출처 : http://fullc0de.egloos.com/3105644
오라클은 우리나라에서도 상당히 많이 사용하는 Database중에 하나다. 물론 이러한 사실을 모르는 사람은 IT업계 종사자 치고는 별로 없을 것이다. 하지만 많은 사용량에 비례해서 보안에 신경을 쓰는 관리자는 얼마나 될까? 물론 내가 직접 발품을 팔면서 조사해보지 못했기 때문에 대부분의 관리자들이 보안에 신경을 안쓰고 있다고 단정지을 수는 없다.
하지만 하나 확실한 것은 여전히 많은 대형 사이트에서 보안이 고려되지 않은 체 Oracle을 운영하고 있다는 것이다. 오라클을 도입한지 이미 2~3년이 지났는데 아직 보안 업데이트나 관련 점검을 받아보지 않은 곳은 백발백중 취약할 것이다.
INTEGRIGY사에서 공짜(!)로 배포하고 있는 Integrigy AppSentry Listener Check for Oracle Database를 사용해서 각자 자신이 운영하는 오라클 DB서버를 점검해보자~
화면에서 볼 수 있듯이 다음과 같은 4가지 항목에 대한 체크를 지원한다.
- Listener Security Check
- Oracle Application 11i Listener Security Check
- SID Enumeration
- TNSNAMES.ORA Security Check
보통 Listener에 대한 패스워드를 설정하지 않는 것이 가장 큰 문제인데 이 경우 SID가 노출될 수 있으며 패스워드 brute force 공격을 당할 수 있다. 또한, TNS Listener에서 발생하는 오버플로우 공격도 존재하기 때문에 이에 Listener에 대한 각별한 관리가 필요하다.
아직 Oracle 11i에서는 Listener가 어떻게 변화하였는지는 모르겠지만 뭔가 변화가 있기 때문에 따로 항목이 나와있지 않을까? 뭐 차츰 알아보도록 하자..
다음은 Oracle Database Listener에대한 보안 가이드라인이다. 물론 영문 (-_-;;)
'::: DB ::: > Oracle' 카테고리의 다른 글
| 리스너 로그파일 초기화 (0) | 2009.05.08 |
|---|---|
| TNS-12518: TNS:listener could not hand off client connection (0) | 2009.05.07 |
| 오라클 리스너 로그 백업 스크립트 (0) | 2009.04.18 |
| import, export 요약 (0) | 2009.03.22 |
| [SQL] SQL*PLUS 에서 HTML 형식의 OUTPUT FILE 을 생성하기 (0) | 2009.03.22 |