Oracle数据库的安全与管理培训教材课件

用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容建立新的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息主要内容建立新的数据库用户帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域用户和安全直接权限认证机制帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域

表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式

表数据库模式

建立用户的核对表1.选择用户名和认证机制2. 确定用户需要存储对象的表空间3. 确定每一个表空间的限额4. 指定缺省表空间和临时表空间5. 建立用户6. 给用户授予权限和角色

建立用户的核对表1.选择用户名和认证机制建立一个新用户:指导原则初始选择一个标准口令使用EXPIRE关键字强制用户重新设置其口令始终要指定临时表空间一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED训练用户:连接修改口令建立一个新用户:指导原则初始选择一个标准口令控制帐户锁和口令ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;控制帐户锁和口令ALTERUSERpeter修改用户的表空间定额ALTERUSERpeterQUOTA0ONdata01;修改用户的表空间定额ALTERUSERpeter删除用户

如果模式中包含对象，则需要使用CASCADE子句DROPUSERpeter;DROPUSERpeterCASCADE;删除用户

如果模式中包含对象，则需要使用CASCADE子句监控用户DBA_USERS

USERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTAS

USERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS监控用户DBA_USERSDBA_TS_QUOTAS用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容建立环境文件并分配给用户利用环境文件控制资源的使用修改和删除环境文件使用环境文件管理口令获得环境文件,指定的限制,和口令管理主要内容建立环境文件并分配给用户环境文件命名的资源和口令限制的集合通过CREATE/ALTERUSER命 令分配给用户可以启用或禁用可以涉及DEFAULT环境文 件可以在会话层或调用层限制 系统资源帐户锁安全域资源限制直接权限临时表空间缺省表空间表空间定额验证机制角色权限环境文件命名的资源和口令限制的集合帐户锁安全域资源限制直接权使用环境文件管理资源1.创建环境文件2.为用户分配资源文件3.启用资源限制使用环境文件管理资源1.创建环境文件创建环境文件:资源限制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;创建环境文件:资源限制CREATEPROFILEdeveResourceCPU_PER_SESSION

SESSIONS_PER_USER

CONNECT_TIME

IDLE_TIME

LOGICAL_READS_PER_SESSIONPRIVATE_SGA

DescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly)在会话层设置资源限制ResourceDescription在会话层设置资源限制资源CPU_PER_CALL

LOGICAL_READS_PER_CALL说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks

在调用层设置资源限制资源说明在调用层设置资源限制为用户分配资源文件CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;ALTERUSERscottPROFILEdeveloper_prof;为用户分配资源文件CREATEUSERuser3IDE启用资源限制将初始化参数RESOURCE_LIMIT设置成TRUE或使用带有启用参数的ALTERSYSTEM命令强制资源限制ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;

启用资源限制ALTERSYSTEMSETRESOURC修改环境文件

ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;修改环境文件 ALTERPROFILEdefaultL删除环境文件DROPPROFILEdeveloper_prof;DROPPROFILEdeveloper_profCASCADE;删除环境文件DROPPROFILEdeveloper_p查看资源限制DBA_USERS-profile

-username

DBA_PROFILES-profile

-resource_name

-resource_type

(KERNEL)

-limit查看资源限制DBA_USERSDBA_PROFILES口令管理用户口令到期和时效口令确认口令历史帐户锁建立环境文件口令管理用户口令到期口令确认口令历史帐户锁建立环境启用口令管理使用环境文件并分配给用户来建立口令管理使用CREATEUSER或ALTERUSER加锁,解锁,和期满帐户既使实例的RESOURCE_LIMIT的设置是FALSE,口令限制仍始终被强制启用口令管理使用环境文件并分配给用户来建立口令管理创建环境文件:口令设置CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3 PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;创建环境文件:口令设置CREATEPROFILEgra口令设置ParameterFAILED_LOGIN_ATTEMPTS

PASSWORD_LOCK_TIME

PASSWORD_LIFE_TIME

PASSWORD_GRACE_TIME

DescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpiration

Lifetimeofthepasswordindaysafterwhichthepasswordexpires

Graceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired口令设置ParameterDescription口令设置ParameterPASSWORD_REUSE_TIME

PASSWORD_REUSE_MAX

PASSWORD_VERIFY_FUNCTION

DescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned口令设置ParameterDescription用户提供的口令函数函数必须使用模式SYS创建,并且具有以下规范:function_name(userid_parameterINVARCHAR2(30),

password_parameterINVARCHAR2(30),old_password_parameterIN

VARCHAR2(30))RETURNBOOLEAN用户提供的口令函数函数必须使用模式SYS创建,并且具有以下规口令确认函数VERIFY_FUNCTION长度最少四个字符口令不能和用户名相同口令至少有一个字母,一个数字,和一个特殊字符本次的口令与上一次的口令应当至少有三个字符不同Passwordverification口令确认函数VERIFY_FUNCTION长度最少四个字符查看口令的有关信息DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD)limit查看口令的有关信息DBA_USERS用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容鉴别系统和对象权限权限的授予与回收操作系统或口令文件认证的控制主要内容管理权限

两种类型的权限:系统:使得用户可以执行数据库中特殊的操作对象:使得用户可以访问和操作特定的对象管理权限两种类型的权限:系统权限约有80个系统权限权限中ANY关键字意味着用户具有每一个模式的权限GRANT命令可以为一个或一组用户添加权限REVOKE命令删除权限系统权限约有80个系统权限系统权限:例子类别 例子

INDEX CREATEANYINDEX

ALTERANYINDEX

DROPANYINDEX

TABLE CREATETABLE

CREATEANYTABLE

ALTERANYTABLE

DROPANYTABLE

SELECTANYTABLE

UPDATEANYTABLE

DELETEANYTABLESESSION CREATESESSION

ALTERSESSION

RESTRICTEDSESSIONTABLESPACE CREATETABLESPACE

ALTERTABLESPACE

DROPTABLESPACE

UNLIMITEDTABLESPACE系统权限:例子类别 例子 授予系统权限GRANTCREATESESSION,CREATETABLETOuser1;GRANTCREATESESSIONTOscottWITHADMINOPTION;授予系统权限GRANTCREATESESSION,CRSYSDBA和SYSOPER权限类别 例子

SYSOPER STARTUP

SHUTDOWN

ALTERDATABASEOPEN|MOUNT

ALTERDATABASEBACKUPCONTROLFILE

ALTERTABLESPACEBEGIN/ENDBACKUP

RECOVERDATABASE,

ALTERDATABASEARCHIVELOG

RESTRICTEDSESSION

SYSDBA SYSOPERprivilegesWITHADMINOPTION

CREATEDATABASE

RECOVERDATABASEUNTIL SYSDBA和SYSOPER权限类别 例子 显示系统权限DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTIONSESSION_PRIVSPRIVILEGE数据库层会话层显示系统权限DBA_SYS_PRIVSSESSION_PRI系统权限限制O7_DICTIONARY_ACCESSIBILITY=TRUE回复至Oracle7的工作特点取消带有ANY关键字的系统权限限制缺省为TRUE系统权限限制O7_DICTIONARY_ACCESSIBIL回收系统权限REVOKECREATETABLEFROMuser1;REVOKECREATESESSIONFROMscott;回收系统权限REVOKECREATETABLEFROMUSER1SCOTT回收使用WITHADMINOPTION

的系统权限DBA授予回收USER1SCOTTDBAUSER1SCOTT回收使用WITHADMINOPTI结果回收使用WITHADMINOPTION

的系统权限DBAUSER1SCOTT结果回收使用WITHADMINOPTION

的系统权限D对象权限对象权限 表 视图 序号发生器 过程ALTER

DELETE

EXECUTE

INDEX INSERT

REFERENCES SELECT

UPDATE

对象权限对象权限 表 视图 序号发生器 过程授予对象权限GRANTEXECUTEONdbms_pipeTOpublic;GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;授予对象权限GRANTEXECUTEONdbms_piDBA_TAB_PRIVS显示对象权限DBA_COL_PRIVSGRANTEE

OWNER

TABLE_NAME

GRANTOR

PRIVILEGE

GRANTABLEGRANTEE

OWNER

TABLE_NAME

COLUMN_NAME

GRANTOR

PRIVILEGE

GRANTABLE

DBA_TAB_PRIVS显示对象权限DBA_COL_PRI回收对象权限REVOKEexecuteONdbms_pipeFROMscott;回收对象权限REVOKEexecuteONdbms_p授予回收回收使用WITHGRANTOPTION的对象权限SCOTTSCOTTUSER1USER1USER2USER2授予回收回收使用WITHGRANTOPTION的对象权限结果回收使用WITHGRANTOPTION的对象权限SCOTTUSER1USER2结果回收使用WITHGRANTOPTION的对象权限SC用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容创建和修改角色控制角色的可用性删除角色使用预定义的角色从数据字典中获得角色的有关信息主要内容创建和修改角色角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRABC角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话角色的好处

减少权限的授予动态地管理权限选择性的权限可用性通过OS授予非连带回收改善性能角色的好处减少权限的授予创建角色CREATEROLEsales_clerk;CREATEROLEhr_clerkIDENTIFIEDBYbonus;CREATEROLEhr_managerIDENTIFIEDEXTERNALLY;创建角色CREATEROLEsales_clerk;CR使用预定义角色角色名称 说明CONNECT ThesetworolesareprovidedRESOURCE forbackwardcompatibility.DBA AllsystemprivilegesWITH ADMINOPTIONEXP_FULL_DATABASE PrivilegestoexporttheDBIMP_FULL_DATABASE PrivilegestoimporttheDBDELETE_CATALOG_ROLE DELETEprivilegeson DDtablesEXECUTE_CATALOG_ROLE EXECUTEprivilegeon DDpackagesSELECT_CATALOG_ROLE SELECTprivilegeonDDtables

使用预定义角色角色名称 说明修改角色ALTERROLEhr_clerkIDENTIFIEDEXTERNALLY;ALTERROLEhr_managerNOTIDENTIFIED;ALTERROLEsales_clerk

IDENTIFIEDBYcommission;修改角色ALTERROLEhr_clerkALTERR分配角色GRANThr_clerk,

TOhr_manager;GRANTsales_clerkTOscott;GRANThr_managerTOscott

WITHADMINOPTION;分配角色GRANThr_clerk,

TOhr_man设立缺省角色ALTERUSERscott

DEFAULTROLEhr_clerk,sales_clerk;ALTERUSERscottDEFAULTROLEALL;ALTERUSERscottDEFAULTROLEALLEXCEPThr_clerk;ALTERUSERscottDEFAULTROLENONE;设立缺省角色ALTERUSERscott

DEFAULT启用和禁用角色禁用角色可以将角色从用户处临时回收启用角色可以作为临时的授予SETROLE命令可以启用和禁用角色缺省角色在用户登录时启用启用角色时可能需要口令启用和禁用角色禁用角色可以将角色从用户处临时回收启用和禁用角色:

例子SETROLEhr_clerk;SETROLEsales_clerkIDENTIFIEDBYcommission;SETROLEALLEXCEPTsales_clerk;SETROLENONE;启用和禁用角色:

例子SETROLEhr_clerk;S删除用户的角色REVOKEhr_managerFROMPUBLIC;REVOKEsales_clerkFROMscott;删除用户的角色REVOKEhr_managerFROM删除角色DROPROLEhr_manager;删除角色DROPROLEhr_manager;BENEFITSPAYROLLHR_MANAGERHR_CLERKPAY_CLERK用户角色应用角色应用权限创建角色的指导方针用户Payroll权限Benefits权限BENEFITSPAYROLLHR_MANAGERHR_CL使用口令和缺省角色的指导原则PAY_CLERKPAY_CLERK_RO缺省角色非缺省保护的口令查询权限插入,更新,删除和查询权限使用口令和缺省角色的指导原则PAY_CLERKPAY_CLE显示角色信息角色视图

说明DBA_ROLES AllroleswhichexistinthedatabaseDBA_ROLE_PRIVS RolesgrantedtousersandrolesROLE_ROLE_PRIVS RoleswhicharegrantedtorolesDBA_SYS_PRIVS Systemprivilegesgrantedtousers androlesROLE_SYS_PRIVS SystemprivilegesgrantedtorolesROLE_TAB_PRIVS TableprivilegesgrantedtorolesSESSION_ROLES Roleswhichtheusercurrentlyhas enabled.显示角色信息角色视图 说明用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容实例管理程序--InstanceManager模式管理程序--SchemaManager安全管理程序--SecurityManager存储管理程序--StorageManager备份管理程序--BackupManager网络配置程序--NetEasyConfiguration主要内容实例管理程序--InstanceManager用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容建立新的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息主要内容建立新的数据库用户帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域用户和安全直接权限认证机制帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域

表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式

表数据库模式

建立用户的核对表1.选择用户名和认证机制2. 确定用户需要存储对象的表空间3. 确定每一个表空间的限额4. 指定缺省表空间和临时表空间5. 建立用户6. 给用户授予权限和角色

建立用户的核对表1.选择用户名和认证机制建立一个新用户:指导原则初始选择一个标准口令使用EXPIRE关键字强制用户重新设置其口令始终要指定临时表空间一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED训练用户:连接修改口令建立一个新用户:指导原则初始选择一个标准口令控制帐户锁和口令ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;控制帐户锁和口令ALTERUSERpeter修改用户的表空间定额ALTERUSERpeterQUOTA0ONdata01;修改用户的表空间定额ALTERUSERpeter删除用户

如果模式中包含对象，则需要使用CASCADE子句DROPUSERpeter;DROPUSERpeterCASCADE;删除用户

如果模式中包含对象，则需要使用CASCADE子句监控用户DBA_USERS

USERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTAS

USERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS监控用户DBA_USERSDBA_TS_QUOTAS用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容建立环境文件并分配给用户利用环境文件控制资源的使用修改和删除环境文件使用环境文件管理口令获得环境文件,指定的限制,和口令管理主要内容建立环境文件并分配给用户环境文件命名的资源和口令限制的集合通过CREATE/ALTERUSER命 令分配给用户可以启用或禁用可以涉及DEFAULT环境文 件可以在会话层或调用层限制 系统资源帐户锁安全域资源限制直接权限临时表空间缺省表空间表空间定额验证机制角色权限环境文件命名的资源和口令限制的集合帐户锁安全域资源限制直接权使用环境文件管理资源1.创建环境文件2.为用户分配资源文件3.启用资源限制使用环境文件管理资源1.创建环境文件创建环境文件:资源限制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;创建环境文件:资源限制CREATEPROFILEdeveResourceCPU_PER_SESSION

SESSIONS_PER_USER

CONNECT_TIME

IDLE_TIME

LOGICAL_READS_PER_SESSIONPRIVATE_SGA

DescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly)在会话层设置资源限制ResourceDescription在会话层设置资源限制资源CPU_PER_CALL

LOGICAL_READS_PER_CALL说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks

在调用层设置资源限制资源说明在调用层设置资源限制为用户分配资源文件CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;ALTERUSERscottPROFILEdeveloper_prof;为用户分配资源文件CREATEUSERuser3IDE启用资源限制将初始化参数RESOURCE_LIMIT设置成TRUE或使用带有启用参数的ALTERSYSTEM命令强制资源限制ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;

启用资源限制ALTERSYSTEMSETRESOURC修改环境文件

ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;修改环境文件 ALTERPROFILEdefaultL删除环境文件DROPPROFILEdeveloper_prof;DROPPROFILEdeveloper_profCASCADE;删除环境文件DROPPROFILEdeveloper_p查看资源限制DBA_USERS-profile

-username

DBA_PROFILES-profile

-resource_name

-resource_type

(KERNEL)

-limit查看资源限制DBA_USERSDBA_PROFILES口令管理用户口令到期和时效口令确认口令历史帐户锁建立环境文件口令管理用户口令到期口令确认口令历史帐户锁建立环境启用口令管理使用环境文件并分配给用户来建立口令管理使用CREATEUSER或ALTERUSER加锁,解锁,和期满帐户既使实例的RESOURCE_LIMIT的设置是FALSE,口令限制仍始终被强制启用口令管理使用环境文件并分配给用户来建立口令管理创建环境文件:口令设置CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3 PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;创建环境文件:口令设置CREATEPROFILEgra口令设置ParameterFAILED_LOGIN_ATTEMPTS

PASSWORD_LOCK_TIME

PASSWORD_LIFE_TIME

PASSWORD_GRACE_TIME

DescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpiration

Lifetimeofthepasswordindaysafterwhichthepasswordexpires

Graceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired口令设置ParameterDescription口令设置ParameterPASSWORD_REUSE_TIME

PASSWORD_REUSE_MAX

PASSWORD_VERIFY_FUNCTION

DescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned口令设置ParameterDescription用户提供的口令函数函数必须使用模式SYS创建,并且具有以下规范:function_name(userid_parameterINVARCHAR2(30),

password_parameterINVARCHAR2(30),old_password_parameterIN

VARCHAR2(30))RETURNBOOLEAN用户提供的口令函数函数必须使用模式SYS创建,并且具有以下规口令确认函数VERIFY_FUNCTION长度最少四个字符口令不能和用户名相同口令至少有一个字母,一个数字,和一个特殊字符本次的口令与上一次的口令应当至少有三个字符不同Passwordverification口令确认函数VERIFY_FUNCTION长度最少四个字符查看口令的有关信息DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD)limit查看口令的有关信息DBA_USERS用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容鉴别系统和对象权限权限的授予与回收操作系统或口令文件认证的控制主要内容管理权限

两种类型的权限:系统:使得用户可以执行数据库中特殊的操作对象:使得用户可以访问和操作特定的对象管理权限两种类型的权限:系统权限约有80个系统权限权限中ANY关键字意味着用户具有每一个模式的权限GRANT命令可以为一个或一组用户添加权限REVOKE命令删除权限系统权限约有80个系统权限系统权限:例子类别 例子

INDEX CREATEANYINDEX

ALTERANYINDEX

DROPANYINDEX

TABLE CREATETABLE

CREATEANYTABLE

ALTERANYTABLE

DROPANYTABLE

SELECTANYTABLE

UPDATEANYTABLE

DELETEANYTABLESESSION CREATESESSION

ALTERSESSION

RESTRICTEDSESSIONTABLESPACE CREATETABLESPACE

ALTERTABLESPACE

DROPTABLESPACE

UNLIMITEDTABLESPACE系统权限:例子类别 例子 授予系统权限GRANTCREATESESSION,CREATETABLETOuser1;GRANTCREATESESSIONTOscottWITHADMINOPTION;授予系统权限GRANTCREATESESSION,CRSYSDBA和SYSOPER权限类别 例子

SYSOPER STARTUP

SHUTDOWN

ALTERDATABASEOPEN|MOUNT

ALTERDATABASEBACKUPCONTROLFILE

ALTERTABLESPACEBEGIN/ENDBACKUP

RECOVERDATABASE,

ALTERDATABASEARCHIVELOG

RESTRICTEDSESSION

SYSDBA SYSOPERprivilegesWITHADMINOPTION

CREATEDATABASE

RECOVERDATABASEUNTIL SYSDBA和SYSOPER权限类别 例子 显示系统权限DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTIONSESSION_PRIVSPRIVILEGE数据库层会话层显示系统权限DBA_SYS_PRIVSSESSION_PRI系统权限限制O7_DICTIONARY_ACCESSIBILITY=TRUE回复至Oracle7的工作特点取消带有ANY关键字的系统权限限制缺省为TRUE系统权限限制O7_DICTIONARY_ACCESSIBIL回收系统权限REVOKECREATETABLEFROMuser1;REVOKECREATESESSIONFROMscott;回收系统权限REVOKECREATETABLEFROMUSER1SCOTT回收使用WITHADMINOPTION

的系统权限DBA授予回收USER1SCOTTDBAUSER1SCOTT回收使用WITHADMINOPTI结果回收使用WITHADMINOPTION

的系统权限DBAUSER1SCOTT结果回收使用WITHADMINOPTION

的系统权限D对象权限对象权限 表 视图 序号发生器 过程ALTER

DELETE

EXECUTE

INDEX INSERT

REFERENCES SELECT

UPDATE

对象权限对象权限 表 视图 序号发生器 过程授予对象权限GRANTEXECUTEONdbms_pipeTOpublic;GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;授予对象权限GRANTEXECUTEONdbms_piDBA_TAB_PRIVS显示对象权限DBA_COL_PRIVSGRANTEE

OWNER

TABLE_NAME

GRANTOR

PRIVILEGE

GRANTABLEGRANTEE

OWNER

TABLE_NAME

COLUMN_NAME

GRANTOR

PRIVILEGE

GRANTABLE

DBA_TAB_PRIVS显示对象权限DBA_COL_PRI回收对象权限REVOKEexecuteONdbms_pipeFROMscott;回收对象权限REVOKEexecuteONdbms_p授予回收回收使用WITHGRANTOPTION的对象权限SCOTTSCOTTUSER1USER1USER2USER2授予回收回收使用WITHGRANTOPTION的对象权限结果回收使用WITHGRANTOPTION的对象权限SCOTTUSER1USER2结果回收使用WITHGRANTOPTION的对象权限SC用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理用户管理Oracle数据库的安全与管理主要内容创建和修改角色控制角色的可用性删除角色使用预定义的角色从数据字典中获得角色的有关信息主要内容创建和修改角色角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRABC角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话角色的好处

减少权限的授予动态地管理权限选择性的权限可用性通过OS授予非连带回收改善性能角色的好处减少权限的授予创建角色CREATEROLEsales_clerk;CREATEROLEhr_clerkIDENTIFIEDBYbonus;CREATEROLEhr_managerIDENTIFIEDEXTERNALLY;创建角色CREATEROLEsales_clerk;CR使用预定义角色角色名称 说明CONNECT ThesetworolesareprovidedRESOURCE forbackwardcompatibility.DBA AllsystemprivilegesWITH ADMINOPTIONEXP_FULL_DATABASE PrivilegestoexporttheDBIMP_FULL_DATABASE PrivilegestoimporttheDBDELETE_CATALOG_ROLE DELETEprivilegeson DDtablesEXECUTE_CATALOG_ROLE EXECUTEprivilegeon