Linux
我的 Oracle DBA 需要 root 訪問權限嗎?
我的 Oracle DBA 同事請求對我們的生產伺服器進行 root 訪問。
他認為他需要它來執行一些操作,比如重新啟動伺服器和其他一些任務。
我不同意他的觀點,因為我為他設置了一個 Oracle 使用者/組和一個 Oracle 使用者所屬的 dba 組。一切執行順利,目前 DBA 沒有 root 訪問權限。
我還認為,所有管理任務(如計劃的伺服器重啟)都需要由適當的管理員(在我們的案例中為系統管理員)完成,以避免與對基礎設施互動的誤解相關的任何類型的問題。
我想要來自系統管理員和 Oracle DBA 的意見 - Oracle DBA 是否有充分的理由在生產環境中擁有 root 訪問權限?
如果我的同事真的需要這種級別的訪問權限,我會提供,但出於安全和系統完整性的考慮,我很害怕這樣做。
我不是在尋找利弊,而是關於我應該如何處理這種情況的建議。
- 誰在伺服器上安裝 Oracle?
如果是 DBA,他們需要 root 訪問權限。如果是系統管理員,則 DBA 不是。
- 當數據庫伺服器關閉時,深夜打電話給誰?
如果您不能確保系統管理員 24/7 全天候可用,您可能需要授予 DBA 的 root 訪問權限。
請記住,如果您的 DBA 已經以普通使用者的身份擁有 shell 訪問權限(有或沒有一些命令,他可以通過 sudo 執行;有或沒有被 chroot),這足以擾亂伺服器(竊取他的帳戶的壞人可以分叉炸彈,超過 ulimit 發送垃圾郵件,刪除數據庫,…)。
由於所有這些原因,我認為在理想情況下,DBA 不應該擁有 root 訪問權限;但在現實世界中,他們至少應該總是能夠在緊急情況下獲得它。