NAME                                 TYPE                              VALUE
------------------------------------ --------------------------------- ------------------------------
audit_file_dest                      string                            /u03/database/usbo/adump
audit_sys_operations                 boolean                           FALSE
audit_syslog_level                   string
audit_trail                          string                            DB

--下面是审计产生的文件
sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2
-rw-r----- 1 oracle asmadmin 758 Oct 21 16:29 usbo_ora_4502_1.aud
-rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud

--使用系统用户登陆
C:\Users\robinson.cheng>sqlplus sys/oracle@usbo as sysdba

sys@USBO> ho ls -hltr /u03/database/usbo/adump |tail -2
-rw-r----- 1 oracle asmadmin 763 Oct 21 16:49 usbo_ora_5652_1.aud
-rw-r----- 1 oracle asmadmin 773 Oct 22 15:41 usbo_ora_13497_1.aud

--系统用户登陆被审计,审计文件中给出了比较详细的描述
sys@USBO> ho more /u03/database/usbo/adump/usbo_ora_13497_1.aud
Audit file /u03/database/usbo/adump/usbo_ora_13497_1.aud
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
ORACLE_HOME = /u01/app/oracle/db_1
System name:    Linux
Node name:      linux1.orasrv.com
Release:        2.6.18-194.el5PAE
Version:        #1 SMP Mon Mar 29 20:19:03 EDT 2010
Machine:        i686
Instance name: usbo
Redo thread mounted by this instance: 1
Oracle process number: 31
Unix process pid: 13497, image: oracle@linux1.orasrv.com

Tue Oct 22 15:41:45 2013 +08:00
LENGTH : '180'
ACTION :[7] 'CONNECT'
DATABASE USER:[3] 'sys'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[14] 'Robinson.Cheng'
CLIENT TERMINAL:[13] 'DEVELOPERPC01'
STATUS:[1] '0'             ---->登陆成功的状态码
DBID:[10] '3456778221'

C:\Users\robinson.cheng>sqlplus sys/wrongpwd@usbo as sysdba
[oracle@linux1 adump]$ more usbo_ora_13677_1.aud
Audit file /u03/database/usbo/adump/usbo_ora_13677_1.aud
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
ORACLE_HOME = /u01/app/oracle/db_1
System name:    Linux
Node name:      linux1.orasrv.com
Release:        2.6.18-194.el5PAE
Version:        #1 SMP Mon Mar 29 20:19:03 EDT 2010
Machine:        i686
Instance name: usbo
Redo thread mounted by this instance: 1
Oracle process number: 31
Unix process pid: 13677, image: oracle@linux1.orasrv.com

Tue Oct 22 15:44:59 2013 +08:00
LENGTH : '181'
ACTION :[7] 'CONNECT'
DATABASE USER:[3] 'sys'
PRIVILEGE :[4] 'NONE'
CLIENT USER:[14] 'Robinson.Cheng'
CLIENT TERMINAL:[13] 'DEVELOPERPC01'
STATUS:[4] '1017'   ---->登陆失败的状态码1017
DBID:[10] '3456778221'

--下面使用普通的帐户登陆,没有相应的os审计文件,但是被添加到了表SYS.AUD$
C:\Users\robinson.cheng>sqlplus scott/tg@usbo

--Author : Leshami
--Blog   : http://blog.csdn.net/leshami

sys@USBO> select sessionid,userid,userhost,comment$text,spare1,ntimestamp# from aud$ where returncode=1017;

SESSIONID USERID     USERHOST                  COMMENT$TEXT                             SPARE1             NTIMESTAMP#                 
---------- ------ ------------------------- ---------------------------------------- ------------------ -------------------------------
   1470011 SCOTT  TRADESZ\DEVELOPERPC01  Authenticated by: DATABASE; Client addre Robinson.Cheng     21-OCT-13 08.51.15.528497 AM
                                            ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168
                                            .7.133)(PORT=53432))

   1480153 SCOTT  TRADESZ\DEVELOPERPC01  Authenticated by: DATABASE; Client addre Robinson.Cheng     22-OCT-13 08.06.49.012661 AM
                                            ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168
                                            .7.133)(PORT=60613))

   1480154 SCOTT  TRADESZ\DEVELOPERPC01  Authenticated by: DATABASE; Client addre Robinson.Cheng     22-OCT-13 08.09.41.927143 AM
                                            ss: (ADDRESS=(PROTOCOL=tcp)(HOST=192.168
                                                     .7.133)(PORT=60622))

5、使用过程分析失败登陆的审计记录

  1. CREATEORREPLACEPROCEDURE auditlogin (since VARCHAR2, times PLS_INTEGER) 

  2. IS

  3. user_id VARCHAR2 (20); 

  4. CURSOR c1 

  5. IS

  6. SELECT userid, COUNT (*) 

  7. FROM sys.aud$ 

  8. WHERE returncode = '1017'AND ntimestamp# >= TO_DATE (since, 'yyyy-mm-dd'

  9. GROUPBY userid; 

  10. CURSOR c2 

  11. IS

  12. SELECT userhost, terminal, TO_CHAR (ntimestamp#, 'YYYY-MM-DD:HH24:MI:SS'

  13. FROM sys.aud$ 

  14. WHERE returncode = '1017'AND ntimestamp# >= TO_DATE (since, 'yyyy-mm-dd'AND userid = user_id; 

  15. ct PLS_INTEGER; 

  16. v_userhost VARCHAR2 (40); 

  17. v_terminal VARCHAR (40); 

  18. v_date VARCHAR2 (40); 

  19. BEGIN

  20. OPEN c1; 

  21. DBMS_OUTPUT.enable (1024000); 

  22. LOOP 

  23. FETCH c1 

  24. INTO user_id, ct; 

  25. EXIT WHEN c1%NOTFOUND; 

  26. IF (ct >= times) 

  27. THEN

  28. DBMS_OUTPUT.put_line ('USER BROKEN ALARM:' || user_id); 

  29. OPEN c2; 

  30. LOOP 

  31. FETCH c2 

  32. INTO v_userhost, v_terminal, v_date; 

  33. DBMS_OUTPUT.put_line (CHR (9) || 'HOST:' || v_userhost || ',TERM:' || v_terminal || ',TIME:' || v_date); 

  34. EXIT WHEN c2%NOTFOUND; 

  35. END LOOP; 

  36. CLOSE c2; 

  37. END IF; 

  38. END LOOP; 

  39. CLOSE c1; 

  40. END

  41. sys@USBO> exec auditlogin('2013-10-22',2); 

  42. USER BROKEN ALARM:SCOTT 

  43. HOST:TRADESZ\DEVELOPERPC01,TERM:DEVELOPERPC01,TIME:2013-10-22:08:06:49 

  44. HOST:TRADESZ\DEVELOPERPC01,TERM:DEVELOPERPC01,TIME:2013-10-22:08:09:41 

  45. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:08:58:34 

  46. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:08:58:34 

  47. USER BROKEN ALARM:USR1 

  48. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:09:01:36 

  49. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:09:11:13 

  50. HOST:linux1.orasrv.com,TERM:pts/1,TIME:2013-10-23:09:11:13 

 












本文转自东方之子736651CTO博客,原文链接: http://blog.51cto.com/ecloud/1336746,如需转载请自行联系原作者









上一篇:Hyper-v之新建虚拟机


下一篇:【完全开源】知乎日报UWP版:项目结构说明、关键源代码解释