高危防范:巧用触发器,实现DDL监控

在数据运维过程中,常常因为DBA的疏忽而使数据安全面临威胁,有些威胁来自数据库外部,如rm操作,而有些威胁则来自数据库内部,如Truncate操作.因此对于数据库的任何操作都要三思而后行,减少出错的几率。同时对于TRUNCATE等高风险的数据库DDL操作,可以考虑通过触发器进行禁用,防止未授权的操作损害数据。

(1)如下触发器实现对于特定表的DROP、TRUNCATE防范:

如果用户试图对 test 表进行 DROP 或 TRUNCATE 操作,则将遇到错误:

(2)以下触发器可以实现全库级别的 DDL 防范:

在以下类似操作中,触发器的作用就体现出来:

(3)对于某些数据库环境,也可以限定DDL操作只能在数据库服务器本地执行,对于远程执行则予以禁止,类似的触发器可以参考如下代码,以下代码基于Schema模式建立,需要对于V$SESSION的访问授权,自定义的记录信息被写入告警日志文件:

此时如果通过远程进行DDL操作,就会收到错误:

在告警日志文件中会同时记录移行错误信息:

在本地的DROP操作可以进行:

以上是一些示范,供参考,在系统中采用需要经过测试和改进。

因为DDL的重要性,在Oracle11g中,DDL日志机制被引入,可以通过enable_ddl_logging参数设置,如果启用日志,DDL操作的信息都将被记录到告警日志中:

在Oracle Database 12c中,为了防止DDL日志对于告警日志的干扰,DDL日志进一步的独立出来,记录了一个独立的DDL日志。

oel*orcl12c-/u01/app/oracle/diag/rdbms/eygle/eygle/log/ddl$ls -l 总用量 8 -rw-r-----. 1 oracle oinstall 4235 2月 17 17:32 log.xml

以下是日志中记录的DROP表操作:

Fri Feb 17 17:32:27 2012 diag_adl:drop table eygle

由此可见,DDL审计和记录是众多Oracle数据库用户的需求,同时Oracle 也不断做出改变来满足用户的需求。

最后,还是要再次强调,虽然可以通过一些方式防范DDL对数据的威胁,但作为一个合格的DBA,一定要严谨专注,任何操作都必须三思而后行,承担起数据责任,不能有丝毫的马虎和大意,草率的判断和轻忽的选择对数据来说很可能是致命的。

以上文,与所有DBA朋友们共勉。

原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2016-09-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏闰土大叔

vue菜鸟从业记:完成项目最后一公里之真机测试和打包上线

昨天下班后,王小闰在朋友圈看到很多城市都下雨了,有位童鞋发了一张他下班后在等车的照片,让我的朋友王小闰感触颇深,让他回忆起了当年在杭州工作的职场生活,于是将这张...

951
来自专栏恰同学骚年

微信小程序开发初探

  (1)一切以用户价值为依归→用户是微信的核心,所以微信中没有很多与客户无关的功能,比如QQ中的乱七八糟一系列东西。

1583
来自专栏极乐技术社区

微信小程序开发需要注意的30个坑

1、小程序名称可以由中文、数字、英文。长度在3-20个字符之间,一个中文字等于2个字符。 2、小程序名称不得与公众平台已有的订阅号、服务号重复。如提示重名,请更...

2848
来自专栏企鹅号快讯

GoAhead服务器 远程命令执行漏洞 分析报告

安全通告 1 GoAhead Web Server是为嵌入式实时操作系统(RTOS)量身定制的开源Web服务器。很多国际一线大厂商,包括IBM、HP、Oracl...

20610
来自专栏腾讯移动品质中心TMQ的专栏

从 0 开始做后台测试

为了解决后台测试面临的问题,于是开启了产品后台测试的探索之路,按照以下思路进行:分析产品的后台架构 > 客户端交互的后台接口测试 >TAF后台接口测试 > 后台...

3460
来自专栏企鹅号快讯

WebGenerate 产品介绍

北京劳恩斯科技有限公司 网址: WebGenerate降本增效的代码生产工具,经过WebGenerate生产的代码适用于Spring、MyBatis、Maven...

1677
来自专栏CSDN技术头条

Java 程序员必备的 IntelliJ IDEA 插件

IntelliJ 在业界被公认为最好的 java 开发工具之一,尤其在智能代码助手、代码自动提示、重构、CVS 整合、代码审查、 创新的 GUI 设计等方面的功...

864
来自专栏IT大咖说

漫谈Android组件化及Web化

内容来源:2018 年 04 月 14 日,高级Android工程师陈家伟在“2018互联网开发者大会”进行《漫谈Android组件化及Web化》演讲分享。IT...

1185
来自专栏QQ音乐前端团队专栏

Puppeteer 初探之前端自动化测试

puppeteer 翻译是操纵木偶的人,利用这个工具,我们能做一个操纵页面的人。puppeteer是一个 nodejs 的库,支持调用 Chrome 的 API...

5K3
来自专栏安恒信息

干货分享 | GoAhead服务器 远程命令执行漏洞(CVE-2017-17562) 分析报告

安全通告 1 GoAhead Web Server是为嵌入式实时操作系统(RTOS)量身定制的开源Web服务器。很多国际一线大厂商,包括IBM、HP、Oracl...

27112

扫码关注云+社区