[20150629]簡單的加密連線.txt

[20150629]簡單的加密連線.txt

--我曾經寫過一個指令碼跟蹤使用者執行的sql語句：(原始的出處忘記了)

#! /bin/bash
/usr/sbin/tcpdump  -l -i eth0 -s 16384 -A -nn src host $1 and dst port 1521 2>/dev/null |  tee -a /tmp/aa1 |sed -u -e  "s/^M/!/g;s/^E\.\..\{1,100\}//;s/\.*$//;s/^\.*//" | \
awk '{if (tolower($0) ~ "select" || tolower($0) ~ "update" ||  tolower($0) ~ "delete" || tolower($0) ~ "insert" || $0 ~ "ORA-" ) {p=1;print} \
else if(p == 1 && $0 !~ "^[0-9][0-9]:") {print} else if ($0 ~ "^[0-9][0-9]:") {p=0}}'

--注意^M表示0x0d。在vim下ctrl+v，ctrl+m。

--在服務端執行:

# Tcpdumpsql client_ip
SELECT USER FROM DUAL
SELECT ATTRIBUTE,SCOPE,NUMERIC_VALUE,CHAR_VALUE,DATE_VA
        LUE FROM SYSTEM.PRODUCT_PRIVS WHERE (UPPER('SQL*Plus') LIKE UPPER(PRODUCT)) AND (USER LIKE USERID)
SELECT CHAR_VALUE FROM SYSTEM.PRODUCT_PRIVS WHERE   (UP
        PER('SQL*Plus') LIKE UPPER(PRODUCT)) AND   ((USER LIKE USERID) OR (USERID = 'PUBLIC')) AND   (UPPER(ATTRIBUTE) = 'ROLES')
(SELECT DECODE('A','A','1','2') FROM DUAL

select * from dept

--可以看到可以抓取裡面的sql語句。

--昨天有朋友問如何讓上面的工具失效，當然最簡單的方法就是加密，或者使用類似ssh的協議。
--實際上很簡單在client端的sqlnet.ora檔案加入如下：

SQLNET.ENCRYPTION_CLIENT = REQUIRED

--這樣就抓取不到sql語句了。