{"id":3389,"date":"2018-06-11T17:08:57","date_gmt":"2018-06-11T20:08:57","guid":{"rendered":"https:\/\/www.dbarj.com.br\/?p=3389"},"modified":"2018-11-09T17:32:16","modified_gmt":"2018-11-09T19:32:16","slug":"protegendo-binarios-do-oracle-database-de-alteracoes-maliciosas","status":"publish","type":"post","link":"https:\/\/www.dbarj.com.br\/pt-br\/2018\/06\/protegendo-binarios-do-oracle-database-de-alteracoes-maliciosas\/","title":{"rendered":"Protegendo bin\u00e1rios do Oracle Database de altera\u00e7\u00f5es maliciosas"},"content":{"rendered":"

Introdu\u00e7\u00e3o<\/h3>\n

Em minhas apresenta\u00e7\u00f5es sobre seguran\u00e7a e vulnerabilidades de Oracle Database<\/span><\/strong>, eu sempre menciono os rootkits ou malwares que podem atacar um Banco de Dados por dentro (atrav\u00e9s de SQL Injection, altera\u00e7\u00e3o de c\u00f3digos PL\/SQL, leaks de Java, etc) ou por fora (atrav\u00e9s de altera\u00e7\u00e3o de arquivos do usu\u00e1rio oracle<\/em>, tais\u00a0como bin\u00e1rios \/ libs \/ crontab \/ etc).<\/p>\n

Para chegar a estas duas formas de ataques, um hacker costuma utilizar o que eu chamo de escada da alegria<\/strong><\/span><\/em>:<\/p>\n

\"\"<\/p>\n

Normalmente um invasor come\u00e7a o escalonamento de privil\u00e9gios partir de um usu\u00e1rio com baixas permiss\u00f5es, muitas vezes apenas com o grant de CREATE SESSION<\/strong>, e tenta diversas t\u00e9cnicas para subir a escada, como SQL Injection, Java Vulnerabilities, Buffer Overflow, etc. Uma vez como SYSDBA<\/strong> ou DBA<\/strong>, \u00e9 trivial o caminho para alcan\u00e7ar o usu\u00e1rio oracle<\/em> de SO, respons\u00e1vel pelos bin\u00e1rios do BD.<\/p>\n

O objetivo deste artigo \u00e9 apresentar como proteger os arquivos do usu\u00e1rio Oracle Home contra altera\u00e7\u00f5es indevidas e evitar assim a implanta\u00e7\u00e3o de rootkits ou malwares.<\/strong><\/span><\/p>\n

OBS: Note que algumas etapas deste artigo n\u00e3o s\u00e3o documentadas ou suportadas pela Oracle. Portanto, fa\u00e7a por sua conta e risco.<\/strong><\/span><\/p>\n

Come\u00e7ando<\/h3>\n

No Oracle 18c foi introduzida uma nova funcionalidade chamada Read-Only Oracle Home (ou ROOH<\/strong>) e em cima deste novo recurso que iremos implementar esta prote\u00e7\u00e3o extra. Para BDs pre-18c, h\u00e1 uma sess\u00e3o exclusiva neste tutorial.<\/p>\n

Dentre os objetivos do ROOH est\u00e3o:<\/p>\n

\u2022 Remover do Oracle Home arquivos muta\u0301veis.
\n\u2022 Consolidar estes arquivos em uma pasta separada.
\n\u2022 Facilitar a migrac\u0327a\u0303o \/ clonagem de ambientes.
\n\u2022 Facilitar a utilizac\u0327a\u0303o de Docker \/ compartilhamento de Oracle Homes via NFS \/ etc.<\/p>\n

No entanto, o ROOH apenas garante que nenhum processo ir\u00e1 criar ou alterar arquivos no ORACLE_HOME, mas n\u00e3o torna imposs\u00edvel ao usu\u00e1rio oracle<\/em>\u00a0de implementar qualquer tipo de altera\u00e7\u00e3o em seus pr\u00f3prios arquivos. Uma vez como propriet\u00e1rio dos mesmos, ele obviamente ainda \u00e9 capaz de alter\u00e1-los. Portanto, esses arquivos ainda n\u00e3o est\u00e3o protegidos contra mudan\u00e7as maliciosas.<\/p>\n

O que faremos ent\u00e3o, uma vez ativado o ROOH<\/span> e tendo a certeza que o usu\u00e1rio oracle<\/em> n\u00e3o precisar\u00e1 mais modificar qualquer arquivo dentro desta raiz (salvo em casos de aplica\u00e7\u00e3o de patches), ser\u00e1 proteger os bin\u00e1rios com as seguintes etapas:<\/p>\n

    \n
  1. Salve os atuais propriet\u00e1rios e privil\u00e9gios de todos os arquivos presentes ORACLE_HOME.<\/li>\n
  2. Altere o atual propriet\u00e1rio de todos os arquivos do ORACLE_HOME para root<\/em>.<\/li>\n<\/ol>\n

    O objetivo da Etapa 1 \u00e9 ter uma forma de retornar ao propriet\u00e1rio e privil\u00e9gios anteriores em caso de necessidade de aplica\u00e7\u00e3o de um patch ou qualquer outro tipo de altera\u00e7\u00e3o do ORACLE_HOME pelo usu\u00e1rio oracle<\/em>.<\/p>\n

    O objetivo da Etapa 2 \u00e9 proteger de fato o ORACLE_HOME de altera\u00e7\u00f5es indevidas, uma vez que o usu\u00e1rio oracle<\/strong><\/em> n\u00e3o ser\u00e1 mais propriet\u00e1rio dos arquivos (parecido com o que ocorre hoje com o GRID_HOME, cujo propriet\u00e1rio \u00e9 o root<\/em> e n\u00e3o o grid<\/em>).<\/p>\n

    Antes de come\u00e7ar<\/h4>\n

    Certifique-se que:<\/p>\n