EMKEY n'est plus dans le référentiel Enterprise Manager 11g

Il y a quelques années, je pointais la nécessité de supprimer la clé EMKEY du référentiel Enterprise Manager pour des raisons de sécurité. La chose qui devait se faire manuellement il y a quelques années est maintenant dans le standard du produit avec Oracle Enterprise Manager 11g comme le montre ma requête sur un référentiel « standard » ci-dessous :

select credential_set_column,
    sysman.decrypt(credential_value) credential_value
 from sysman.mgmt_credentials2 ;

sysman.decrypt(credential_value) credential_value
    *
ERROR at line 2:
ORA-28239: no key provided
ORA-06512: at "SYS.DBMS_OBFUSCATION_TOOLKIT_FFI", line 84
ORA-06512: at "SYS.DBMS_OBFUSCATION_TOOLKIT", line 233
ORA-06512: at "SYSMAN.DECRYPT", line 9

Je dois dire si la surprise est agréable de prime abord, il ne faut pas oublier que emkey.ora doit absolument être sauvegardé pour remonter la plateforme.

Là où la surprise est plus grande c’est que le fichier emkey.ora situé dans $OMS_HOME/sysman/config est visiblement en lecture pour TOUS les utilisateurs du serveur, ce qui ne me semble pas une meilleure idée… N’oublions pas que si les mots de passe stockés dans dans le référentiel sont chiffrés, emkey permet de les déchiffrer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *