Ограничение на select журналов аудита : Oracle

xray84 · █ 25.11.2022 14:39

Всем доброго дня!
Задача такая - настроить аудит и защитить файлы журналов. Аудит я настроил, здесь все ок.

Вопрос следующий - как ограничить доступ, чтобы селекты к вьюхам dba_audit_trail и dba_audit_session мог делать только SYS?

Сейчас есть доступ у всех юзеров на эти вьюхи. Пробовал revoke делать, но ошибку получаю о том, что грант не был предоставить, чтобы отозвать права. Также проверял, что роли AUDIT_ADMIN и AUDIT_VIEWER только у SYS есть.

OlegON · █ 25.11.2022 15:28

база к Супермагу имеет отношение? где-то разрешение в ролях...
попробуй сам запросами создать юзера и от него посмотреть, вьюха должна быть закрыта...

xray84 · █ 25.11.2022 15:56

нет Олег, база не супермага. Создал юзера и в итоге закрыт доступ к этой вьюхе.

Я еще пробовал DDL вытащить из скрипта создания пользователя, которому пытаюсь доступ закрыть, отозвал права, но не сработало

OlegON · █ 25.11.2022 16:35

посмотри, может, ему вообще роль DBA выдана или что-то в этом роде?
начни с исследования

SQL код:

 SELECT DBMS_METADATA.GET_GRANTED_DDL('OBJECT_GRANT','ЮЗЕР') FROM DUAL;
SELECT DBMS_METADATA.GET_GRANTED_DDL('SYSTEM_GRANT','ЮЗЕР') FROM DUAL;
SELECT DBMS_METADATA.GET_GRANTED_DDL('ROLE_GRANT','ЮЗЕР') FROM DUAL;

xray84 · █ 25.11.2022 16:47

в 2 и 3 такие гранты:

GRANT RESTRICTED SESSION TO "GLOGDEV"
GRANT UNLIMITED TABLESPACE TO "GLOGDEV"
GRANT CREATE ANY TABLE TO "GLOGDEV"
GRANT CREATE ANY INDEX TO "GLOGDEV"
GRANT CREATE ANY SYNONYM TO "GLOGDEV"
GRANT CREATE PUBLIC SYNONYM TO "GLOGDEV"
GRANT DROP PUBLIC SYNONYM TO "GLOGDEV"
GRANT CREATE ANY VIEW TO "GLOGDEV"
GRANT CREATE ANY TRIGGER TO "GLOGDEV"
GRANT ADVISOR TO "GLOGDEV"
GRANT CREATE JOB TO "GLOGDEV"
GRANT ADMINISTER SQL TUNING SET TO "GLOGDEV"
GRANT CREATE ANY EDITION TO "GLOGDEV"
GRANT CREATE CREDENTIAL TO "GLOGDEV"

GRANT "RESOURCE" TO "GLOGDEV"
GRANT "EXT_USER" TO "GLOGDEV"

в 1 запросе список оч длинный, буду еще анализировать

OlegON · █ 25.11.2022 19:17

Что-то тут не так... Это админская учетка, что у него столько ANY? Зачем тогда журнал закрывать? Тут уж либо трусы надеть, либо крестик снять...

xray84 · █ 28.11.2022 09:07

это только одна из УЗ, которая имеет доступ к журналам dba_audit_trail. у всех есть доступ остальных тоже

xray84 · █ 28.11.2022 09:15

Нужно, чтобы было только у SYS доступ к этим журналам. В последствии выдавать роль AUDIT_VIUEWER некоторым юзерам

xray84 · █ 28.11.2022 09:46

GRANT "EXT_USER" TO "GLOGDEV" -- нашел, вот эта роль дает такие привилегии

OlegON · █ 28.11.2022 10:33

Ты же понимаешь, что это несистемная роль... То есть просто теперь надо разобраться, кто создал эту роль и что там еще лишнего у нее...