Está en la página 1de 12

Item 1.01 Instalación 10.2 Instalación 1.02 Instalación 1.03 Instalación 1.04 Parches 1.05 1.06 1.07 1.08 1.09 1.10 1.11 1.12 1.

13

Recomendación Comprobar que no hay usuarios conectados mientras se instala el software. Debido a que Oracle crea ficheros temporales en directorios con acceso público podría ser posible para otro usuario conectado modificar, eliminar o reescribir estos ficheros. Asignar a las variables de entorno $TMP y $TMPDIR un directorio con privilegios sólo para el propietario de la cuenta del software Oracle y el grupo ORA_INSTALL. Instalar únicamente los componentes estrictamente necesarios Usar usuarios diferentes para cada componente de Oracle: Database, Listener e Intelligent Agent

Instalar la última versión disponible y actualizar hasta el último nivel de parches La herramienta tkprof permite diagnosticar problemas de rendimiento en la BBDD. En el caso de que no sea estrictamente necesaria en producción es conveniente eliminarla o, al menos, proteger poniendo tkprof los permisos necesarios (0750 o más restrictivo). listener Cambiar el nombre por defecto del listener Usar direcciones IP en vez de hostnames listener listener Cambiar los puertos por defecto Usar autenticación del SO listener otrace Deshabilitar Acciones recomendadas en orden de preferencia: Cuentas por defecto 1. Eliminar el usuario 2. Bloquear el usuario 3. Cambiar la contraseña por defecto OEM Eliminar del sistema si no se utiliza OEM Service or SID name No usar el SID por defecto (ORCL)

Fecha chmod 750 /oracle/product/10.0/bin/tkprof DROP USER SYSMAN CASCADE: .2.

Permisos de lectura y escritura limitados al usuario oracle. .Directorio válido perteneciente al usuario oracle. oradism. excepto los archivos makerootca. y de lectura al grupo dba.ora grep -i trace_directory_client sqlnet.ora oracle Restringir permisos sobre el fichero init.ora 2.Permisos de lectura y escritura limitados al usuario oracle y al grupo dba.ora 2.ora grep -i trace_file listener.ora Recomendación El propietario de todos los ficheros en $ORACLE_HOME/bin debe ser el usuario oracle.ora 2.06 spfile.10 init.El fichero especificado debe pertenecer al usuario oracle.16 sqlnet.ora ls -al <result> select name from V$controlfile.ora al grupo dba y el usuario ls -al $ORACLE_HOME/dbs/spfile.ora 2. Verificar el valor del parámetro trace_file_listener_name. Verificar el parámetro trace_directory_listener_name .ora ls -al $ORACLE_HOME/network/admin/listener.Directorio válido perteneciente al usuario oracle.09 init.ora 2. Verificar el parametro trace_directory_server .ora 2.15 sqlnet.ora ls -al <result> grep -i audit_file_dest init.sh.11 init. .23 sqlplus 2. grep -i log_archive_dest init.13 Ficheros de datos 2.Asignar permisos únicamente al propietario. .ora 2. . Verificar el parametro diagnostic_dest .El directorio de destino debe pertenecer al usuario oracle. Verificar el parametro log_archive_dest_n .Directorio válido perteneciente al usuario oracle. .Permisos de lectura y escritura para el usuario oracle. Verificar el parámetro log_file_listener . y de lectura al grupo dba. Verificar el parametro log_directory_server .ora 2. y de lectura al grupo dba. Los permisos del ejecutable sqlplus deben restringirse al usuario oracle y al grupo dba Los permisos del fichero htaccess deben restringirse al usuario oracle y al grupo dba grep ifile init.ora 2. nmb y extjob que han de ser de root.Item 2. .Permisos de lectura y escritura limitados al usuario oracle y al grupo dba.ora .01 Permisos 2.ora 2. Verificar permisos del fichero sqlnet.04 Permisos 2.ora 2. .12 init.19 listener.17 sqlnet.htaccess 2. Los ficheros en $ORACLE_HOME/bin deben tener asignados los permisos 0755 o menos Los ficheros en $ORACLE_HOME (excepto en bin) deben tener permisos 750 La máscara de permisos del usuario oracle debe ser 022 Verificar permisos en $ORACLE_HOME/network/admin Comprobación ls -al $ORACLE_HOME/bin/* ls -al $ORACLE_HOME/bin/* ls al $ORACLE_HOME umask ls -al $ORACLE_HOME/network/admin/* Restringir permisos sobre el fichero spfile.Permisos de lectura y escritura limitados al usuario oracle.Permisos completos al usuario oracle. Verificar el parámetro control_files.ora 2. Verificar permisos del fichero listener.Permisos limitados al usuario oracle y al grupo dba.Permisos de lectura y escritura limitados al usuario oracle y al grupo dba.Permisos de lectura y escritura limitados al usuario oracle.Permisos de lectura y escritura limitados al usuario oracle. nmo.Directorio válido perteneciente al usuario oracle.ora 2. .07 init.Directorio válido perteneciente al usuario oracle.ora grep -i log_directory_client sqlnet. Restringir permisos sobre el fichero referenciado por ifile al grupo dba y el usuario oracle Verificar el parámetro audit_file_dest.ora grep -i log_file_listener listener. .Directorio válido perteneciente al usuario oracle.03 Permisos 2.21 listener. Verificar el parametro log_directory_client .ora ls -al <result> ls -al $ORACLE_HOME/dbs/* ls al sqlnet. y de lectura para el resto.22 listener.ora ls -al <result> grep -i control_files init.02 Permisos 2.ora 2.Directorio válido perteneciente al usuario oracle. .ora grep -i trace-directory listener. y de lectura al grupo dba.14 sqlnet.24 htaccess .ora grep -i log_directory_client sqlnet.ora ls al <result> which -a sqlplus ls -al <result(s)> ls al .05 Permisos 2.08 init.Directorio válido perteneciente al usuario oracle.Permisos de lectura y escritura limitados al usuario oracle.ora al grupo dba y el usuario ls -al $ORACLE_HOME/dbs/init.18 sqlnet.Permisos restringidos al usuario oracle y al grupo dba.ora ls -al <result> grep -i diagonostic_dest init.ora . . Restringir permisos sobre los ficheros de datos al grupo dba y al usuario oracle. . Verificar el parametro trace_directory_client . . y de lectura al grupo dba.ora 2.ora oracle.ora grep -i trace_directory_server sqlnet.20 listener. y de lectura al grupo dba.

ora chmod 750 ifile chown oracle.dba $ORACLE_HOME/network/trace chmod 660 $ORACLE_HOME/network/trace chown oracle.dba log_directory_client chmod 640 log_directory_client chown oracle.dba ifile chmod 600 auditfile chown oracle.dba log_directory_client chmod 640 log_directory_client chown oracle.dba $ORACLE_HOME/network/admin/listener.ora chown oracle init.htaccess Fecha .dba sqlnet.dba .log chmod 660 trace_dir chown oracleuser.Acción chown oracle.dba log_file_dest chown oracle $ORACLE_HOME/dbs/* chgrp dba $ORACLE_HOME/dbs/* chmod 644 sqlnet.ora chmod 640 spfile.dba diag_file chmod 640 control_file chown oracle.htaccess chmod 644 .ora chmod 640 \ $ORACLE_HOME/network/log/listener.dba control_file chmod 750 file_file_dest chown oracle.dba $ORACLE_HOME/* chmod 0755 $ORACLE_HOME/bin/* chmod 750 $ORACLE_HOME/* chmod 644 $ORACLE/network/admin/* chown oracle.dba trace_directory_server chmod 660 $ORACLE_HOME/network/admin/listener.ora chmod 640 log_directory_client chown oracle.dba log_directory_client chmod 640 trace_directory_server chown oracle.log chown oracle.ora chown oracle.dba $ORACLE_HOME/network/admin/* chgrp oracle_grp spfile.dba $ORACLE_HOME/network/log/listener.ora chgrp oracle_grp init.ora chmod 644 init.ora chown oracle spfile.dba sqlplus chmod 750 sqlplus chown oracle.dba auditfile chmod 660 diag_file chown oracle.oraclegroup trace_dir chown oracle.ora chown oracle.

ora 3.A.ora probabilidad de un ataque DoS Establecer la redundancia de los ficheros de redo para prevenir su pérdida en caso de fallo de un disco físico.19 sqlnet.ora que el de la BBDD remota.ora 3.12 init.08 init.ora 3.Item 3.ora 3.ora grep -i logging_listener listener. Ubicación de los ficheros de las trazas de los procesos.indx = y.ora Prevenir el spoofing de conexiones grep -i remote_os_roles init.ora AUDIT_FILE_DEST (ver 2.16 spfile.ora Evitar el uso de listener en máquinas remotas grep -i remote_listener init.validnode_checking sqlnet.11 init.20 cuentas grep i o7_dictionary_accessibility \ init. y.01 init.ora 3.ora . los autenticados como SYSDBA y SYSOPER.10 init.ksppinm='_trace_files_public'. Deshabilitar los puertos XDB (ftp:2100 y HTTP:8080) grep -i XDB spfile.ora 3.invited_nodes sqlnet.09) Activar la lista de nodos permitidos en el listener grep -i tcp. .ora No dejar objetos en modo NOLOGGING en entornos de producción.04 init. Ubicación de los ficheros de traza de los usuarios El parámetro user_dump_dest debe apuntar a un directorio válido grep -i user_dump_dest init. Evitar conexiones sin contraseña grep -i remote_os_authent init.07 init.06 init.ora capaz de ejecutar comandos UPDATE y DELETE con la cláusula WHERE. El parámetro background_dump_dest debe apuntar a un directorio válido grep -i background_dump_dest init.02 init. Forzar que Oracle compruebe que el nombre del acceso a la BBDD es el mismo grep -i global_names init. grep -i LOG_ARCHIVE_MIN_SUCCEED_DEST init.ora 3. ya que reduce la grep -i audit_trail init.ora Monitorizar las acciones de los usuarios con más privilegios.14 listener.ora 3.ora 3.ora SELECT USERNAME.ora Habilitar la auditoría básica.ora Recomendación 3.ora 3.15 nologging 3.ora 3. El valor recomendado es OS.17 spfile.ora 3.ora 3.09 init.ora Permisos restringidos al propietario de la cuenta del software Oracle y al grupo DBA. o sea.ora 3.inst_id = userenv('Instance') AND x. que pueden contener FROM x$ksppi x.inst_id = userenv('Instance') AND información sensible. Ubicación de los ficheros de traza de los ficheros core. El archivado debe completarse correctamente en más de una localización.ora 3.03 init.13 listener. x$ksppcv y WHERE x.ora 3.03 init.ora Comprobación Ejecutar como sysdba la consulta: SELECT x. Forzar un reinicio del listener para que se apliquen las modificaciones en sus parametros Registrar los eventos del listener grep -i core_dump_dest init. El parámetro core_dump_dest debe apuntar a un directorio válido Permisos restringidos al propietario de la cuenta del software Oracle y al grupo DBA.18 sqlnet.ora Forzar que un usuario deba tener el privilegio SELECT en una tabla para ser grep -i sql92_security init.ora Permisos restringidos al propietario de la cuenta del software Oracle y al grupo DBA. grep -i log_archive_duplex_dest init.Se debe apuntar a un directorio válido . Evitar que usuarios con roles que permiten SELECT ANY TABLE accedan al diccionario de datos.indx AND x. y. ACCOUNT_STATUS Bloquear cuentas de aplicación para evitar conexiones a la BBDD FROM DBA_USERS.ora 3.Permisos de lectura/escritura restringidos al propietario de la cuenta del software Oracle y al grupo DBA.05 init.ora grep -i admin_restrictions listener. Comprobar N.ora Definir una lista de nodos a los que se permite conectar con el listener grep -i tcp.ora 3. que todos los objetos de la BBDD (tablas e índices) estén en modo LOGGING. Configurar el parametro grep -i AUDIT_SYS_OPERATIONS init.ksppstvl value Evitar que los usuarios puedan leer ficheros de trazas.ksppinm name.

global_names= TRUE remote_os_authent=FALSE remote_os_roles= FALSE remote_listener="" audit_trail=OS LOG_ARCHIVE_DUPLEX_DEST=<directorio valido> LOG_ARCHIVE_MIN_SUCCEED_DEST = <valor mayor que 1> sql92_security= TRUE user_dump_dest=<directorio_user> background_dump_dest=<directorio_background> core_dump_dest=<directorio_core> o7_dictionary_accessibility= FALSE admin_restrictions_listener_name=on logging_listener=ON N.invited_nodes = (IP1. IPN) ALTER USER <USERNAME> ACCOUNT LOCK PASSWORD EXPIRE . .ora la línea: dispatchers= (PROTOCOL= TCP)(SERVICE= <oracle_sid>XDB) AUDIT_SYS_OPERATIONS=TRUE tcp.A. IP2. Borrar del fichero spfile.validnode_checking=YES tcp.Acción Fecha Ejecutar como sysdba la consulta: ALTER SYSTEM SET _trace_files_public = TRUE SCOPE=SPFILE.

LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= PASSWORD_GRACE_TIME 4.05 Perfiles 4. Limitar el tiempo máximo que una sesión puede permanecer sin que SELECT PROFILE.10 Perfiles 4. RESOURCE_NAME. .Item 4. LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= PASSWORD_LIFE_TIME SELECT PROFILE. LIMIT Limitar las lecturas a disco por sesión FROM DBA_PROFILES WHERE RESOURCE_NAME= LOGICAL_READS_PER_SESSION . Establecer un número de contraseñas diferentes que deben ser usadas por el usuario antes de la contraseña actual puede reutilizarse.08 Perfiles Limitar el uso de CPU por sesión 4. LIMIT FROM DBA_PROFILES Limitar el consumo de SGA por sesión WHERE RESOURCE_NAME= PRIVATE_SGA . Establecer la cantidad de tiempo en días que se advierte al usuario cambiar su contraseña antes de que caduque 4. RESOURCE_NAME. LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= CPU_PER_SESSION . RESOURCE_NAME.06 Perfiles Comprobación SELECT PROFILE. LIMIT FROM DBA_PROFILES sea utilizada de manera activa.02 Perfiles Restringir la duración de la contraseña para evitar ataques. SELECT PROFILE. LIMIT Limitar las sesiones simultáneas de un usuario FROM DBA_PROFILES WHERE RESOURCE_NAME= SESSIONS_PER_USER . RESOURCE_NAME. LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= PASSWORD_REUSE_MAX SELECT PROFILE. SELECT PROFILE. RESOURCE_NAME. Establecer la cantidad de tiempo que debe transcurrir antes de que una contraseña puede ser reutilizada. LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= PASSWORD_REUSE_TIME SELECT PROFILE.03 Perfiles 4.01 Perfiles Recomendación Restringir el número máximos de intentos de login para evitar ataques de fuerza bruta. 4.07 Perfiles Establecer la función de validación de contraseñas SELECT PROFILE.12 Perfiles SELECT PROFILE. RESOURCE_NAME. Establecer la cantidad de tiempo en días que la cuenta será bloqueada si se alcanza el número máximo de intentos de login fallidos. RESOURCE_NAME. SELECT PROFILE.04 Perfiles 4. LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= FAILED_LOGIN_ATTEMPTS SELECT PROFILE. RESOURCE_NAME FROM DBA_PROFILES WHERE RESOURCE_NAME='PASSWORD_VERIFY_FUNCTION'. RESOURCE_NAME. 4. RESOURCE_NAME.09 Perfiles 4.11 Perfiles 4. RESOURCE_NAME. RESOURCE_NAME. LIMIT FROM DBA_PROFILES WHERE RESOURCE_NAME= PASSWORD_LOCK_TIME SELECT PROFILE.

Acción ALTER PROFILE profile_name LIMIT FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1.sql que se puede usar para crear una función de verificación. ALTER PROFILE profile_name LIMIT IDLE_TIME <value>. ALTER PROFILE profile_name LIMIT password_reuse_time 365. ALTER PROFILE profile_name LIMIT password_lock_time 1. ALTER PROFILE profile_name LIMIT password_life_time 90. ALTER PROFILE profile_name LIMIT password_grace_time 3. ALTER PROFILE profile_name LIMIT LOGICAL_READS_ PER_SESSION <value>. ALTER PROFILE profile_name LIMIT PRIVATE_SGA <value>. Oracle proporciona el fichero utlpwdmg. Fecha ALTER PROFILE profile_name LIMIT password_reuse_max 20. . ALTER PROFILE profile_name LIMIT SESSIONS_PER_USER <value>. se deben hacer las siguientes modificaciones: PASSWORD_GRACE_TIME 3 PASSWORD_REUSE_TIME 365 PASSWORD_REUSE_MAX 20 FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1 IF length(password) < 4 por ALTER PROFILE profile_name LIMIT CPU_PER_SESSION <value>. Si se usa este script.

PRIVILEGE. Estas tablas son de uso SELECT GRANTEE. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE='GRANT ANY PRIVILEGE'. 5.04 Tables Revocar permisos de acceso a SYS. Synonyms y packages. Por defecto. WHERE TABLE_NAME='USER_ROLE_PRIVS'.USER_HISTORY$. Esta vista SELECT GRANTEE.13 Vistas 5.STATS$SQL_SUMMARY.15 Vistas 5. vistas y objetos del usuario o rol 5. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE LIKE '%ANY%'. SELECT GRANTEE. 5. Comprobación SELECT USERNAME. Revocar el privilegio SELECT ANY TABLE. SELECT * FROM DBA_SYS_PRIVS.09 Tables 5. ya que permite al usuario conceder ese privilegio a otros usuarios.12 Vistas 5. SQL_SUMMARY almacena las primeras líneas de las sentencias SQL ejecutadas y puede contener información sensible. Revocar permisos de acceso a las vistas DBA_. Revocar permisos de acceso a la vista USER_TAB_PRIVS. PRIVILEGE. Revocar la asignación de roles de catálogo a los usuarios que no los necesitan. .SOURCE$.24 Privilegios 5.20 Privilegios Evitar conceder ALL PRIVILEGES.16 Roles Revocar permisos de acceso a las tablas x$. Revocar permisos de acceso a PERFSTAT. TABLE_NAME FROM DBA_TAB_PRIVS interno de la BBDD y no deben ser accedidas por los usuarios. TABLE_NAME .23 Privilegios 5. TABLE_NAME FROM DBA_TAB_PRIVS WHERE TABLE_NAME= STATS$SQLSUM . DEFAULT_TABLESPACE FROM DBA_USERS. Revocar permisos de acceso a la vista USER_ROLE_PRIVS.RECOVERY_CATALOG_OWNER Prevenir los accesos a los sinónimos v$.03 Tables usuarios sys y dba. 5.28 Roles Revocar el rol DBA de las cuentas de usuarios normales. ya que permite a un usuario heredar los permisos de otro usuario.10 Vistas 5. Revocar los privilegios concedidos WITH GRANT. ya que se almacena información sobre usuarios y contraseñas. excepto a los 5. ya que extienden el permiso a todos los esquemas de la BD. SELECT * FROM DBA_ROLE_PRIVS 5. Esta vista SELECT GRANTEE. TABLE_NAME información sobre todos los objetos de la BBDD y deben ser accedidas FROM DBA_TAB_PRIVS únicamente por usuarios administradores. usuarios administradores.STATS$SQLTEXT. PRIVILEGE.18 Privilegios 5. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE='GRANT ANY OBJECT PRIVILEGE'. PRIVILEGE. Esta vista SELECT GRANTEE.SELECT_CATALOG_ROLE FROM DBA_TAB_PRIVS .LINK$. SELECT GRANTEE.14 Vistas 5. PRIVILEGE FROM DBA_TAB_PRIVS WHERE TABLE_NAME= SOURCE$ . PRIVILEGE.06 Tables 5. Views. Tables. Item 5.21 Privilegios 5. TABLE_NAME FROM DBA_TAB_PRIVS muestra los roles concedidos a otros roles. Restingir privilegios de sistema a los usuarios dba (excepto CREATE SESSION). Esta vista guarda el SELECT GRANTEE. SELECT * FROM DBA_SYS_PRIVS WHERE ADMIN_OPTION='YES'.22 Privilegios Revocar el privilegio EXEMPT ACCESS POLICY. Estos sinónimos referencian a SELECT SYNONYM_NAME. PRIVILEGE FROM DBA_TAB_PRIVS WHERE TABLE_NAME= USER$ . FROM ALL_SYNONYMS WHERE TABLE_NAME LIKE "V$%". SELECT GRANTEE. SELECT * FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE='RESOURCE'. Roles. SELECT GRANTEE. TABLE_NAME las tablas de ejecución dinámica. PRIVILEGE.08 Tables 5.02 Tables se debe aplicar únicamente si audit trail es db o db_extended (ver item 3.01 Tablespace No se debe tener default_tablespace establecido a SYSTEM en las cuentas de usuario Revocar permisos de acceso a SYS. Este privilegio proporciona acceso a cualquier dato independiente de la política de seguridad de acceso. ya que alterar el contenido de la tabla podría comprometer la seguridad e integridad de la BBDD Revocar permisos de acceso a PERFSTAT. sys y dba tienen asignados la mayor part Recomendación 5.Recomendaciones de seguridad para Tablespaces. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE='ALTER SYSTEM'. Revocar el privilegio BECOME USER.06) Revocar permisos de acceso a SYS. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE LIKE('BECOME USER'). Revocar permisos de acceso a SYS.17 Sinonimos 5. Este punto 5. Revocar los privilegios concedidos WITH ADMIN. Estas vistas guardan SELECT GRANTEE. donde sea posible. WHERE TABLE_NAME LIKE( X$% ). . PRIVILEGE. WHERE TABLE_NAME LIKE( DBA_$% ). SELECT GRANTEE. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE LIKE( SELECT ANY% ).27 Roles Revocar el rol CONNECT de las cuentas de usuarios normales.25 Privilegios 5.EXECUTE_CATALOG_ROLE WHERE TABLE_NAME LIKE("%_CATALOG_%"). WHERE TABLE_NAME='ROLE_ROLE_PRIVS'. SQLTEXT almacena las sentencias SQL ejecutadas y puede contener información sensible. TABLE_NAME FROM información sobre la BBDD y deben ser accedidas únicamente por DBA_TAB_PRIVS WHERE TABLE_NAME LIKE( V$% ). PRIVILEGE FROM DBA_TAB_PRIVS WHERE TABLE_NAME= USER_HISTORY$ .11 Vistas 5. PRIVILEGE FROM DBA_TAB_PRIVS WHERE TABLE_NAME= LINK$ . ya que se almacena información sobre usuarios y contraseñas.AUD$ donde sea posible. SELECT GRANTEE. SELECT GRANTEE. TABLE_NAME FROM DBA_TAB_PRIVS muestra los permisos concedidos sobre tablas a los usuarios. Evitar conceder privilegios con ANY. SELECT * FROM DBA_SYS_PRIVS WHERE PRIVILEGE='EXEMPT ACCESS POLICY'. TABLE_NAME FROM DBA_TAB_PRIVS muestra los roles concedidos a los usuarios. TABLE_NAME FROM DBA_TAB_PRIVS WHERE TABLE_NAME= STATS$SQLTEXT . SELECT * FROM DBA_TAB_PRIVS WHERE GRANTABLE='YES'. ya que permite al usuario conceder sus permisos a otros usuarios. Revocar permisos de acceso a SYS. PRIVILEGE. Revocar el privilegio ALTER SYSTEM. Revocar permisos de acceso a la vista ROLE_ROLE_PRIVS.05 Tables 5. Revocar permisos de acceso a las vistas v$. a las que únicmante sys debe tener acceso. PRIVILEGE FROM DBA_TAB_PRIVS WHERE TABLE_NAME= AUD$ SELECT GRANTEE.DELETE_CATALOG_ROLE . WHERE TABLE_NAME='USER_TAB_PRIVS'. donde sea posible. Estas vistas guardan SELECT GRANTEE.26 Privilegios 5. ya que permite alterar dinamicamente la instancia. ya que da acceso completo a todas las tablas. Revocar permisos de acceso a la vista ALL_SOURCE. PRIVILEGE.USER$.07 Tables 5. PRIVILEGE. TABLE_NAME FROM DBA_TAB_PRIVS código de todos los objetos de los usuarios.19 Privilegios 5. WHERE TABLE_NAME= ALL_SOURCE .

TABLE_NAME Aplicar restricciones de acceso al paquere DBMS_RANDOM FROM DBA_TAB_PRIVS .37 Paquetes Aplicar restricciones de acceso al paquere UTL_FILE. TABLE_NAME FROM DBA_TAB_PRIVS lectura y escritura de sockets WHERE TABLE_NAME='UTL_TCP'. TABLE_NAME FROM DBA_TAB_PRIVS envío de correos desde la BBDD WHERE TABLE_NAME='UTL_SMTP'. ya que permite la SELECT GRANTEE.30 Paquetes 5. SELECT GRANTEE. SELECT GRANTEE. Aplicar restricciones de acceso al paquere UTL_SMTP. TABLE_NAME Aplicar restricciones de acceso al paquere DBMS_JOB FROM DBA_TAB_PRIVS WHERE TABLE_NAME='DBMS_JOB'. ya que permite el SELECT GRANTEE.32 Paquetes 5. SELECT GRANTEE.35 Paquetes 5. TABLE_NAME FROM DBA_TAB_PRIVS acceso al SO. SELECT GRANTEE.29 Paquetes 5. TABLE_NAME Aplicar restricciones de acceso al paquere DBMS_BACKUP_RESTORE FROM DBA_TAB_PRIVS WHERE TABLE_NAME='DBMS_BACKUP_RESTORE'. TABLE_NAME Aplicar restricciones de acceso al paquere UTL_LOB FROM DBA_TAB_PRIVS WHERE TABLE_NAME='UTL_LOB'. SELECT GRANTEE.5. WHERE TABLE_NAME='UTL_FILE'. TABLE_NAME Aplicar restricciones de acceso al paquere DBMS_SYS_SQL FROM DBA_TAB_PRIVS WHERE TABLE_NAME='DBMS_SYS_SQL'. TABLE_NAME Aplicar restricciones de acceso al paquere UTL_HTTP FROM DBA_TAB_PRIVS WHERE TABLE_NAME='UTL_HTTP'. Aplicar restricciones de acceso al paquere UTL_TCP.33 Paquetes 5.34 Paquetes 5.36 Paquetes 5. SELECT GRANTEE.31 Paquetes 5. a que permite el SELECT GRANTEE.

. REVOKE ALL ON USER_ROLE_PRIVS FROM <USER>. REVOKE ALL ON <ROLE> FROM <USER>. REVOKE ALL ON v$<VIEWNAME> FROM <USER>.USER$ FROM <USER>. REVOKE ALL ON DBA_<TABLENAME> FROM <USER>.USER_HISTROY$ FROM <USER>. REVOKE <ROLE> FROM <USER>.AUD$ FROM <USER>.STATS$SQLTEXT. REVOKE GRANT OPTION FOR <PRIV> ON <TABLE> FROM <USER>. REVOKE ALL ON PERFSTAT. REVOKE ALL ON ALL_ SOURCE FROM <USER>. REVOKE ALL ON PERFSTAT. REVOKE ALL ON SYS. REVOKE BECOME USER FROM <USER/ROLE> REVOKE SELECT ANY <OBJECT> FROM <USER>. REVOKE ALL ON <SYNONYM> FROM <USER>. REVOKE ALL ON ROLE_ROLE_PRIVS FROM <USER>.SOURCE$ FROM <USER> . Fecha REVOKE ALL ON SYS. REVOKE DBA FROM <USER/ROLE>. REVOKE ALL PRIVILEGES FROM <USER/ROLE> GRANT <SPECIFIC PRIVILEGES> TO <USER/ROLE>.STATS$SQLSUM. REVOKE ALL ON SYS. GRANT <ROLE> TO <USER>. REVOKE ALL ON SYS. REVOKE ALL ON SYS. REVOKE ALL ON X$<TABLENAME> FROM <USER>. REVOKE ALTER SYSTEM FROM <USER/ROLE>.LINK$ FROM <USER>. REVOKE ALL ON USER_TAB_PRIVS FROM <USER>. REVOKE RESOURCE FROM <USER/ROLE>.Acción ALTER USER DEFAULT_TABLESPACE table. REVOKE ALL <PRIVS> FROM <USER>.

REVOKE EXECUTE ON DBMS_RANDOM FROM PUBLIC.REVOKE EXECUTE ON UTL_FILE FROM PUBLIC. . REVOKE EXECUTE ON DBMS_BACKUP_RESTORE FROM PUBLIC. REVOKE EXECUTE ON DBMS_SYS_SQL FROM PUBLIC. REVOKE EXECUTE ON DBMS_JOB FROM PUBLIC. REVOKE EXECUTE ON UTL_LOB FROM PUBLIC. REVOKE EXECUTE ON UTL_HTTP FROM PUBLIC. REVOKE EXECUTE ON UTL_SMTP FROM PUBLIC. REVOKE EXECUTE ON UTL_TCP FROM PUBLIC.