Auditora en OracleSistemas Gestores de Base de DatosJuan Javier
Rodrguez Guisado
SGBD
AUDITORA EN ORACLE SGBD
AUDITORA EN ORACLEObjetivos:
Aprender a activar la auditora en ORACLE. Dominar las vistas del
D.D. donde se almacena la informacin de auditora. Conocer la forma
de auditar: o Inicios de sesin en la base de datos o Ejecucin de
sentencias concretas o Acciones de cada usuario. o Acciones sobre
cada objeto. o Privilegios del sistema. Gestionar registros de
auditora (proteger, destruir, etc.). Anlizar los redo logs con
LogMiner. Conocer las posibilidades que ofrece Enterprise Manager
para llevar a cabo auditoras. Aprender a redactar una documentacin
concisa y til sobre procedimientos de administracin.
Activacin de la auditora en Oracle La auditora en Oracle
consiste en la monitorizacin y almacenamiento de informacin de
nuestro servidor Oracle, la auditora es una parte importante de la
seguridad del sistema que no debe olvidarse. Ventajas: o
Dispondremos de informacin de las operaciones del sistema. o
Protegeremos mejor nuestro sistema. o Podemos prevenir ataques y
detectar posibles intrusos. Inconvenientes: o Mayor consumo de
recursos del sistema. Oracle, por defecto no trae activada la
auditora (Hasta la versin 11g), aunque la emplea en algunas
actividades de la misma (auditora obligatora): el encendido y
apagado, conexiones como sysdba y sysoper. Para activar la auditora
estndar en Oracle, necesitamos cambiar el paramtro Audit_trail del
init.ora (por defecto none), podemos ver el estado de este parmetro
con el comando show parameter audit
El comando para activar la auditora en oracle es el siguiente:
ALTER SYSTEM SET audit_trail=db SCOPE=SPFILE;
2
AUDITORA EN ORACLE SGBD Las modificaciones del archivo init.ora
requieren el reinicio de la base de datos para que surjan efecto,
as que reiniciaremos para aplicar los cambios.
Tambien podemos activar la auditora de operaciones de usuarios
con privilegios de sistema, para ello hacemos lo siguiente:SQL>
ALTER SYSTEM SET audit_sys_operations=true SCOPE=SPFILE;
Los valores ms comunes que podemos asigar al parmetro
audit_trail son los siguientes: none La auditora est desactivada.
db La auditora est activada con todos y guarda los registros en la
tabla SYS.AUD$ (tablespace SYSTEM por defecto). os La auditora est
activada, con todos los registros guardados directamente
en el sistema operativo (en un di rectoio y archivos concretos),
est opcin depende del sistema operativo. db, extended La auditora
est activada los datos se almacenarn en la taba SYS.AUD$. Adems se
escribirn los valores correspondientes en las columnas SqlText y
SqlBind de la tabla SYS.AUD$. xml activa la auditora de la base de
datos, los sucesos ser escritos en ficheros XML del sistema
operativo. Xml, extended activa la auditora de la base de datos,
los registros sern escritos en el formato XML del sistema
operativo, adems se incluirn los valores de SqlText y SqlBind.
Para este documento vamos a usar el tipo de auditora db, el ms
comn y el que viene por defecto en oracle a partir del 11g.
Vistas del D.D. con relacin a la auditora Nota: Estas vistas
sern usadas en ejemplos ms adelante en este mismo documento Las
vistas del diccionario de datos nos muestran informacin til de
nuestro sistema, a nosotros nos insteresan las vistas con relacin a
la auditora, que principalmente son:
3
AUDITORA EN ORACLE SGBD
VistaALL_AUDIT_POLICIES
Descripcin
Define las polticas en las tablas y vistas accesibles al usuario
actual. ALL_AUDIT_POLICY_COLUMNS Define las polticas de auditora en
las tablas y vistas accesibles para el usuario actual.
ALL_DEF_AUDIT_OPTS Lista las opciones por defecto de auditora que
sern aplicadas a los objetos que se crean. AUDIT_ACTIONS Lista las
acciones que pueden ser auditadas. DBA_AUDIT_EXISTS Lista las
entradas auditadas producidas por AUDIT NOT EXISTS.
DBA_AUDIT_OBJECT Lista los registros de auditora de todos los
objetos del sistema. DBA_AUDIT_POLICIES Lista toda la informacin
sobre las polticas de auditora del sistema. DBA_AUDIT_SESSION Lista
todos los registros que conciernen a CONNECT y DISCONNECT.
DBA_AUDIT_POLICY_COLUMNS Lista las columnas de poltica en las
tablas y vistas de toda la base de datos. BDA_AUDIT_STATEMENT Lista
los registros auditados que conciernen a GRANT, REVOKE, AUDIT,
NOAUDIT y ALTER SYSTEM de toda la base de datos. DBA_AUDIT_TRAIL
Lista todas las entradas estndares que hay en la tabla AUD$.
DBA_COMMON_AUDIT_TRAIL Combina los logs estndares con los
exhaustivos, incluye SYS y los registros obligatorios escritos en
formato XML. DBA_FGA_AUDIT_TRAIL Lista los registros completos de
una auditora. DBA_OBJ_AUDIT_OPTS Describe las opciones de auditora
en todos los objetos. DBA_PRIV_AUDIT_OPTS Describe los privilegios
de sistema actuales que estan siendo auditados por algn usuario.
DBA_STMT_AUDIT_OPTS Describe todas las opciones de auditora
actuales de todo el sistema y por usuario. USER_AUDIT_OBJECT Lista
los registros auditados para sentencias que conciernen objetos
accesibles para el usuario actual. USER_AUDIT_POLICIES Describe
exhaustivamente las columnas de polticas de auditora en las tablas
y vistas accesibles por el usuario actual. USER_AUDIT_SESSION Lista
todos los registros de auditora relacionados a conexiones y
desconexiones del usuario actual. USER_AUDIT_STATEMENT Lista todos
los registros relacionados con las sentencias GRANT, REVOKE, AUDIT,
NOAUDIT y ALTER SYSTEM emitidas por el usuario actual.
USER_AUDIT_TRAIL Lista todas las entradas de auditora estndares de
la tabla AUD$ sobre el usuario actual. USER_OBJ_AUDIT_OPTS Describe
las opciones de auditora en todos los objetos que posee el usuario
actual. STMT_AUDIT_OPTION_MAP Describe informacin sobre los tipos
de cdigos de auditora
4
AUDITORA EN ORACLE SGBD Hay bastantes vistas ms, para verlas
todas podemos usar esta sentencia: SELECT view_name FROM dba_views
WHERE view_name LIKE '%AUDIT%' ORDER BY view_name Auditar los
inicios de sesin de la base de datos Para auditar los inicios de
sesin de la base de datos usaremos la sentencia AUDIT SESSION (la
cual podemos filtrar por usuarios de la siguiente forma AUDIT
SESSION BY usuario1, usuario2; Al igual que el comando AUDIT
tenemos el comando NOAUDIT para desactivarla poltica de auditora
previamente activada.
Como ejemplo vamos a ver las conexiones y desconexiones del
usuario juanla (como sys) Hay ms campos en la vista
dba_audit_session que pueden ser interesantes.SQL > Select
Username, userhost, extended_timestamp, action_name from
dba_audit_session where username='JUANLA';
La vista dba_audit_trail tambien nos da informacin interesante
cuando registra que el usuario Juanla se ha conectado o
desconectado:SQL > Select username, timestamp, action_name,
comment_text, priv_used from dba_audit_trail where
username='JUANLA';
Tambin podemos comprobar que funciona con la siguiente lnea si
estamos con la cuenta de usuario:SQL > Select Username,
userhost, extended_timestamp, action_name from
user_audit_session;
Podemos filtrar los registros de conexiones si han sido
correctas o fallida de la siguiente manera, si no lo filtramos nos
registrar los 2 tipos:SQL>audit session whenever not successful;
SQL>audit session whenever successful;
Auditar una sentencia concreta Pongmonos en la situacin que por
ejemplo vamos a auditar todas las sentencias que creen una tabla,
para este ejemplo vamos a auditar los create table de juanma;
5
AUDITORA EN ORACLE SGBD
Con estas sentencias podemos ver que la auditora de la sentencia
create table ha sido activada para ese usuario:SQL > Select *
from dba_priv_audit_opts where user_name='JUANMA'; SQL > Select
* from dba_stmt_audit_opts where user_name='JUANMA';
As podemos ver que quedan auditados los crete table de Juanma,
en este caso:SQL > Select
username,owner,obj_name,action_name,priv_used,timestamp FROM
dba_audit_object where username='JUANMA';
Al crear la tabla con juanma habamos definido un Audit create
table by juanma, en el
caso que no pongamos el by nombreusuario, se auditarn todas,
como por ejemplo si creamos una tabla nueva con SCOTT (en el caso
que auditemos a todos los usuarios):SQL > Select
username,owner,obj_name,action_name,priv_used,timestamp FROM
dba_audit_object where username=SCOTT;
Auditar acciones de cada usuario Si vamos a auditar las acciones
de cada usuario, lo primero vamos a definir en Oracle que registre
todas las actividades que hacen:
Ahora, para comprobar si est auditando correctamente, vamos a
hacer algunas operaciones y vemos si las registra: 1. Nos
conectamos con el usuario Hard y creamos una tablaSQL > Select
username, userhost, timestamp, obj_name, action_name, priv_used
from dba_audit_trail where username='HARD'
6
AUDITORA EN ORACLE SGBD
2. Nos conectamos con Hard2, hacemos un Select a una tabla que
ha creado.SQL > Select username, userhost, timestamp, obj_name,
action_name, priv_used from dba_audit_trail where
username='HARD2'
3. Hacemos un insert en alguna tablal con Hard2.SQL > Select
* from dba_audit_trail where username='HARD2';
3. Borramos la tabla creada con Hard2.SQL > Select username,
userhost, timestamp, obj_name, action_name, priv_used from
dba_audit_trail where username='HARD2'
Auditar acciones sobre cada objeto Auditando acciones sobre
objetos tendremos seguirdad sobre la actividad de los usuarios que
han interactualo con ese objeto, vamos a ver como se audita una
tabla, para ello crearemos una tabla con el usuario Ejemplo llamada
tablaobjeto:
La sentencia para auditar sobre un objeto es la siguiente (Vamos
a auditar la tabla que acabamos de crear, para que haya algn
registro interesante vamos a hacerle un insert con otro usuario
juanma):
7
AUDITORA EN ORACLE SGBD Resultado al hacer un insert con
juanma:
SQL > Select username, userhost, timestamp, owner, obj_name,
action_name from dba_audit_object where username='JUANMA';
Para auditar todas las acciones de esa misma tabla haramos:SQL
> audit all on CONTABILIDAD by access;
Auditar privilegios del sistema Para auditar un privilegio de
sistema simplemente debemos de usar la orden audit seguida del
privilegio de sitema que necesitemos:SQL > AUDIT DELETE ANY
TABLE BY ACCESS;
Podemos ver todos los privilegios de la base de datos con la
siguiente sentencia:SQL > Select privilege from
dba_sys_privs;
Como en sesiones podemos filtrar los privilegios que se terminan
correctamente y los que no, con WHENEVER (NOT) SUCCESSFUL al final
de la sentencia, si no se define auditar todos los tipos. Si nos
conectamos con SCOTT y borramos una tabla podemos ver que dejamos
huella de ello.SQL > Select * from dba_audit_trail where
username=SCOTT;
El final de la sentencia by access nos guardar un registro nuevo
por cada sentencia que se trague, siendo un registro ms exhaustivo
que con la orden by session que solo nos guaradara uno por sesin.
Claro que tambin acaparar ms recursos del sistema Gestionar
registros de Auditora Para gestionar los registros de auditora de
oracle debemos tener claro que cualquier usuario que se conecte con
privilegios de administrador puede borrar estos archivos, aunque es
visible que han sido borrados siempre que tengamos activado el
parmetro audit_sys_operations=true tal y como est explicado
arriba.
8
AUDITORA EN ORACLE SGBD Proteger
Eliminar
Gestin de tamao Un dba tiene que tener en cuenta que el tamao de
la tabla AUD$ (como hemos dicho antes) puede aumentar mucho,
depende de dos factores: Nmero de opciones de auditora
activadas.
9
AUDITORA EN ORACLE SGBD Frecuencia con la que se producen esas
auditorias.
Analizar Redo logs con Log Miner Log Miner es una herramienta
que Oracle incorpora en su BBDD que nos ayudan a hacer ms sencillo
e interpretable los redo logs. Para activarlo tenemos que definir
una ruta de archivos en el parmetro utl_file_dir, podemos ver
inicialmente el valor de la siguiente manera:
Pues ya sabemos modificar parmetros estticos y que conllevan a
reiniciar la BBDD:SQL > alter system set
utl_file_dir='C:\LogMiner' scope=spfile;
Ahora al reiniciar la base de datos tenemos que tener en cuenta
que la sesin de LogMiner es la de SYS, no podremos usarla con otro
usuario porque trabaja con la sesin de SYS (Recuerda usar un
directorio que exista o crearlo manualmente).
10
AUDITORA EN ORACLE SGBD
Ahora debemos crear el diccionario que usa LogMiner para esto
debemos asegurarnos que estar en el mismo directorio que la ruta
que dimos antes, por ejemplo:SQL > exec DBMS_LOGMNR_D.BUILD(
DICTIONARY_FILENAME =>'logminer.ora', DICTIONARY_LOCATION =>
'C:\LogMiner');
Ahora solamente tenemos que indicarle a logminer los ficheros
redo que necesitamos estudiar, para ello escribimos las ordenes
siguientes (agregar archivo redo y eliminarlo):SQL> exec
DBMS_LOGMNR.add_logfile('nombrearchivo'); SQL> exec
DBMS_LOGMNR.remove_logfile (LOGFILENAME => 'nombrearchivo');
Como vemos, aadimos dos archivos redo y eliminamos uno para que
se vean las sentencias ejecutndose, ahroa solo nos queda iniciar la
sesin de LOGminer para ver el redo02.log que es el redo que hemos
montado.
SQL > exec DBMS_LOGMNR.START_LOGMNR(DICTFILENAME=>ruta del
diccionario) ;
Ahora tenemos algunas vistas que nos ayudaran a interpretar la
informacin de los redo, la principal es v$logmnr_contents, pero
tambien tenemos algunas ms:
V$LOGMNR_CONTENTS V$LOGMNR_DICTIONARY V$LOGMNR_LOGS
V$LOGMNR_PARAMETERS
Voy a mostrar un ejemplo (uno unas lneas para dar formato de
salida a la select y as poder verla desde la consola SQL PLUS)
11
AUDITORA EN ORACLE SGBD Obtendremos un resultado parecido a
esto:
Para finalizar la sesin de LogMiner solo es necesario ejecutar
el siguiente comando:SQL > exec DBMS_LOGMNR.END_LOGMNR;
O salir de la sesin de SYS y automticamente se cerrar la base de
datos. Auditora Fine-Grained Oracle contempla 2 tipos generales de
auditora, Auditora estndar y Auditora FGA (ms concreta) la cual se
realiza mediante procedimientos en PL/SQL a travs del paquete
DBMS_FGA, este tipo de auditora es independiente de la estndar y
todos sus registros se guardan en latabla FGA_LOG$, en este trabajo
no vamos a tratar PL/SQL pero voy a dejar un ejemplo de auditora
fine-grained sencillo, para ello usaremos el usuario Juanla y
crearemos una tabla con algunos datos:
Creamos la poltica en PL/SQL con la orden dbms_fga.add_policy();
La poltica controlar los salarios de ms de 5550 de valor.
12
AUDITORA EN ORACLE SGBD Vamos a hacer alguna select con el
usuario Juanla en la tabla finegrained para ver si las registra o
no.
Y ahora al conectarnos como SYS, podemos ver que hemos obtenido
un registro:
Como vemos registro la select a la fila donde el salario era
mayor a 5550, aparte del texto sql ejecutado podemos ver ms datos,
entre ellos destaco los siguientes:
Obviamente podemos eliminar la poltica con la orden:
dbms_fga.add_policy(); Como conclusin la auditora fine-grained es
mucho ms avanzada que la normal, obviamente consume ms recursos y
hay que tener claro por qu, dnde, cuanto tiempo vamos a activarla,
son ms complejas pero merecen la pena por el resultado que dan y
que la auditora estndar no puede ofrecer, por eso me pareci
interesante comentar un poco en el trabajo.
Nota: Decir que los campos de las select en los ejemplos son los
m s significativos, hay ms campos que pueden ser til dependiendo
del uso que se le est dando.
Enterprise Manager y las auditoras Enterprise manager nos brinda
una consola web con miles de opciones, entre ellas las relacionadas
con la auditora que lo que hacen es hacerla ms cmoda al ojo del
administrador, para llegar a ella nos loguearemos y ireamos a las
opciones de auditora desde la siguiente manera:
13
AUDITORA EN ORACLE SGBD
En la pestaa Servidor, vamos al apartado de seguridad y vemos
Configuracin de Auditora entramos en ella y tendremos abierto el
apartado web relacionado con la auditora. Como informacin principal
vemos si la auditora est activada, los usuarios privilegiados estn
auditados y cual es el directorio de la auditora (si la hacemos por
sistema operativo o XML)
Esta consola web, nos permite aadir polticas de auditora as como
lo hacemos desde consola, vamos a ver algunos ejemplos. En primer
lugar vamos a auditar un privilegio desde la consola web, para el
usuario JUANLA, para ello seleccionamos el usuario y pulsamos en
aadir, ah elegimos el privilegio:
Ahora vamos ms abajo y vemos que Oracle nos ha preparado un
apartado donde podemos auditar roles:
Y an ms abajo vemos que oracle nos da a a elegir las dems
opciones de auditora que nos quedan, que son el filtrado por
usuario, por resultado de ejecucin (satisfactoria o no) , o la
exhaustivida del registro.
14
AUDITORA EN ORACLE SGBD
Ahora solo tenemos que pulsar en el botn Ok y ya empezar a
auditar sobre ese privilegio. Si creamos una tabla con el usuario
juanla y en la consola web vamos a Privilegios Auditado podemos
encontrarnos un resultado parecido a este:
Si necesitaramos auditar algn objeto (Vamos a partir de la tabla
que acabamos de crear, llamada prueba1) Vamos a Aadir objeto
auditado:
Oracle nos permite elegir un tipo de objeto, entre ellos estn:
(Contexto, Directorio, Funcin, Libreria, Vista materializada, tipo
objeto, paquete, procedimiento, secuencia, sinnimo, tabla y vista)
Nosotros elegiremos tabla. La podemos aadir con la herramienta de
bsqueda de oracle:
Podemos elegir opciones de audicin, como son las sentencias
auditadas, filtro de resultado, exhaustividad de la sentencia..
Probaremos a insertar un dato y hacer un select de la misma tabla y
vamos a Objetos Auditados donde encontraremos:
15
AUDITORA EN ORACLE SGBD Por ltimo, la consola web de oracle nos
permite auditar sentencias concretas, vamos a ver un ejemplo con un
update y un drop table de la tabla prueba1, y como tal seguimos de
la misma forma que en las dems opciones, vamos a Aadir sentencia
auditada y la consola nos mostrar lo que debemos elegir, muy
amigable y sencillo como en las dems opciones de auditora:
Como vemos las opciones que podemos dar son parecidas o las
mismas de un modo u otro a cada tipo de auditora que ofrece la
consola web, vamos a hacer un update y un drop table y vemos que
nos muestra:
Como vemos es una manera ms cmoda (pero ms lenta) de hacer
auditora en nuestro sistema, una alternativa que puede sernos til
en algnos momentos para crear polticas o consultar registros. Eso
s, tiene limitaciones al mostrar los datos de registro pero no por
ello deja de ser til para la administracin de la base de datos.
16
