PUBLIC に関するセキュリティ管理

JavaScriptが無効になっています。

この状態では一部の情報が表示されず、すべての機能を利用することができません。

PUBLIC ユーザー・グループとは

PUBLIC とはマニュアル上では「特別なユーザー・グループ*1」と記載されている。
CREATE PUBLIC 〜の場合にはキーワードとして覚える方が便利かもしれないが「PUBLIC ロール」に権限を付与する GRANT .. TO PUBLIC などを含めると PUBLIC というユーザー・グループが管理していると思った方が理解しやすい。

実際、一部の開発ツールでは PUBLIC はユーザーとして閲覧できる。しかし PUBLIC はスキーマを所有していない。ただ、他のユーザーのスキーマ・オブジェクトのオブジェクト権限などを全ユーザーに付与という意味を含めて仮想的なユーザー？の位置付け（ユーザー・グループ）としては好都合な説明であると思う。

PUBLIC ロールの実行権限

以下の権限は取り扱いに注意する ( 標準設定のままでは問題になる可能性がある )

要注意権限	危険性
CREATE DBLINK	リモートからデータの収集 (CONNECT ロールに含まれる、ロールからは個別に剥奪できない)
UTL_MAIL*2	メールによるデータの送信(容易に添付ファイルも使用できるパッケージ)
UTL_SMTP	メールによるデータの送信
UTL_TCP	TCPによるデータの送信
UTL_HTTP	HTMLフォームによるデータの送信
UTL_FILE	ホストのファイルへのアクセス
DBMS_SQL	放置カーソルによる脆弱性の内容と手法が公開された過去がある（Oracle 10g 含む）
DBMS_RANDOM	不適切に初期化されることで暗号化に問題が発生する(Oracle 9i まで)

PUBLIC からは削除し、特定のユーザーに個別に許可する。

--  SYSで実行
REVOKE EXECUTE ON UTL_SMTP FROM PUBLIC ; 
REVOKE EXECUTE ON UTL_TCP FROM PUBLIC ;
REVOKE EXECUTE ON UTL_HTTP FROM PUBLIC ;
REVOKE EXECUTE ON UTL_FILE FROM PUBLIC ;
REVOKE EXECUTE ON DBMS_SQL FROM PUBLIC ;
REVOKE EXECUTE ON DBMS_RANDOM FROM PUBLIC ;

権限状態の確認 SQL

SELECT *
  FROM
	DBA_TAB_PRIVS
 WHERE
	PRIVILEGE     = 'EXECUTE'
	AND GRANTEE   = 'PUBLIC'
	AND TABLE_NAME IN(
	                'UTL_SMTP', 'UTL_TCP', 'UTL_HTTP',
	                'DBMS_SQL', 'DBMS_RANDOM'
	) ;

ロール関連事項

PUBLIC シノニム

開発するアプリケーションにおいてパブリック・シノニムの利用は控えるようにする。

PUBLIC シノニムを抽出 (システムで定義されたものは除外)

-- ユーザー管理のシノニム
SELECT *
FROM
	USER_SYNONYMS
;
-- PUBLIC シノニム
SELECT *
FROM
	DBA_SYNONYMS
WHERE
	OWNER = 'PUBLIC'
	AND NOT TABLE_OWNER IN (
	 'SYS', 'SYSMAN', 'SYSTEM'
	,'WMSYS', 'EXFSYS', 'ORDSYS'
	,'MDSYS', 'XDB'
);

シノニム関連事項

シノニム
データベース・リンク

Oracle® 非公式 SQL, PL/SQL & DBA's リファレンス

PUBLIC ユーザー・グループとは

PUBLIC ロールの実行権限

ロール関連事項

PUBLIC シノニム

シノニム関連事項

Table of Contents

PUBLIC に関するセキュリティ管理の関連トピックス

SHIFT the Oracle 最近のトピックス