Oracle数据库的安全与管理

用户管理环境文件管理权限管理角色管理常用工具的使用Oracle数据库的安全与管理主要内容建立新的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域用户和安全直接权限认证机制

表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式

建立用户的核对表1.选择用户名和认证机制2. 确定用户需要存储对象的表空间3. 确定每一个表空间的限额4. 指定缺省表空间和临时表空间5. 建立用户6. 给用户授予权限和角色建立一个新用户:指导原则初始选择一个标准口令使用EXPIRE关键字强制用户重新设置其口令始终要指定临时表空间一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED训练用户:连接修改口令控制帐户锁和口令ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;修改用户的表空间定额ALTERUSERpeterQUOTA0ONdata01;删除用户

如果模式中包含对象，则需要使用CASCADE子句DROPUSERpeter;DROPUSERpeterCASCADE;监控用户DBA_USERS

USERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTAS

USERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS用户管理环境文件管管理权限管理角色管理常用工具的的使用Oracle数据库库的安全与与管理主要内容建立环境文文件并分配配给用户利用环境文文件控制资资源的使用用修改和删除除环境文件件使用环境文文件管理口口令获得环境文文件,指定定的限制,和口令管管理环境文件命名的资源源和口令限限制的集合合通过CREATE/ALTERUSER命令分配给用用户可以启用或或禁用可以涉及DEFAULT环境境文件可以在在会话话层或或调用用层限限制系统资资源帐户锁锁安全域域资源限限制直接权权限临时表表空间间缺省表表空间间表空间间定额额验证机机制角色权权限使用环环境文文件管管理资资源1.创创建建环境境文件件2.为为用用户分分配资资源文文件3.启启用用资源源限制制创建环环境文文件:资源源限制制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;ResourceCPU_PER_SESSIONSESSIONS_PER_USERCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONPRIVATE_SGADescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly)在会话话层设设置资资源限限制资源CPU_PER_CALLLOGICAL_READS_PER_CALL说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks在调用用层设设置资资源限限制为用户户分配配资源源文件件CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;ALTERUSERscottPROFILEdeveloper_prof;启用资源源限制将初始化化参数RESOURCE_LIMIT设置置成TRUE或使用带有有启用参参数的ALTERSYSTEM命命令强制制资源限限制ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;修改环境境文件ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;删除环境境文件DROPPROFILEdeveloper_prof;DROPPROFILEdeveloper_profCASCADE;查看资源源限制DBA_USERS-profile-usernameDBA_PROFILES-profile-resource_name

-resource_type(KERNEL)

-limit口令管理理用户口令到期和时效口令确认口令历史帐户锁建立环境文件启用口令令管理使用环境境文件并并分配给给用户来来建立口口令管理理使用CREATEUSER或ALTERUSER加加锁,解解锁,和和期满帐帐户既使实例例的RESOURCE_LIMIT的设置置是FALSE,口令令限制仍仍始终被被强制创建环境境文件:口令设设置CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;口令设置置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpiration

Lifetimeofthepasswordindaysafterwhichthepasswordexpires

Graceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired口令设置置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned用户提供供的口令令函数函数必须须使用模模式SYS创建建,并且且具有以以下规范范:function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30))RETURNBOOLEAN口令确确认函函数VERIFY_FUNCTION长度最最少四四个字字符口令不不能和和用户户名相相同口令至至少有有一个个字母母,一一个数数字,和一一个特特殊字字符本次的的口令令与上上一次次的口口令应应当至至少有有三个个字符符不同同Passwordverification查看口口令的的有关关信息息DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD)limit用户管管理环境文文件管管理权限管管理角色管管理常用工工具的的使用用Oracle数数据库库的安安全与与管理理主要内内容鉴别系系统和和对象象权限限权限的的授予予与回回收操作系系统或或口令令文件件认证证的控控制管理权权限两种类类型的的权限限:系统:使使得用用户可可以执执行数数据库库中特特殊的的操作作对象:使使得用用户可可以访访问和和操作作特定定的对对象系统权权限约有80个个系统统权限限权限中中ANY关关键字字意味味着用用户具具有每每一个个模式式的权权限GRANT命令令可以以为一一个或或一组组用户户添加加权限限REVOKE命命令删删除权权限系统权权限:例例子类别例例子子INDEXCREATEANYINDEXALTERANYINDEXDROPANYINDEXTABLECREATETABLECREATEANYTABLEALTERANYTABLEDROPANYTABLESELECTANYTABLEUPDATEANYTABLEDELETEANYTABLESESSIONCREATESESSIONALTERSESSIONRESTRICTEDSESSIONTABLESPACECREATETABLESPACEALTERTABLESPACEDROPTABLESPACEUNLIMITEDTABLESPACE授予系统权权限GRANTCREATESESSION,CREATETABLETOuser1;GRANTCREATESESSIONTOscottWITHADMINOPTION;SYSDBA和SYSOPER权限类别 例子子SYSOPERSTARTUP

SHUTDOWNALTERDATABASEOPEN|MOUNTALTERDATABASEBACKUPCONTROLFILEALTERTABLESPACEBEGIN/ENDBACKUPRECOVERDATABASE,

ALTERDATABASEARCHIVELOGRESTRICTEDSESSIONSYSDBA SYSOPERprivilegesWITHADMINOPTIONCREATEDATABASERECOVERDATABASEUNTIL显示系统权权限DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTIONSESSION_PRIVSPRIVILEGE数据库层会话层系统权限限限制O7_DICTIONARY_ACCESSIBILITY=TRUE回复至Oracle7的工作作特点取消带有ANY关键键字的系统统权限限制制缺省为TRUE回收系统权权限REVOKECREATETABLEFROMuser1;REVOKECREATESESSIONFROMscott;USER1SCOTT回收使使用WITHADMINOPTION的的系统统权限限DBA授予回收USER1SCOTTDBA结果回收使使用WITHADMINOPTION的的系统统权限限DBAUSER1SCOTT对象权权限对象权权限表表视视图图序序号发发生器器过过程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE授予对对象权权限GRANTEXECUTEONdbms_pipeTOpublic;GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;DBA_TAB_PRIVS显示对对象权权限DBA_COL_PRIVSGRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLEGRANTEEOWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRANTABLE回收对对象权权限REVOKEexecuteONdbms_pipeFROMscott;授予回收回收使使用WITHGRANTOPTION的对对象权权限SCOTTSCOTTUSER1USER1USER2USER2结果回收使使用WITHGRANTOPTION的对对象权权限SCOTTUSER1USER2用户管管理环境文文件管管理权限管管理角色管管理常用工工具的的使用用Oracle数数据库库的安安全与与管理理主要内内容创建和和修改改角色色控制角角色的的可用用性删除角角色使用预预定义义的角角色从数据据字典典中获获得角角色的的有关关信息息角色用户权限角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRABC角色的的好处处减少权权限的的授予予动态地地管理理权限限选择性性的权权限可可用性性通过OS授授予非连带带回收收改善性性能创建角角色CREATEROLEsales_clerk;CREATEROLEhr_clerkIDENTIFIEDBYbonus;CREATEROLEhr_managerIDENTIFIEDEXTERNALLY;使用预预定义义角色色角色名名称说说明明CONNECTThesetworolesareprovidedRESOURCEforbackwardcompatibility.DBAAllsystemprivilegesWITHADMINOPTIONEXP_FULL_DATABASEPrivilegestoexporttheDBIMP_FULL_DATABASEPrivilegestoimporttheDBDELETE_CATALOG_ROLEDELETEprivilegesonDDtablesEXECUTE_CATALOG_ROLEEXECUTEprivilegeonDDpackagesSELECT_CATALOG_ROLESELECTprivilegeonDDtables修改角角色ALTERROLEhr_clerkIDENTIFIEDEXTERNALLY;ALTERROLEhr_managerNOTIDENTIFIED;ALTERROLEsales_clerkIDENTIFIEDBYcommission;分配角角色GRANThr_clerk,TOhr_manager;GRANTsales_clerkTOscott;GRANThr_managerTOscott

WITHADMINOPTION;设立缺省省角色ALTERUSERscott

DEFAULTROLEhr_clerk,sales_clerk;ALTERUSERscottDEFAULTROLEALL;ALTERUSERscottDEFAULTROLEALLEXCEPThr_clerk;ALTERUSERscottDEFAULTROLENONE;启用和禁禁用角色色禁用角色色可以将将角色从从用户处处临时回回收启用角色色可以作作为临时时的授予予SETROLE命令令可以启启用和禁禁用角色色缺省角色色在用户户登录时时启用启用角色色时可能能需要口口令启用和禁禁用角色色:例例子SETROLEhr_clerk;SETROLEsales_clerkIDENTIFIEDBYcommission;SETROLEALLEXCEPTsales_clerk;SETROLENONE;删除用户的角角色REVOKEhr_managerFROMPUBLIC;REVOKEsales