|
|
 | Linux/Oracle passwords
Fra : Claus Rasmussen |
Dato : 09-07-02 19:15 |
|
For nogen tid siden spurgte jeg om det var muligt at lade bestemte
systembrugere logge ind fra klientmaskiner i Oracle uden passwords.
Meningen var, at jeg har nogle systembrugere (altså ikke menneske-
brugere) kørende på nogle klienterne, som samler forskellige data
sammen og derefter skovler dem ind i Oracle.
Der var en del gode forslag, men der kom ikke rigtigt nogen helt
tilfredsstillende løsning. Den har jeg så fundet nu:
1). For hver bruger, der skal have mulighed for at logge ind i
Oracle uden password oprettes der en konto på serveren. Ssh
sættes op til at acceptere login fra klienten uden password.
2). Brugeren oprettes i Oracle med samme navn som han/hun har i
operativsystemet men med et 'OPS$' prefix. Hvis f.eks brugeren
hedder 'shakti' i operativsystemet oprettes han i Oracle som
'OPS$shakti'.
3). Når der skal loades data fra klienten, sker det så med flg.
kommando fra cron:
su brugernavn -c "skab_data_script | ssh server sqlplus"
(sqlplus er Oracle kommandolinieværktøj)
Så vidt jeg kan dømme er det den optimale løsning:
o Der er ingen hardcodede passwords
o Brugeren behøves ikke at have en shell konti
o Brugeren skal ikke have en priviligeret status i Oracle (SYSDBA
eller SYSOPER)
o root er ikke involveret mere end højst nødvendigt
Og kun hvis klienten bliver rootet vil crackere have adgang til
Oracle. Men da Oracle-brugeren kan køre med minimale permissions
er skaden begrænset, da crackeren via sin root-status alligevel
ville kunne korrumpere de data, der bliver sendt fra klienten.
Kommentarer ?
-Claus
| |
 Kasper Dupont (09-07-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 09-07-02 20:31 |
|
Claus Rasmussen wrote:
>
> 3). Når der skal loades data fra klienten, sker det så med flg.
> kommando fra cron:
>
> su brugernavn -c "skab_data_script | ssh server sqlplus"
Kan du ikke slippe udenom su kommandoen ved at oprette cron
jobs i de forskellige brugeres navn?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Claus Rasmussen (09-07-2002)
| Kommentar
Fra : Claus Rasmussen |
Dato : 09-07-02 20:41 |
|
Kasper Dupont wrote:
> Claus Rasmussen wrote:
>>
>> 3). Når der skal loades data fra klienten, sker det så med flg.
>> kommando fra cron:
>>
>> su brugernavn -c "skab_data_script | ssh server sqlplus"
>
> Kan du ikke slippe udenom su kommandoen ved at oprette cron
> jobs i de forskellige brugeres navn?
Jo. Og det var selvfølgelig en forbedring. Så er root helt ude af
billedet.
Forresten er det muligt for brugeren selv at oprette sine cron-jobs
med den lidet kendte crontab kommando:
Crontab is the program used to install, deinstall or list
the tables used to drive the cron(8) daemon in Vixie Cron.
Each user can have their own crontab, and though these are
files in /var, they are not intended to be edited
directly.
Det gør det endda muligt for brugeren selv at installere jobbet uden
at skulle skifte til root.
-Claus
| |
 Asbjorn Hojmark (09-07-2002)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 09-07-02 22:01 |
|
On Tue, 09 Jul 2002 21:41:14 +0200, Claus Rasmussen
<clr@cc-consult.dk> wrote:
> Forresten er det muligt for brugeren selv at oprette sine cron-jobs
> med den lidet kendte crontab kommando:
"Den lidet kendte"? Mangler der en smiley et eller andet sted?
-A
--
http://www.hojmark.org/
| |
Claus Rasmussen (10-07-2002)
| Kommentar
Fra : Claus Rasmussen |
Dato : 10-07-02 09:51 |
|
Asbjorn Hojmark wrote:
> On Tue, 09 Jul 2002 21:41:14 +0200, Claus Rasmussen
>
>> Forresten er det muligt for brugeren selv at oprette sine cron-jobs
>> med den lidet kendte crontab kommando:
>
> "Den lidet kendte"? Mangler der en smiley et eller andet sted?
Næ. Jeg ser aldring den kommando omtalt. Folk retter altid selv i
/etc/cron* filerne uden at vide, at de har deres egne cron filer
placeret under /var.
-Claus
| |
Martin Moller Peders~ (10-07-2002)
| Kommentar
Fra : Martin Moller Peders~ |
Dato : 10-07-02 11:41 |
|
In <aggsho$dgd$1@sunsite.dk> Claus Rasmussen <clr@cc-consult.dk> writes:
>Asbjorn Hojmark wrote:
>> On Tue, 09 Jul 2002 21:41:14 +0200, Claus Rasmussen
>>
>>> Forresten er det muligt for brugeren selv at oprette sine cron-jobs
>>> med den lidet kendte crontab kommando:
>>
>> "Den lidet kendte"? Mangler der en smiley et eller andet sted?
>Næ. Jeg ser aldring den kommando omtalt. Folk retter altid selv i
>/etc/cron* filerne uden at vide, at de har deres egne cron filer
>placeret under /var.
saa er der noget galt, for selve cron-filerne under
/var/spool/cron/crontabs/ paa en Solaris kan kun laeses af
brugeren ikke aendres.
En normal bruger skulle ikke kunne aendre paa selve filen.
crontab kommandoen checker nemlig for syntax fejl.
Mvh
Martin
| |
Claus Rasmussen (10-07-2002)
| Kommentar
Fra : Claus Rasmussen |
Dato : 10-07-02 12:06 |
|
Martin Moller Pedersen wrote:
> saa er der noget galt, for selve cron-filerne under
> /var/spool/cron/crontabs/ paa en Solaris kan kun laeses af
> brugeren ikke aendres.
Vi snakker ikke Solaris her, men Linux.
På linux ligger filerne samme sted og er skrive/læsebeskyttede, men
crontab kommandoen er suid root, og -e optionen til crontab giver
brugerne mulighed for at editere deres crontab entries.
Men jeg tror, vi misforstår hinanden lidt: Jeg refererede til alle
de gange, jeg i f.eks dk.edb.system.unix har læst noget i stil med
"... og så skifter du til root og tilføjer ... til /etc/crontab".
Derfor kaldte jeg crontab kommandoen "lidet kendt".
-Claus
| |
|
|