Контакты Поиск
25.11.2022 14:39
xray84
 
Всем доброго дня!
Задача такая - настроить аудит и защитить файлы журналов. Аудит я настроил, здесь все ок.

Вопрос следующий - как ограничить доступ, чтобы селекты к вьюхам dba_audit_trail и dba_audit_session мог делать только SYS?

Сейчас есть доступ у всех юзеров на эти вьюхи. Пробовал revoke делать, но ошибку получаю о том, что грант не был предоставить, чтобы отозвать права. Также проверял, что роли AUDIT_ADMIN и AUDIT_VIEWER только у SYS есть.
25.11.2022 15:28
OlegON
 
база к Супермагу имеет отношение? где-то разрешение в ролях...
попробуй сам запросами создать юзера и от него посмотреть, вьюха должна быть закрыта...
25.11.2022 15:56
xray84
 
нет Олег, база не супермага. Создал юзера и в итоге закрыт доступ к этой вьюхе.

Я еще пробовал DDL вытащить из скрипта создания пользователя, которому пытаюсь доступ закрыть, отозвал права, но не сработало
25.11.2022 16:35
OlegON
 
посмотри, может, ему вообще роль DBA выдана или что-то в этом роде?
начни с исследования
SQL код:
SELECT DBMS_METADATA.GET_GRANTED_DDL('OBJECT_GRANT','ЮЗЕР'FROM DUAL;
SELECT DBMS_METADATA.GET_GRANTED_DDL('SYSTEM_GRANT','ЮЗЕР'FROM DUAL;
SELECT DBMS_METADATA.GET_GRANTED_DDL('ROLE_GRANT','ЮЗЕР'FROM DUAL
25.11.2022 16:47
xray84
 
в 2 и 3 такие гранты:

GRANT RESTRICTED SESSION TO "GLOGDEV"
GRANT UNLIMITED TABLESPACE TO "GLOGDEV"
GRANT CREATE ANY TABLE TO "GLOGDEV"
GRANT CREATE ANY INDEX TO "GLOGDEV"
GRANT CREATE ANY SYNONYM TO "GLOGDEV"
GRANT CREATE PUBLIC SYNONYM TO "GLOGDEV"
GRANT DROP PUBLIC SYNONYM TO "GLOGDEV"
GRANT CREATE ANY VIEW TO "GLOGDEV"
GRANT CREATE ANY TRIGGER TO "GLOGDEV"
GRANT ADVISOR TO "GLOGDEV"
GRANT CREATE JOB TO "GLOGDEV"
GRANT ADMINISTER SQL TUNING SET TO "GLOGDEV"
GRANT CREATE ANY EDITION TO "GLOGDEV"
GRANT CREATE CREDENTIAL TO "GLOGDEV"

GRANT "RESOURCE" TO "GLOGDEV"
GRANT "EXT_USER" TO "GLOGDEV"

в 1 запросе список оч длинный, буду еще анализировать
25.11.2022 19:17
OlegON
 
Что-то тут не так... Это админская учетка, что у него столько ANY? Зачем тогда журнал закрывать? Тут уж либо трусы надеть, либо крестик снять...
28.11.2022 09:07
xray84
 
это только одна из УЗ, которая имеет доступ к журналам dba_audit_trail. у всех есть доступ остальных тоже
28.11.2022 09:15
xray84
 
Нужно, чтобы было только у SYS доступ к этим журналам. В последствии выдавать роль AUDIT_VIUEWER некоторым юзерам
28.11.2022 09:46
xray84
 
GRANT "EXT_USER" TO "GLOGDEV" -- нашел, вот эта роль дает такие привилегии
28.11.2022 10:33
OlegON
 
Ты же понимаешь, что это несистемная роль... То есть просто теперь надо разобраться, кто создал эту роль и что там еще лишнего у нее...
Часовой пояс GMT +3, время: 15:45.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.