home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / database / oracle / 2545 < prev    next >
Encoding:
Internet Message Format  |  1992-12-16  |  2.6 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!caen!spool.mu.edu!agate!dog.ee.lbl.gov!news!nosc!suned1!ipxed5!lev
  2. From: lev@ipxed5.nswses.navy.mil (Lloyd E Vancil)
  3. Newsgroups: comp.databases.oracle
  4. Subject: Re: Question about OPS$LOGIN and Oracle Passwords
  5. Message-ID: <24727@suned1.Nswses.Navy.MIL>
  6. Date: 16 Dec 92 22:37:46 GMT
  7. References: <1992Dec14.200952.22697@netcom.com>
  8. Sender: news@suned1.nswses.navy.MIL
  9. Organization: NSWSES, Port Hueneme, CA
  10. Lines: 73
  11.  
  12. In article <1992Dec14.200952.22697@netcom.com> sjs@netcom.com (Stephen Schow) writes:
  13. >We routinely use the OPS$LOGIN feature of Oracle for all of our users.  This
  14. >way they don't have to worry about anything once they are logged onto the
  15. >UNIX machine.  They just type program / to run it with their UNIX login info.
  16. >
  17. >Question:  
  18. >
  19. >When we create a new user as follows:
  20. >
  21. >    grant connect to ops$user identified by bogus;
  22. >
  23. >and we actually use the word 'bogus' as the oracle password.
  24. >
  25. >Does this mean that user ops$user could login to Oracle with either
  26. >the /, which would use his UNIX login info, or with 'bogus' as the
  27. >password?
  28.  
  29. IN UNIX (sunos4.12) the conventions
  30. sqlplus /
  31. sqlplus OPS$user/bogus
  32.  
  33.  
  34. will both work
  35.  
  36.  
  37. >Could a user go into sql*plus with any convienient name and type
  38. >
  39. >    connect ops$user/bogus
  40. >
  41. >to get into that user's oracle accoun
  42.  
  43.  
  44. Emphatically YES
  45.  
  46.  
  47. This is a known security hole in the OPS$ user under oracle 6.. 
  48. I am not aware of the fix if any in trusted oracle or in
  49. oracle7.  
  50.  
  51. Not only is it a bad Idea to use the OPS$user/bogus scheme
  52. but it is also bad to use the OPS$user/(Unixpassword) scheme
  53. as that will actually make a unix password violation more
  54. likely as now the user and the dba know the password of the
  55. OPS$ oracle user.
  56.  
  57. Since the OPS$ password need only be used once, in the
  58. grant command, the dba should be free to use any valid
  59. password, as long as it follows 2 conventions
  60. 1. the dba should be THE ONLY PERSON TO KNOW IT.
  61. 2. each one is unique (within reason here folks)
  62.  
  63. I use the following method.
  64.  
  65.     a. locate webster's latest.
  66.     b. drop on desk to open book
  67.     c. close eyes and point to page
  68.     d. pick closest word
  69.     e. break word somwhere with _DD_
  70.        where DD is number of day.
  71.     f. issue grant command to create new user
  72.     g. close webster and forget word.
  73.  
  74. Funk and Wagnels will work as well.
  75.  
  76. If I need access to a users account as that user I can always
  77. do another grant to change his pw or since I have su status
  78. become him long enought to do the job.
  79.  
  80.  
  81.  
  82. --
  83. |suned1!lev@elroy.JPL.Nasa.Gov|lev@suned1.nswses.navy.mil|sun!suntzu!suned1!lev|
  84. |S.T.A.R.S. The revolution has begun!|  My Opinions are Mine mine mine hahahah!|
  85.