D-18 관리자 이외의 사용자가 오라클 리스너의 접속을 통해 리스너 로그 및 trace 파일에 대한 변경 제한
■ 점검영역 : 접근관리
■ 항목 중요도 : 하
■ 점검내용
리스너 관련 설정 파일의 접근 권한을 관리자만 가능하게 하고 리스너 파라미터의 변경 방지에 대한 옵션 설정 여부 점검
■ 점검목적
리스너 설정 파일 및 파라미터 변경 방지 옵션을 설정하여 비인가자의 리스너를 이용한 파라미터 변경을 방지하여 trace 파일 및 리스너 로그의 신뢰도를 유지하기 위함
■ 보안위협
비인가자가 Oracle의 LSNRCTL 유틸리티를 이용하여 listener에 직접 접근 시 set 명령어를 이용하여 listener의 모든 파라미터를 변경할 수 있어서 trace 파일이나 listener 로그 파일을 변경할 수 있음
■ 참고
※ trace 파일: 데이터베이스에 문제가 발생했을 시 문제를 진단하고 디버깅 할 수 있도록 다양한 정보를 제공하는 파일
점검대상 및 판단기준(데이터베이스/dbms 취약점 진단)
■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등
양호
리스너 관련 설정 파일에 대한 퍼미션이 관리자로 설정되어 있으며, 리스너로 파라미터를 변경할 수 없게 옵션을 설정했을 경우
취약
리스너 관련 설정 파일에 대한 퍼미션이 일반 사용자로 설정되어 있고, 리스너로 파라미터를 변경할 수 없게 옵션 설정을 하지 않았을 경우
■ 조치방법
주요 파일 및 로그 파일에 대한 퍼미션을 관리자로 제한
점검 및 조치 방법(oracle, mssql, mysql 등)
■ Oracle
Step 1) 파일 퍼미션 확인
$ORACLE_HOME/network/admin 디렉토리의 퍼미션을 ls-al(Unix 계열 시스템) 또는 파일 속성(Windows 계열)을 통해 확인
LSNRCTL> status ListenerName
LISTENER.ORA 파일 확인
ADMIN_RESTRICTIONS_ListenerName=ON
Step 2) listener.ora 파일에 ADMIN_RESTRICTIONS_LISTENER=ON 라인 추가
listener를 재실행하거나 lsnrctl reload 명령어를 실행하여 listener를 재로딩함
#vi /Oracle_HomeDirectory/network/admin/listener.ora
ADMIN_RESTRICTIONS_LISTENER=ON 추가
※ ListenerName은 DBA가 제공한 리스너 이름
#cd /Oracle_Homedirectory/bin/에서
#LSNRCTL> reload
■ 조치 시 영향 : 일반적인 경우 영향 없음