Sécurité - Comptes par défaut

Hello !

Dans notre vie de DBA, il y des moments ou nous préférons être plutôt d'un coté de la barrière..Je parle des AUDITS et quel qu'en soient la source (performance, sécurité, état de l'art ou je ne sais quoi d'autre).

Par exemple, dans le cadre d'un audit de sécurité, une des premières vérifications qui sera faite (ou pas) sera par exemple de vérifier que les mots de passe des comptes ne sont pas les mots de passe par défaut...

Et la.. arrivent les bonnes questions... mais quels sont les comptes crées avec une base... et quels sont les mots de passe par défaut...

Heureusement Oracle pense à nous faciliter le boulot.. Il existe la vue  DBA_USERS_WITH_DEFPWD

A vérifier mais valable uniquement à partir de la version 11g.

La preuve par l'exemple.

on voit ici que lors de la création de mon instance, je n'ai pas pris la peine de modifier les mots de passe par défaut (cependant certains comptes doivent être lockés).

Mais par exemple, le compte system apparaît dans la liste. Soyons joueurs.

Et voila comment, lorsqu'on intervient sur un nouvel environnement (audit, ou nouvel emploi), on va pouvoir dire plein de mal de son prédécesseur (j'en vois certains qui rient au fond de la classe... Ne riez pas, ça existe ! )

Dans ma liste de user avec mot de passe par défaut, il y a également USER1... mais que vient-il faire la dedans... Honnêtement je ne sais pas. En revanche ce que je sais c'est que la fameuse vue s'appuie elle même sur une vue SYS.default_pwd$ qui contient (en 11g) 843 couple username / mdp et que user1 est dedans..

il ne me reste plus qu'à modifier mon mot de passe pour system.

Et l'on peut constater que maintenant le user SYSTEM n’apparaît plus dans la liste des comptes utilisant un  mot  de passe par défaut !

Enjoy !