En la entrada de Blog anterior, expliqué como poder acceder como SYSDBA a sqlplus sin tener el password. Evidentemente, esto es un problema grave de seguridad, ya que si cualquiera se hace con el password del usuario oracle y/o cualquier usuario que pertenezca al grupo “dba” tendrá acceso como SYSDBA si hace lo explicado en la entrada de blog anterior. Esto es así porque en el fichero $ORACLE_HOME/rdbms/lib/config.* (.c o .s) que pertenece al grupo dba se dan privilegios implícitos para usar “/as sysdba” sin pedir contraseña a cualquier usuario de sistema operatativo que pertenezca a este grupo.
Pues la solución, es tan sencilla como sacar del grupo “dba” a todos aquellos usuarios de S.O y dejar el grupo vacio. De esta manera, al entrar a sqlplus, se nos solicitará el password.
Otra opción consiste en:
Editar el archivo “$ORACLE_HOME/rdbms/lib/config.c” y hacer referencia a un falso grupo vacío. Posteriormente, “volver a vincular todos”, para volver a conectar todos los componentes de software de Oracle con el nuevo “grupo vacío” Oracle DBA.
