Oracle数据库的安全与管理

1、用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理主要内容容建立新的的数据库库用户修改和删删除存在在的数据据库用户户监控存在在的数据据库用户户的有关关信息帐户锁表空间限限额临时表空空间缺省表空空间角色权限限资源限定定安全域用户和安安全直接权限限认证机制制表- 触发发器- 约束束索引视图序号发生生器存储程序序单元同义词用户定义义的数据据类型数据库链链接数据库模模式建立用户户的核对对表1.选选择用户户名和认认证机制制2.确确定用户户需要存存储对象象的表空空间3.确确定每一一个表空空间的限限额4.指指定缺省省表空间间和临时时表空间间5.建建立用用户6.给给用户户授予权权

2、限和角角色建立一个个新用户户:指指导原则则初始选择择一个标标准口令令使用EXPIRE关键键字强制制用户重重新设置置其口令令始终要指指定临时时表空间间一般不限限制用户户的定额额;要谨谨慎使用用QUOTAUNLIMITED训练用户户:连接修改口令令控制帐户户锁和口口令ALTERUSER peterIDENTIFIED BYhisgrandpaPASSWORDEXPIRE;修改用户户的表空空间定额额ALTERUSER peterQUOTA0 ON data01;删除用户户如果模式式中包含含对象，则需要要使用CASCADE子句DROP USERpeter;DROP USERpeterCASCADE;监

3、控用户户DBA_USERSUSERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTASUSERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS用户管理理环境文件件管理权限管理理角色管理理常用工具具的使用用Oracle数数据库的的安全与与管理主要内容容建立环境境文件并并分配给给用户利用环境境文件控控制资源源的使用用修改和删删除环境境文件使用环境境文件管管理口令令获得环境境文件,指定的的限制,和口

4、令令管理环境文件件命名的资资源和口口令限制制的集合合通过CREATE/ALTERUSER命令分配给给用户可以启用用或禁用用可以涉及及DEFAULT环境境文件可以在会会话层或或调用层层限制系统资源源帐户锁安全域资源限制制直接权限限临时表空空间缺省表空空间表空间定定额验证机制制角色权限限使用环境境文件管管理资源源1.创创建环境境文件2.为为用户分分配资源源文件3.启启用资源源限制创建环境境文件:资源限限制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;R

5、esourceCPU_PER_SESSIONSESSIONS_PER_USERCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONPRIVATE_SGADescriptionTotalCPUtimemeasuredinhundredths of secondsNumberofconcurrentsessionsallowed foreach usernameElapsed connecttimemeasuredinminutesPeriods of inactive timemeasuredinminutesNumberofdatablocks(phys

6、ical andlogical reads)Private space in theSGAmeasuredinbytes(forMTSonly)在会话层层设置资资源限制制资源CPU_PER_CALLLOGICAL_READS_PER_CALL说明CPUtimepercallinhundredths of secondsNumberofdatablocks在调用层层设置资资源限制制为用户分分配资源源文件CREATEUSERuser3IDENTIFIED BY user3DEFAULT TABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONd

7、ata01PROFILE developer_prof;ALTERUSERscottPROFILE developer_prof;启用资源源限制将初始化化参数RESOURCE_LIMIT设置置成TRUE或使用带有有启用参参数的ALTERSYSTEM命命令强制制资源限限制ALTERSYSTEMSET RESOURCE_LIMIT=TRUE;修改环境境文件ALTERPROFILE defaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;删除环境境文件DROP PROFILEdeveloper_prof;DROP PROFILEdevelo

8、per_profCASCADE;查看资源源限制DBA_USERS- profile- usernameDBA_PROFILES- profile- resource_name- resource_type(KERNEL)- limit口令管理理用户口令到期和时效口令确认口令历史帐户锁建立环境文件启用口令令管理使用环境境文件并并分配给给用户来来建立口口令管理理使用CREATEUSER或ALTER USER加加锁,解解锁,和和期满帐帐户既使实例例的RESOURCE_LIMIT的设置置是FALSE,口令令限制仍仍始终被被强制创建环境境文件:口令设设置CREATEPROFILEgrace_5 LIMI

9、TFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME 30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME 5;口令设置置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescriptionNumberoffailed login attempts beforelockout of theaccountNumberofdaysforw

10、hichthe accountremainslockeduponpasswordexpirationLifetimeofthepasswordindaysafterwhichthepasswordexpiresGraceperiodindaysforchangingthe password after thefirstsuccessful login after thepasswordhasexpired口令设置置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumberofda

11、ysbeforeapasswordcanbereusedMaximum numberoftimesa password canbereusedPL/SQLfunctionthatmakesa password complexitycheckbefore apasswordisassigned用户提供供的口令令函数函数必须须使用模模式SYS创建建,并且且具有以以下规范范:function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30)

12、RETURNBOOLEAN口令确认认函数VERIFY_FUNCTION长度最少少四个字字符口令不能能和用户户名相同同口令至少少有一个个字母,一个数数字,和和一个特特殊字符符本次的口口令与上上一次的的口令应应当至少少有三个个字符不不同Password verification查看口令令的有关关信息DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type (PASSWORD)limit用户管理理环境文件件管理权限管理理角色管理理常用工具具的使用用Or

13、acle数数据库的的安全与与管理主要内容容鉴别系统统和对象象权限权限的授授予与回回收操作系统统或口令令文件认认证的控控制管理权限限两种类型型的权限限:系统:使得用户户可以执执行数据据库中特特殊的操操作对象:使使得用用户可以以访问和和操作特特定的对对象系统权限限约有80个系统统权限权限中ANY关关键字意意味着用用户具有有每一个个模式的的权限GRANT命令令可以为为一个或或一组用用户添加加权限REVOKE命命令删除除权限系统权限限:例例子类别例子INDEXCREATEANY INDEXALTERANYINDEXDROP ANYINDEXTABLECREATETABLECREATEANY TABLE

14、ALTERANYTABLEDROP ANYTABLESELECTANY TABLEUPDATEANY TABLEDELETEANY TABLESESSIONCREATESESSIONALTERSESSIONRESTRICTED SESSIONTABLESPACECREATETABLESPACEALTERTABLESPACEDROP TABLESPACEUNLIMITEDTABLESPACE授予系统统权限GRANTCREATESESSION,CREATE TABLE TO user1;GRANTCREATESESSIONTOscottWITH ADMIN OPTION;SYSDBA和和SYSOP

15、ER权限限类别例子SYSOPERSTARTUPSHUTDOWNALTERDATABASEOPEN |MOUNTALTERDATABASEBACKUPCONTROLFILEALTERTABLESPACE BEGIN/ENDBACKUPRECOVER DATABASE,ALTERDATABASEARCHIVELOGRESTRICTED SESSIONSYSDBASYSOPERprivileges WITHADMINOPTIONCREATEDATABASERECOVER DATABASE UNTIL显示系统统权限DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTIONSESS

16、ION_PRIVSPRIVILEGE数据库层层会话层系统权限限限制O7_DICTIONARY_ACCESSIBILITY=TRUE回复至Oracle7的工作作特点取消带有有ANY关键字字的系统统权限限限制缺省为TRUE回收系统统权限REVOKECREATE TABLE FROMuser1;REVOKECREATE SESSIONFROMscott;USER 1SCOTT回收使用用WITHADMINOPTION的的系统统权限DBA授予回收USER 1SCOTTDBA结果回收使用用WITHADMINOPTION的的系统统权限DBAUSER 1SCOTT对象权限限对象权限限表视视图序序号发发生器过过

17、程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE授予对象象权限GRANTEXECUTE ONdbms_pipeTOpublic;GRANTUPDATE(ename,sal) ONempTOuser1WITH GRANT OPTION;DBA_TAB_PRIVS显示对象象权限DBA_COL_PRIVSGRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLEGRANTEEOWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRANTABLE回收对象象权限REVOKEexec

18、uteONdbms_pipeFROMscott;授予回收回收使用用WITHGRANTOPTION的的对象权权限SCOTTSCOTTUSER 1USER 1USER 2USER 2结果回收使用用WITHGRANTOPTION的的对象权权限SCOTTUSER 1USER 2用户管理理环境文件件管理权限管理理角色管理理常用工具具的使用用Oracle数数据库的的安全与与管理主要内容容创建和修修改角色色控制角色色的可用用性删除角色色使用预定定义的角角色从数据字字典中获获得角色色的有关关信息角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRABC角色的好好处减少权限限

19、的授予予动态地管管理权限限选择性的的权限可可用性通过OS授予非连带回回收改善性能能创建角色色CREATEROLEsales_clerk;CREATEROLEhr_clerkIDENTIFIED BY bonus;CREATEROLEhr_managerIDENTIFIED EXTERNALLY;使用预定定义角色色角色名称称说明CONNECTThesetwo roles areprovidedRESOURCEforbackwardcompatibility.DBAAll systemprivileges WITHADMIN OPTIONEXP_FULL_DATABASEPrivilegestoe

20、xporttheDBIMP_FULL_DATABASEPrivilegestoimporttheDBDELETE_CATALOG_ROLEDELETEprivileges onDDtablesEXECUTE_CATALOG_ROLEEXECUTE privilegeonDDpackagesSELECT_CATALOG_ROLESELECTprivilegeonDDtables修改角色色ALTERROLE hr_clerkIDENTIFIED EXTERNALLY;ALTERROLE hr_managerNOTIDENTIFIED;ALTERROLE sales_clerkIDENTIFIED

21、BY commission;分配角色色GRANThr_clerk,TOhr_manager;GRANTsales_clerkTOscott;GRANThr_manager TOscottWITH ADMIN OPTION;设立缺省省角色ALTERUSERscottDEFAULT ROLEhr_clerk, sales_clerk;ALTERUSERscottDEFAULT ROLEALL;ALTERUSERscottDEFAULT ROLEALL EXCEPThr_clerk;ALTERUSERscottDEFAULT ROLENONE;启用和禁禁用角色色禁用角色色可以将将角色从从用户处处临时回回收启用角色色可以作作为临时时的授予予SETROLE命令令可以启启用和禁禁用角色色缺省角色色在用户户登录时时启用启用角色色时可能能需要口口令启用和禁禁用角色色:例例子SETROLEhr_clerk;SETROLEsales_clerkIDENTIFIED BY commission;SETROLEALLEXCEPT sales_clerk;SETROLENONE;删除用户户的角色色REVOKEhr_managerFROM PUBLIC;REVOKEsales_clerkFRO