D-09 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정
■ 점검영역 : 옵션관리
■ 항목 중요도 : 상
■ 점검내용
OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정이 false 인지 여부를 점검
■ 점검목적
OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정을 점검하여 비인가자들의 데이터베이스 접근을 막고 데이터베이스 관리자에 의한 사용자 Role 설정이 가능하게 하기 위함
■ 보안위협
OS_ROLES가 TRUE로 설정된 경우, 데이터베이스 접근 제어로 컨트롤되지 않는 OS 그룹에 의해 grant된 퍼미션이 허락됨
REMOTE_OS_ROLES가 TRUE로 설정된 경우, 원격 사용자가 OS의 다른 사용자로 속여 데이터베이스에 접근할 수 있음
REMOTE_OS_AUTHENT가 TRUE로 설정된 경우, 신뢰하는 원격 호스트에서 인증 절차 없이 데이터베이스에 접속할 수 있음
■ 참고
※ OS_ROLES: OS 그룹에 의한 사용자의 롤 부여를 가능하게 할지를 설정
※ REMOTE_OS_AUTHENT: 원격지의 OS 인증 허용여부를 설정
※ REMOTE_OS_ROLES: OS가 원격 클라이언트에 대한 롤을 지정할 수 있게 할지를 설정
점검대상 및 판단기준(데이터베이스/dbms 취약점 진단)
■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등
양호
OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES 설정이 FALSE로 되어있는 경우
취약
OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES 설정이 TRUE로 되어있는 경우
■ 조치방법
OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES 설정을 FALSE로 설정
점검 및 조치 방법(oracle, mssql, mysql 등)
■ Oracle
Step 1) 설정 확인(SQL*Plus)
1. OS_ROLES
- SQL> Show parameter os_roles;
- SQL> select value from v$parameter where name='os_roles';
- OS_ROLES 파라미터를 FALSE로 설정
#vi /Oracle_HomeDirectory/admin/pfile/init.ora에서 OS_Role=False 추가
2. REMOTE_OS_AUTHENTICATION
- SQL> Show parameter remote_os_authent;
- SQL> Select value from v$parameter where name='remote_os_authent';
- init.ora 파일에서 remote_os_authent=FALSE 추가
pfile='$full_path/init.ora'
버전 9i 이후 버전은 SPFILE을 재생성해야 하므로, DBMS를 Shutdown 시키면 spfile이 재생성 됨
3. REMOTE_OS_ROLES
- SQL> Show parameter remote_os_roles;
- SQL> Select value from v$parameter where name='remote_os_roles';
- init.ora 파일에 remote_os_roles=FALSE 추가
■ 조치 시 영향 : 일반적인 경우 영향 없음