Oracle数据库的安全与管理

用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理主要内容建立新的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域用户和安全直接权限认证机制

表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式

建立用户的核对表1.选择用户名和认证机制2. 确定用户需要存储对象的表空间3. 确定每一个表空间的限额4. 指定缺省表空间和临时表空间5. 建立用户6. 给用户授予权限和角色建立一个新用户:指导原则初始选择一个标准口令使用EXPIRE关键字强制用户重新设置其口令始终要指定临时表空间一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED训练用户:连接修改口令控制帐户锁和口令ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;修改用户的表空间定额ALTERUSERpeterQUOTA0ONdata01;删除用户

如果模式中包含对象，则需要使用CASCADE子句DROPUSERpeter;DROPUSERpeterCASCADE;监控用户DBA_USERS

USERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTAS

USERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS用户管管理环境文文件管管理权限管管理角色管管理常用工工具的的使用用Oracle数数据库库的安安全与与管理理主要内内容建立环环境文文件并并分配配给用用户利用环环境文文件控控制资资源的的使用用修改和和删除除环境境文件件使用环环境文文件管管理口口令获得环环境文文件,指定定的限限制,和口口令管管理环境文文件命名的的资源源和口口令限限制的的集合合通过CREATE/ALTERUSER命令分配配给用用户可以启启用或或禁用用可以涉涉及DEFAULT环境境文件可以在在会话话层或或调用用层限限制系统资资源帐户锁锁安全域域资源限限制直接权权限临时表表空间间缺省表表空间间表空间间定额额验证机机制角色权权限使用环环境文文件管管理资资源1.创创建建环境境文件件2.为为用用户分分配资资源文文件3.启启用用资源源限制制创建环环境文文件:资源源限制制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;ResourceCPU_PER_SESSIONSESSIONS_PER_USERCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONPRIVATE_SGADescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly)在会话话层设设置资资源限限制资源CPU_PER_CALLLOGICAL_READS_PER_CALL说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks在调用用层设设置资资源限限制为用户户分配配资源源文件件CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;ALTERUSERscottPROFILEdeveloper_prof;启用资资源限限制将初始始化参参数RESOURCE_LIMIT设设置成成TRUE或使用带带有启启用参参数的的ALTERSYSTEM命令令强制制资源源限制制ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;修改环环境文文件ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;删除环环境文文件DROPPROFILEdeveloper_prof;DROPPROFILEdeveloper_profCASCADE;查看资资源限限制DBA_USERS-profile-usernameDBA_PROFILES-profile-resource_name-resource_type(KERNEL)-limit口令管理用户口令到期和时效口令确认口令历史帐户锁建立环境文件启用口令管管理使用环境文文件并分配配给用户来来建立口令令管理使用CREATEUSER或ALTERUSER加加锁,解锁锁,和期满满帐户既使实例的的RESOURCE_LIMIT的设设置是FALSE,口令限制制仍始终被被强制创建环境文文件:口令令设置CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;口令设置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpirationLifetimeofthepasswordindaysafterwhichthepasswordexpires

Graceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired口令设置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned用户提供的的口令函数数函数必须使使用模式SYS创建建,并且具具有以下规规范:function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30))RETURNBOOLEAN口令确认函函数VERIFY_FUNCTION长度最少四四个字符口令不能和和用户名相相同口令至少有有一个字母母,一个数数字,和一一个特殊字字符本次的口令令与上一次次的口令应应当至少有有三个字符符不同Passwordverification查看口令的的有关信息息DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD)limit用户管理环境文件管管理权限管理角色管理常用工具的的使用Oracle数据库库的安全与与管理主要内容鉴别系统和和对象权限限权限的授予予与回收操作系统或或口令文件件认证的控控制管理权限两种类型的的权限:系统:使使得用户可可以执行数数据库中特特殊的操作作对象:使使得用户可可以访问和和操作特定定的对象系统权限约有80个个系统权限限权限中ANY关键字字意味着用用户具有每每一个模式式的权限GRANT命令可以以为一个或或一组用户户添加权限限REVOKE命令删删除权限系统权限:例子类别 例子子INDEX CREATEANYINDEXALTERANYINDEXDROPANYINDEXTABLECREATETABLECREATEANYTABLE

ALTERANYTABLEDROPANYTABLESELECTANYTABLEUPDATEANYTABLEDELETEANYTABLESESSIONCREATESESSIONALTERSESSION

RESTRICTEDSESSIONTABLESPACE CREATETABLESPACEALTERTABLESPACEDROPTABLESPACEUNLIMITEDTABLESPACE授予系统权权限GRANTCREATESESSION,CREATETABLETOuser1;GRANTCREATESESSIONTOscottWITHADMINOPTION;SYSDBA和SYSOPER权限类别 例子子SYSOPERSTARTUP

SHUTDOWNALTERDATABASEOPEN|MOUNTALTERDATABASEBACKUPCONTROLFILEALTERTABLESPACEBEGIN/ENDBACKUPRECOVERDATABASE,

ALTERDATABASEARCHIVELOGRESTRICTEDSESSIONSYSDBA SYSOPERprivilegesWITHADMINOPTIONCREATEDATABASERECOVERDATABASEUNTIL显示系统权权限DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTIONSESSION_PRIVSPRIVILEGE数据库层会话层系统权限限限制O7_DICTIONARY_ACCESSIBILITY=TRUE回复至Oracle7的工作作特点取消带有ANY关键键字的系统统权限限制制缺省为TRUE回收系统权权限REVOKECREATETABLEFROMuser1;REVOKECREATESESSIONFROMscott;USER1SCOTT回收使用WITHADMINOPTION

的系统统权限DBA授予回收USER1SCOTTDBA结果回收使用WITHADMINOPTION

的系统统权限DBAUSER1SCOTT对象权限对象权限表表 视图图 序号发发生器过过程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE授予对象权权限GRANTEXECUTEONdbms_pipeTOpublic;GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;DBA_TAB_PRIVS显示对象权权限DBA_COL_PRIVSGRANTEEOWNER

TABLE_NAMEGRANTORPRIVILEGE

GRANTABLEGRANTEEOWNER

TABLE_NAMECOLUMN_NAMEGRANTOR

PRIVILEGEGRANTABLE回收对象权权限REVOKEexecuteONdbms_pipeFROMscott;授予回收回收使用WITHGRANTOPTION的对象权权限SCOTTSCOTTUSER1USER1USER2USER2结果回收使用WITHGRANTOPTION的对象权权限SCOTTUSER1USER2用户管理环境文件管管理权限管理角色管理常用工具的的使用Oracle数据库库的安全与与管理主要内容创建和修改改角色控制角色的的可用性删除角色使用预定义义的角色从数据字典典中获得角角色的有关关信息角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRABC角色的好处处减少权限的的授予动态地管理理权限选择性的权权限可用性性通过OS授授予非连带回收收改善性能创建角色CREATEROLEsales_clerk;CREATEROLEhr_clerkIDENTIFIEDBYbonus;CREATEROLEhr_managerIDENTIFIEDEXTERNALLY;使用预定义义角色角色名称说说明明CONNECTThesetworolesareprovidedRESOURCEforbackwardcompatibility.DBAAllsystemprivilegesWITHADMINOPTIONEXP_FULL_DATABASE PrivilegestoexporttheDBIMP_FULL_DATABASE PrivilegestoimporttheDBDELETE_CATALOG_ROLEDELETEprivilegesonDDtablesEXECUTE_CATALOG_ROLEEXECUTEprivilegeonDDpackagesSELECT_CATALOG_ROLESELECTprivilegeonDDtables修改角色ALTERROLEhr_clerkIDENTIFIEDEXTERNALLY;ALTERROLEhr_managerNOTIDENTIFIED;ALTERROLEsales_clerkIDENTIFIEDBYcommission;分配角色GRANThr_clerk,TOhr_manager;GRANTsales_clerkTOscott;GRANThr_managerTOscott

WITHADMINOPTION;设立缺省角角色ALTERUSERscottDEFAULTROLEhr_clerk,sales_clerk;ALTERUSERscottDEFAULTROLEALL;ALTERUSERscottDEFAULTROLEALLEXCEPThr_clerk;ALTERUSERscottDEFAULTROLENONE;启用和禁用用角色禁用角色可可以将角色色从用户处处临时回收收启用角色可可以作为临临时的授予予SETROLE命命令可以启启用和禁用用角色缺省角色在在用户登录录时启用启用角色时时可能需要要口令启用和禁用用角色:例例子SETROLEhr_clerk;SETROLEsales_clerkIDENTIFIEDBYcommission;SETROLEALLEXCEPTsales_clerk;SETROLENONE;删除用户的的角色REVOKEhr_managerFROMPUBLIC;REVOKEsales_clerkFROMscott;