防止應用程序登錄Oracle數據庫

Question

有誰知道我怎麼可能讓一個觸發器或其他任何東西，以防止他人使用任何類型的礦山之外的應用程序在我的數據庫連接？

請注意，用於阻止少數.exe如TOAD或watever的超舊和不安全觸發器實際上不起作用，因爲您可以將EXE重命名爲MyApplication.exe。

提示？

Answer 1

如果你不信任的v $會話的程序名，然後浮現在腦海中的唯一選項是讓你的應用程序編碼的密碼，讓他們輸入的內容其實不是什麼用來連接到D B;或讓您的應用程序使用私人用戶名/密碼登錄，並根據您自己的用戶表對用戶進行身份驗證，而不是爲他們提供Oracle用戶帳戶。儘管這兩個選項都使賬戶管理更加複雜。

Answer 2

我不知道，Oracle有任何功能，以幫助這個（我可能是錯的），所以退而求其次可能是寫一個小服務器應用程序，讓你有在登錄過程中更好地控制和充當客戶端應用程序和數據庫服務器之間的中間人。這樣，數據庫的所有連接都通過您的服務器應用程序來實現，您可以控制服務器如何識別哪個客戶端應用程序是合法的。但這會給系統增加一點複雜性。

Answer 3

當您的應用程序日誌，您撥打的是，目前的Oracle會話爲「值得信賴的」會話相關聯的存儲過程。通過創建帶有sessionID和可信位字段的可信會話表（以及可選的隨機散列以防止用戶篡改）來實現此目的。

創建一個system wide trigger，是檢查你當前的會話ID（和隨機哈希值），如果它是可信的檢測。如果表中不存在會話，則不允許查詢並註銷用戶。

你也應該設置一個關機觸發在退出時清除受信任的會話表。

Answer 4

您可能希望考慮Oracle的安全應用程序角色 - 它不會阻止人們通過惡意應用程序登錄到數據庫，但是如果應用程序沒有設置角色，它可以阻止他們訪問表和程序包使用只有它知道的密碼。

你可以找到一個關於部署它的教程here，儘管爲了保護它，你必須使用密碼創建角色，並且在發出SET ROLE rolename IDENTIFIED BY rolepassword;語句時，你的應用程序必須知道密碼。

Answer 5

更簡單的方法是將安全轉移到只能由您的應用程序啓用了作用 - 看到我的一個以前的答案here

這種方法的另一個應用程序可以創建一個會話，但沒有任何其他特權因爲該角色未啓用。