Menu de navegação

[acastanheira2001Participante]

Olá,

Retirei o texto a seguir do link http://glufke.net/oracle/viewtopic.php?t=4159.

Se o que está escrito for verdade, avalio que o produto possui vários furos de segurança, ou que as vulnerabilidades são características do produto para atender a situações como as elencadas abaixo, mas que em uma instalação profissional devem ser adotadas contramedidas que mitiguem as vulnerabilidades.

Agradeço antecipadamente pela sua atenção.

“Alterando Senhas do SYS e SYSTEM no ORACLE

Perdeu a senha do SYS ou SYSTEM do Oracle, não tenha pânico, se você tem acesso local ao equipamento, pode resetar essas senhas, SIM, você pode, alias sei que tem DBA que vai querer me matar, pois as vezes parece que esse é o maior segredo deles e não querem contar pra ninguém, mas isso parece mais facil do que parece e so leva algus minutos.

Vamos ao pior cenário, você não tem a senha do SYS e SYSYEM .

entra no SQLPLUS (usa o prompt ou shell) com a opção /NOLOG, que não vai pedir user e senha.Assim:

SQLPLUS /NOLOG

quando estiver no sqlplus, digite:

CONNECT / AS SYSDBA

se deu mensagem de “CONECTADO”, pronto você está como SYS o usuário mas poderoso do banco de dados daí você pode trocar a senha do SYSTEM:

ALTER USER SYSTEM IDENTIFIED BY SENHA_NOVA;

pronto, pode trocar a senha do SYS tambem se quiser, ou conectar sempre assim.

Casso tenha dado erro quando você tentou conectar como SYSDBA, é porque devem ter definido uma senha para o arquivo PWD do Oracle, aí você me pergunta… E AGORA?? eu respondo…FIQUE CALMO QUE ISSO TAMBÉM TEM JEITO

A primeira coisa é remover o arquivo PWD, ele geralmente fica no $ORACLE_HOME/database ou $ORACLE_HOME/dbs o nome dele geralmene é PWD.ORA. Se estiver com medo de remover, apenas renomeie.

Agora você deve criar um novo arquivo com a nova senha, ou deixar sem o arquivo, se quiser que o SYS não tenha senha. Pra isso use o comando no prompt ou shell

ORAPWD file=PWD.ORA password=NOVA_SENHA

Pronto, agora entre no sqlplus usando o usuário e nova senha.

Vale lembrar que você precisa ter acesso ao equipamento, isso não dá pra fazer remoto…e HAVE FUN.”

[José Laurindo ChiappaModerador]

Colega, DE FORMA NENHUMA o que vc diz aí é novidade : em QUALQUER SOFTWARE, a partir do momento em que vc tem acesso ao HARDWARE fisicamente, OU consegue logar no servidor com um usuário privilegiado, é game over… E INCLUSIVE, Pra esse caso específico, NADA IMPEDE do sysadmin de remover privilégio de login no servidor do usuário que instalou e roda o RDBMS, e/ou (pensando ao contrário) do DBA proibir conexão como / as sysdba entre outros meios setando SQLNET.AUTHENTICATION_SERVICES=(NONE) …

Mas insisto : a partir que qualquer um não-autorizado conseguiu logar no servidor E/OU conseguiu acessar fisicamente o servidor , é game over na prática, há TROCENTAS maneiras de roubar informações, nem que seja abrindo a carcaça do servidor e roubando os HDs… É POR ISSO que num datacenter de porte o acesso físico aos servidores é Restrito, que afora o DBA e o sysadmin NINGUÉM TEM usuário de login no servidor (os usuários TODOS só podem conectar via SQL*NET), há RAZÕES para isso…

[]s

Chiappa

OBS : e é IMPORTANTE dizer : troque no texto acima ‘ORACLE’ por SQL SERVER, DB2, PostgreSQL ou seja qual for o software que o texto PERMANECE VERDADEIRO : deixou alguém ter acesso físico ao servidor OU login pouco mais privilegiado, é GAME OVER pra segurança…

[Autor]

Posts