DBSAT 3.0 verfügbar

Vor mehr als 2 Jahren, im Juni 2021, gab es die letzte Aktualisierung des Database Security Assessment Tools (DBSAT). Fast hat man gedacht, dass Oracle nur noch den Pendant "Data Safe" in der hauseigenen Cloud (OCI) pflegen will. Nun hat uns Oracle aber eines Besseren belehrt und im November die Version 3.0 des DBSAT veröffentlicht. Die neue Version bringt einige neue Checks mit, so wird nun die mit 23c in die Datenbank eingeführte SQL Firewall unterstützt, auf die  STIG V2R8 aktualsiert und dementsprechend 30 neue Metriken für die STIG ergänzt. Außerdem ist in den Reporten nun klar ersichtlich, aus welchem Grund eine Metrik gelistet wird. Einige Metriken sind beispielsweise "Oracle Best Practice", aber noch nicht in der STIG oder anderen Standards und Vorgaben berüclsichtigt. Die neue Versionsnummer ergibt sich offenbar aus der Tatsache, dass das Tool an sich umgeschrieben wurde. So basiert das Tool nun auf Java wodurch die Abhängigkeit von Python weggefallen ist. 

Die Handhabung an sich bleibt dabei unverändert. Es gibt drei Modi: collect, report und discover. Die ersten beiden dienen dem Sammeln und Auswerten der sicherheitsrelevanten Einstellungen, der letzte Modus dient dem Finden von sensitiven Dateninhalten. Nach wie vor muss das DBSAT sowohl für die Container Datenbank sowie auch für jede Pluggable Datenbank ausgeführt werden. Hier ein kurzes Beispiel, wie Daten von einer PDB eingesammelt werden.

[oracle@vm160 dbsat]$ ./dbsat collect -n system@vm160/pdb1.support.robotron.de orcl19_pdb1_collect

Database Security Assessment Tool version 3.0 (Nov 2023)

This tool is intended to assist you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.

Connecting to the target Oracle database...


SQL*Plus: Release 19.0.0.0.0 - Production on Mon Dec 11 08:47:17 2023
Version 19.18.0.0.0

Copyright (c) 1982, 2022, Oracle.  All rights reserved.

Enter password:
ERROR:
ORA-28002: the password will expire within 7 days


Last Successful login time: Mon Dec 11 2023 07:56:17 +01:00

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0

Setup complete.
SQL queries complete.
/bin/ls: cannot access /u01/app/oracle/product/db/19/bin/tfactl: No such file or directory
Warning: Exit status 256 from OS rule: executable_permission
/bin/cat: /u01/app/oracle/product/db/19/network/admin/listener.ora: No such file or directory
Warning: Exit status 256 from OS rule: listener.ora
/bin/ls: cannot access /u01/app/oracle/product/db/19/network/admin/listener.ora: No such file or directory
Warning: Exit status 512 from OS rule: ls_listener.ora
Warning: Exit status 256 from OS rule: dbcs_status
/bin/cat: /u01/app/oracle/product/db/19/network/admin/cman.ora: No such file or directory
Warning: Exit status 256 from OS rule: cman.ora
/bin/cat: /u01/app/oracle/product/db/19/ldap/admin/fips.ora: No such file or directory
Warning: Exit status 256 from OS rule: fips1.ora
/bin/cat: /fips.ora: No such file or directory
Warning: Exit status 256 from OS rule: fips2.ora
/bin/ls: cannot access /u01/app/oracle/product/db/19/rdbms/log/diag: No such file or directory
Warning: Exit status 512 from OS rule: diag_dest_home
OS commands complete.
Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0
DBSAT Collector completed successfully.

Man sieht direkt das erste FInding, mein Passwort für SYSTEM läuft bald ab. Aber das ist an dieser Stelle nur ein Nebeneffekt. Stattdessen sind zwei oder drei andere Dinge zu beachten. Zum einen wurde der Nutzer SYSTEM verwendet. Das ist nicht zu empfehlen, besser ist es, einen minimal privilegierten Nutzer zu erstellen und diesen zu verwenden. Die nötigen Berechtigungen finden sich in der Dokumentation. Weiterhin ist es nicht empfehlenswert, das Passwort im Klartext anzugeben, besser ist es, es interaktiv einzugeben oder ein Wallet zu verwenden. Zuguterletzt wurde im Beispiel die Option "-n" verwendet. Dadurch werden die entstehenden Dateien unverschlüsselt abgelegt. Für einen ersten Test geht das in Ordnung, für den Echteinsatz sollte diese Option besser weggelassen werden, dann werden die Dateien in verschlüsselten ZIPs abgelegt und sind für andere Personen nicht zugänglich. Denn die darin enthaltenen Informationen geben ausführliche Informationen zu möglichen Schwachstellen und Angriffsmöglichkeiten preis, keine gute Idee, diese Informationen ungeschützt abzulegen.

Nachdem die Sammlung der Grunddaten abgeschlossen ist, werden auch wie bisher Reporte in verschiedenen Formaten, HTML, Text, JSON und Excel, erstellt. Auf Basis dieser Reporte können dann Maßnahmen zu Verbesserung der Sicherheit abgeleitet werden.

[oracle@vm160 dbsat]$ ./dbsat report -a -n -g ./orcl19_pdb1_collect.json

Database Security Assessment Tool version 3.0 (Nov 2023)

This tool is intended to assist you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.

Error: ./orcl19_pdb1_collect.json.json or ./orcl19_pdb1_collect.json.zip not found.
[oracle@vm160 dbsat]$ ./dbsat report -a -n -g ./orcl19_pdb1_collect

Database Security Assessment Tool version 3.0 (Nov 2023)

This tool is intended to assist you in securing your Oracle database
system. You are solely responsible for your system and the effect and
results of the execution of this tool (including, without limitation,
any damage or data loss). Further, the output generated by this tool may
include potentially sensitive system configuration data and information
that could be used by a skilled attacker to penetrate your system. You
are solely responsible for ensuring that the output of this tool,
including any generated reports, is handled in accordance with your
company's policies.

DBSAT Reporter ran successfully.

Für einen ersten Überblick geht das am besten mit dem HTML-Report. Auch an diesem Report hat sich außer der besseren Zuordnung der Findings zu den verschiedenen Vorgaben kaum etwas geändert.