为什么DBA就是治不了root 用户？

dupe

有个问题，一直没想明白
如果有一个root用户，想偷看Oracle中的数据，
他总是能得逞吗？

比如:
  如果oracle允许操作系统认证的话， root把自己加到dba组，
  就可以　conn / as sysdba 了。
  
即使DBA修改了 ORACLE_HOME/admin/SQLNET.ora
  禁止操作系统认证，root也可以把SQLNET.ora改回去。

难道就没招治他吗？

lotusin

SYSDBA的权限是谁给的？oracle用户。oracle用户的权限是谁给的？root。root就不信整不了你个SYSDBA小厮。OS之下，莫非root领地！

dupe

从数据安全的角度，不想让其他的人随便看到oracle中的数据。
如果不能root的登录的话，最少也要防止它看到敏感的数据。

我想了2个方面：
1） 整个数据库的数据能不能都加密？
只有知道密码的用户才能看到相应的
数据，否则连sys也只能看到加密过数据。

2）对用户的操作做纪录，包括login,loguou,
不过这种方法也只能看到某天sys登录了，
不能看出是os级别的root吧？

RobinWang

关注

我也一直在想，因为系统管理员和数据库管理员是分开的，如何防止系统管理员查看、修改数据库中的内容

yikaikai

原帖由 RobinWang 于 2007-9-2 10:10 发表
关注

我也一直在想，因为系统管理员和数据库管理员是分开的，如何防止系统管理员查看、修改数据库中的内容

人在屋檐下，不得不低头。

lotusin

原帖由 dupe 于 2007-9-2 07:57 发表
从数据安全的角度，不想让其他的人随便看到oracle中的数据。
如果不能root的登录的话，最少也要防止它看到敏感的数据。

我想了2个方面：
1） 整个数据库的数据能不能都加密？
只有知道密码的用户才能看到 ...

oracle有审计功能(auditing)，包括Value-based auditing, Fine-grained auditing, DBA auditing. 也可以构建Virtual Private Database.

blue_stone

10g中有个database vault的东东，或许对你有所帮助。

alex_linux

UNIXs root is god

zhan200012

你的ROOT都干掉了.请问你还想干什么?

lotusin

原帖由 blue_stone 于 2007-9-3 10:36 发表
10g中有个database vault的东东，或许对你有所帮助。

我用root把你你卸载了，哈哈~