개요

본 문서에서는 "옵션관리-인가되지 않은 Object Owner의 제한(D-20)" 항목에 대한 보안취약점 조치 방안에 대해 기술하였습니다. 

점검 내용 및 목적

• Object Owner가 인가된 계정에게만 존재하는지 점검합니다.
• Object Owner가 비인기자에게 존재하고 있을 경우 이를 제거하기 위함입니다.

점검 판단 기준

조치 전 주의사항

기본 계정 리스트 확인

Tibero 설치 시 생성되는 기본 계정은 다음과 같습니다. DB 버전에 따라 추가/삭제된 계정이 존재합니다. 

연계 시스템 확인

사전에 연계 시스템에서 사용 중인 DB 계정에 대한 확인이 필요합니다. 

방법

설정

• 작업 전 인가되지 않은 object owner 존재 유무 확인

set pages 999
set lines 400
col grantee for a20
col owner for a20
col table_name for a30
col grantor for a20
col privilege for a20
col grantable for a30
select * from dba_tbl_privs where GRANTEE not in ('PUBLIC','SYS','SYSCAT','SYSGIS','OUTLN','SYSBACKUP','LBACSYS','HS_ADMIN_ROLE','SELECT_CATALOG_ROLE');

GRANTEE              OWNER                TABLE_NAME                     GRANTOR              PRIVILEGE            GRANTABLE
-------------------- -------------------- ------------------------------ -------------------- -------------------- ------------------------------
P_TEST               SYS                  V$SQLTEXT                      SYS                  SELECT               NO

1 row selected.

• 권한 회수

REVOKE [PRIVILEGE] on [OWNER].[TABLE_NAME] FROM [GRANTEE];

ex) REVOKE SELECT ON SYS.V$SQLTEXT FROM P_TEST;

• 작업 후 인가되지 않은 object owner 존재 유무 확인

set pages 999
set lines 400
col grantee for a20
col owner for a20
col table_name for a30
col grantor for a20
col privilege for a20
col grantable for a30
select * from dba_tbl_privs where GRANTEE not in ('PUBLIC','SYS','SYSCAT','SYSGIS','OUTLN','SYSBACKUP','LBACSYS','HS_ADMIN_ROLE','SELECT_CATALOG_ROLE');

0 row selected.

원복

• 권한 부여

GRANT [PRIVILEGE] on [OWNER].[TABLE_NAME] TO [GRANTEE];


ex) grant select on sys.v$sqltext to p_test;