《数据库安全管理》由会员分享,可在线阅读,更多相关《数据库安全管理(45页珍藏版)》请在金锄头文库上搜索。
1、数据库安全管理主要内容l用户管理 l权限管理 l角色管理l概要文件管理l审计 用户管理lOracle数据库初始用户 l SYS:是数据库中具有最高权限的数据库管理员,可以启动、修 改和关闭数据库,拥有数据字典;l SYSTEM:是一个辅助的数据库管理员lSCOTT:是一个用于测试网络连接的用户,其口令为TIGER。lPUBLIC:实质上是一个用户组,数据库中任何一个用户都属于 该组成员。要为数据库中每个用户都授予某个权限,只需把权 限授予PUBLIC就可以了。l用户属性l用户身份认证方式l默认表空间l临时表空间l表空间配额 l概要文件 l账户状态身份认证方式(sysdba身份)l操作系统认证条
2、件:文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中 的SQLNET.AUTHENTICATION_SERVICES=(NTS)当前登录操作系统的用户必须属于OraDBA组l 方式:lSqlplus / as sysdbalconn / as sysdba身份认证方式(sysdba身份)l密码文件认证条件:初始化参数REMOTE_LOGIN_PASSWORDFILE =Exclusive 或者 Shared当前登录操作系统的用户必须属于OraDBA组l 方式:lSqlplus用户名/密码 as sysdbalconn 用户名/密码 as sysdba身份认证方式
3、(Normal身份)l普通用户的数据库认证方式l密码认证方式:条件:没有条件,任何时候都可以lSqlplus 用户名/密码lconn 用户名/密码l操作系统认证方式:条件:文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的 SQLNET.AUTHENTICATION_SERVICES=(NTS)lSqlplus /lconn /创建用户Create User Identified By Default Tablespace Temporary Tablespace Quota 数值K| 数值M| Unlimited on 表空间 Profile 概要文件名 De
4、fault role 默认角色 Password Expire Account Lock|Unlock;举例Create user a Identified by a1234 Default tablespace users Quota 10M on users;l注意l在创建新用户后,必须为用户授予适当的权限,用户才 可以进行相应的数据库操作。例如,授予用户CREATE SESSION权限后,用户才可以连接到数据库。修改用户ALTER USER user_name IDENTIFIED BY password|EXTERNALLY|GLOBALLY AS external_name DEFA
5、ULT TABLESPACE tablespace_name TEMPORARY TABLESPACE temp_tablesapce_name QUOTA n K|M|UNLIMITED ON tablespace_name PROFILE profile_name DEFAULT ROLE role_list|ALL EXCEPT role_list |NONE PASSWORD EXPIRE ACCOUNT LOCK|UNLOCK; 删除用户l基本语法lDROP USER user_name CASCADE ;l步骤l先删除用户所拥有的对象l再删除用户l将参照该用户对象的其他数据库对象标
6、志为 INVALIDl处于连接状态的用户不可删除查询用户信息lALL_USERS:包含数据库所有用户的用户名、用户ID和用户创建时 间。lDBA_USERS:包含数据库所有用户的详细信息。lUSER_USERS:包含当前用户的详细信息。 lDBA_TS_QUOTAS:包含所有用户的表空间配额信息。lUSER_TS_QUOTAS:包含当前用户的表空间配额信息。lV$SESSION:包含用户会话信息。lV$OPEN_CURSOR:包含用户执行的SQL语句信息。l查看数据库所有用户名及其默认表空间。lSELECT SERNAME,DEFAULT_TABLESPACE lFROM DBA_USERS;
7、 l查看数据库中各用户的登录时间、会话号。lSELECT lSID,SERIAL#,LOGON_TIME,USERNAME lFROM V$SESSION; 权限管理l权限管理概述l系统权限管理l对象权限管理l查询权限信息12.3.1权限管理概述l所谓权限就是执行特定类型SQL命令或访问其他用 户的对象的权利。l系统权限:系统权限是指在数据库级别执行某种操 作的权限,或针对某一类对象执行某种操作的权限 。例如,CREATE SESSION权限、CREATE ANY TABLE 权限。l对象权限:对象权限是指对某个特定的数据库对象 执行某种操作的权限。例如,对特定表的插入、删 除、修改、查询的权
8、限。l授权方法l直接授权:利用GRANT命令直接为用户授权。l间接授权:先将权限授予角色,然后再将角色授予 用户。授权lGrant 系统权限 to 用户名 with admin optionlGrant sysdba to 用户名lGrant 对象权限 on 对象名 to 用户名with grant option对 象 权 限适 合 对 象对象权限功能说明 SELECT表、视图 、序列查询 数据操作 UPDATE表、视图更新数据操作 DELETE表、视图删除数据操作 INSERT表、视图插入数据操作 REFERENCES表在其他表中创建外键时 可以引用 该表 EXECUTE存储过 程、函数、
9、包执行PL/SQL存储过 程、函数和包READ目录读取目录 ALTER表、序列修改表或序列结构 INDEX表为表创建索引 ALL具有对象权限的所 有 模式对象某个对象所有对象权限操作集合撤销权限lrevoke 系统权限 from 用户名lrevoke sysdba from 用户名lrevoke 对象权限 on 对象名 from 用户名lWITH ADMIN OPTIONl当甲用户授权给乙用户,且激活该选项,则被授权的乙用户 具有管理该权限的能力:或者能把得到的权限再授给其他用 户丙,或者能回收授出去的权限。l当甲用户收回乙用户的权限后,乙用户曾经授给丙用户的权 限仍然存在l与WITH GRA
10、NT OPTION比较l当甲用户授权给乙用户,且激活该选项,则被授权的乙用户 具有管理该权限的能力:或者能把得到的权限再授给其他用 户丙,或者能回收授出去的权限。l当甲用户收回乙用户的权限后,乙用户曾经授给丙用户的权 限也被回收。撤销具有ADMIN OPTION系统权限GRANTREVOKEREVOKE CREATE TABLE FROM jeff;用户 权限 对象 DBAJeffEmiJeffEmiDBA撤销具有GRANT OPTION对象权限 GRANT REVOKE Bob Jeff Emi Emi Jeff Bob 查询权限信息nDBA_TAB_PRIVS:包含数据库所有对象的授权信息
11、nALL_TAB_PRIVS:包含数据库所有用户和PUBLIC用户组 的对象授权信息nUSER_TAB_PRIVS:包含当前用户对象的授权信息nDBA_COL_PRIVS:包含所有字段已授予的对象权限nALL_COL_PRIVS:包含所有字段已授予的对象权限信息nUSER_COL_PRIVS:包含当前用户所有字段已授予的对 象权限信息。nDBA_SYS_PRIVS:包含授予用户或角色的系统权限信息nUSER_SYS_PRIVS:包含授予当前用户的系统权限信。角色l具有名称的一组权限的定义。使用角色可以简 化对用户的授权,只需要将用户添加到角色中 ,用户自动具有该角色所有的权限。l系统角色l用户
12、自定义角色Oracle数据库角色概述 l角色的概念l所谓角色就是一系列相关权限的集合预定义角色l预定义角色概述l预定义角色是指在Oracle数据库创建时由系统自动创建的一些 常用的角色,这些角色已经由系统授予了相应的权限。lDBA可以直接利用预定义的角色为用户授权,也可以修改预定 义角色的权限。 lOracle数据库中有30多个预定义角色。l可以通过数据字典视图DBA_ROLES查询当前数据库中所有的预 定义角色,通过DBA_SYS_PRIVS查询各个预定义角色所具有的 系统权限。 创建角色Create role 角色名 Not identified | Identified by 口令给角色
13、分配权限lGrant 系统权限 to 角色名lGrant 对象权限 on 对象名 to 角色名lGrant 角色 to 角色名l说明l给角色授予适当的系统权限、对象权限或已有角色。l在数据库运行过程中,可以为角色增加权限,也可以回 收其权限。l给角色授权时应该注意,一个角色可以被授予另一个角 色,但不能授予其本身,不能产生循环授权。收回权限lrevoke 系统权限 from 角色名lrevoke 对象权限 on 对象名 from 角色名lrevoke 角色 from 角色名将用户添加到角色中lGrant 角色名 to 用户名lRevoke 角色名 from 用户名查询角色信息lDBA_ROLE
14、S:包含数据库中所有角色及其描述;lDBA_ROLE_PRIVS:包含为数据库中所有用户和角色授予的角色 信息;lUSER_ROLE_PRIVS:包含为当前用户授予的角色信息;lROLE_ROLE_PRIVS:为角色授予的角色信息;lROLE_SYS_PRIVS:为角色授予的系统权限信息;lROLE_TAB_PRIVS:为角色授予的对象权限信息;lSESSION_PRIVS:当前会话所具有的系统权限信息;lSESSION_ROLES:当前会话所具有的角色信息。l查询角色CONNECT所具有的系统权限信息。 lSELECT * lFROM ROLE_SYS_PRIVS lWHERE ROLE=C
15、ONNECT; l查询DBA角色被授予的角色信息。lSELECT * lFROM ROLE_ROLE_PRIVS lWHERE ROLE=DBA;概要文件l概要文件(PROFILE)是数据库和系统资源限制的集合,是 Oracle数据库安全策略的重要组成部分。l利用概要文件,可以限制用户对数据库和系统资源的使用, 同时还可以对用户口令进行管理。l在Oracle数据库创建的同时,系统会创建一个名为DEFAULT 的默认概要文件。如果没有为用户显式地指定一个概要文件 ,系统默认将DEFAULT概要文件作为用户的概要文件。l必须将Resource_limit参数设置为true,概要文件 才会生效概要文
16、件lOEM创建lCreate profile limit创建l创建或修改用户时启用概要文件lCREATE PROFILE “PRO2“ LIMIT CPU_PER_SESSION 6000 CPU_PER_CALL 10 CONNECT_TIME 10 IDLE_TIME 3 SESSIONS_PER_USER 1 LOGICAL_READS_PER_SESSION 20 LOGICAL_READS_PER_CALL 2 PRIVATE_SGA DEFAULT COMPOSITE_LIMIT DEFAULT PASSWORD_LIFE_TIME 7 PASSWORD_GRACE_TIME 2 PASSWORD_REUSE_MAX 2 PASSWORD_REUSE_TIME unlimited PASSWORD_LOCK_TIME 1 FAILED_LOGIN_ATTEMPTS 3 PASSWORD_VERIFY_FUNCTION DEFAULT审计l监视和记录所选用户的数
