Oracle数据库的安全与管理培训教材

用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理主要内容建立新的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域用户和安全直接权限认证机制

表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式

建立用户的核对表1.选择用户名和认证机制2. 确定用户需要存储对象的表空间3. 确定每一个表空间的限额4. 指定缺省表空间和临时表空间5. 建立用户6. 给用户授予权限和角色建立一个新用户:指导原则初始选择一个标准口令使用EXPIRE关键字强制用户重新设置其口令始终要指定临时表空间一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED训练用户:连接修改口令控制帐户锁和口令ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;修改用户的表空间定额ALTERUSERpeterQUOTA0ONdata01;删除用户

如果模式中包含对象，则需要使用CASCADE子句DROPUSERpeter;DROPUSERpeterCASCADE;监控用户DBA_USERS

USERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTAS

USERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS用户管管理环境文文件管管理权限管管理角色管管理常用工工具的的使用用Oracle数数据库库的安安全与与管理理主要内内容建立环环境文文件并并分配配给用用户利用环环境文文件控控制资资源的的使用用修改和和删除除环境境文件件使用环环境文文件管管理口口令获得环环境文文件,指定定的限限制,和口口令管管理环境文文件命名的的资源源和口口令限限制的的集合合通过CREATE/ALTERUSER命令分配配给用用户可以启启用或或禁用用可以涉涉及DEFAULT环境境文件可以在在会话话层或或调用用层限限制系统资资源帐户锁锁安全域域资源限限制直接权权限临时表表空间间缺省表表空间间表空间间定额额验证机机制角色权权限使用环环境文文件管管理资资源1.创创建建环境境文件件2.为为用用户分分配资资源文文件3.启启用用资源源限制制创建环环境文文件:资源源限制制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;ResourceCPU_PER_SESSIONSESSIONS_PER_USERCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONPRIVATE_SGADescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly)在会话层层设置资资源限制制资源CPU_PER_CALLLOGICAL_READS_PER_CALL说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks在调用层层设置资资源限制制为用户分分配资源源文件CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;ALTERUSERscottPROFILEdeveloper_prof;启用资源源限制将初始化化参数RESOURCE_LIMIT设置置成TRUE或使用带有有启用参参数的ALTERSYSTEM命命令强制制资源限限制ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;修改环境境文件ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;删除环境境文件DROPPROFILEdeveloper_prof;DROPPROFILEdeveloper_profCASCADE;查看资源源限制DBA_USERS-profile-usernameDBA_PROFILES-profile-resource_name

-resource_type(KERNEL)

-limit口令管理理用户口令到期和时效口令确认口令历史帐户锁建立环境文件启用口令令管理使用环境境文件并并分配给给用户来来建立口口令管理理使用CREATEUSER或ALTERUSER加加锁,解解锁,和和期满帐帐户既使实例例的RESOURCE_LIMIT的设置置是FALSE,口令令限制仍仍始终被被强制创建环境境文件:口令设设置CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;口令设置置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpiration

Lifetimeofthepasswordindaysafterwhichthepasswordexpires

Graceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired口令设置置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned用户提供供的口令令函数函数必须须使用模模式SYS创建建,并且且具有以以下规范范:function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30))RETURNBOOLEAN口令确认认函数VERIFY_FUNCTION长度最少少四个字字符口令不能能和用户户名相同同口令至少少有一个个字母,一个数数字,和和一个特特殊字符符本次的口口令与上上一次的的口令应应当至少少有三个个字符不不同Passwordverification查看口令令的有关关信息DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD)limit用户管理环境文件管管理权限管理角色管理常用工具的的使用Oracle数据库库的安全与与管理主要内容鉴别系统和和对象权限限权限的授予予与回收操作系统或或口令文件件认证的控控制管理权限两种类型的的权限:系统:使使得用户可可以执行数数据库中特特殊的操作作对象:使使得用户可可以访问和和操作特定定的对象系统权限约有80个个系统权限限权限中ANY关键字字意味着用用户具有每每一个模式式的权限GRANT命令可以以为一个或或一组用户户添加权限限REVOKE命令删删除权限系统权限:例子类别 例子子INDEX CREATEANYINDEXALTERANYINDEXDROPANYINDEXTABLECREATETABLECREATEANYTABLE

ALTERANYTABLEDROPANYTABLESELECTANYTABLEUPDATEANYTABLEDELETEANYTABLESESSIONCREATESESSIONALTERSESSION

RESTRICTEDSESSIONTABLESPACE CREATETABLESPACEALTERTABLESPACEDROPTABLESPACEUNLIMITEDTABLESPACE授予系统权权限GRANTCREATESESSION,CREATETABLETOuser1;GRANTCREATESESSIONTOscottWITHADMINOPTION;SYSDBA和SYSOPER权限限类别 例子SYSOPERSTARTUP

SHUTDOWNALTERDATABASEOPEN|MOUNTALTERDATABASEBACKUPCONTROLFILE

ALTERTABLESPACEBEGIN/ENDBACKUP

RECOVERDATABASE,

ALTERDATABASEARCHIVELOGRESTRICTEDSESSIONSYSDBA SYSOPERprivilegesWITHADMINOPTIONCREATEDATABASERECOVERDATABASEUNTIL显示系统权限限DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTIONSESSION_PRIVSPRIVILEGE数据库层会话话层层系统统权权限限限限制制O7_DICTIONARY_ACCESSIBILITY=TRUE回复复至至Oracle7的的工工作作特特点点取消消带带有有ANY关关键键字字的的系系统统权权限限限限制制缺省省为为TRUE回收收系系统统权权限限REVOKECREATETABLEFROMuser1;REVOKECREATESESSIONFROMscott;USER1SCOTT回收收使使用用WITHADMINOPTION的的系系统统权权限限DBA授予予回收收USER1SCOTTDBA结果果回收收使使用用WITHADMINOPTION的的系系统统权权限限DBAUSER1SCOTT对象象权权限限对象象权权限限表表视视图图序序号号发发生生器器过过程程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE授予予对对象象权权限限GRANTEXECUTEONdbms_pipeTOpublic;GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;DBA_TAB_PRIVS显示示对对象象权权限限DBA_COL_PRIVSGRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLEGRANTEEOWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRANTABLE回收对象象权限REVOKEexecuteONdbms_pipeFROMscott;授予回收回收使用用WITHGRANTOPTION的的对象权权限SCOTTSCOTTUSER1USER1USER2USER2结果回收使用用WITHGRANTOPTION的的对象权权限SCOTTUSER1USER2用户管理理环境文件件管理权限管理理角色管理理常用工具具的使用用Oracle数数据库的的安全与与管理主要内容容创建和修修改角色色控制角色色的可用用性删除角色色使用预定定义的角角色从数据字字典中获获得角色色的有关关信息角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRABC角色的好好处减少权限限的授予予动态地管管理权限限选择性的的权限可可用性通过OS授予非连带回回收改善性能能创建角色色CREATEROLEsales_clerk;CREATEROLEhr_clerkIDENTIFIEDBYbonus;CREATEROLEhr_managerIDENTIFIEDEXTERNALLY;使用预定定义角色色角色名称称说说明CONNECTThesetworolesareprovidedRESOURCEforbackwardcompatibility.DBAAllsystemprivilegesWITHADMINOPTIONEXP_FULL_DATABASEPrivilegestoexporttheDBIMP_FULL_DATABASEPrivilegestoimporttheDBDELETE_CATALOG_ROLE DELETEprivilegesonDDtablesEXECUTE_CATALOG_ROLEEXECUTEprivilegeonDDpackagesSELECT_CATALOG_ROLE SELECTprivilegeonDDtables修改角色ALTERROLEhr_clerkIDENTIFIEDEXTERNALLY;ALTERROLEhr_managerNOTIDENTIFIED;ALTERROLEsales_clerkIDENTIFIEDBYcommission;分配角色GRANThr_clerk,TOhr_manager;GRANTsales_clerkTOscott;GRANThr_managerTOscott

WITHADMINOPTION;设立缺省角角色ALTERUSERscottDEFAULTROLEhr_clerk,sales_clerk;ALTERUSERscottDEFAULTROLEALL;ALTERUSERscottDEFAULTROLEALLEXCEPThr_clerk;ALTERUSERscottDEFAULTROLENONE;启用和禁用用角色禁用角色可可以将角色色从用户处处临时回收收启用角色可可以作为临临时的授予予SETROLE命命令可以启启用和禁用用角色缺省角色在在用户登录录时启用启用角色时时可能需要要口令启用和禁用用角色:例例子SETROLEhr_clerk;SETROLEsales_clerkIDENTIFIEDBYcommission;SETROLEALLEXCEPTsales_clerk;SETROLENONE;删除用户的的角色REVOKEhr_managerFROMPUBLIC;REVOKEsales_clerkFROMscott;删