oracle数据库课件chapter6safeMON.ppt

概要文件、用户和角色 一、用户类型 数据库管理员DBA 每个数据库至少有一个DBA，可以有多个，职责 ： 安装或更新ORACLE服务器和应用工具； 分配存储空间； 建立或修改基本数据库存储结构； 建立数据库对象（表、视图、索引等）； 注册用户并维护系统安全信息； 控制和管理用户对数据库的访问； 监视和优化数据库性能；备份或恢复数据库； 2. 安全管理员 主要职责： 它注册用户； 监视和管理用户对数据库的访问； 维护系统安全。 如果有安全员，DBA就不完成这些工作。 3.网络管理员 管理ORACLE网络产品，如ORACLE NET。 4. 应用开发者，主要职责 v设计开发数据库应用，设计应用的数据库结构 ； v评估应用存储需求，描述对数据库结构的修改 ； v与DBA一起建立应用的安全机制 5. 应用管理员：管理特定的应用系统。 6.数据库用户(终端用户) 数据库用户通过应用程序与数据库交互。 输入、修改或删除数据； 根据数据生成报表； 二、建立安全策略 每个数据库有一个或多个管理员负责数据库安 全。 数据安全策略指的是控制用户对数据库中对象 的 访问和使用方法。 每类用户使用不同的安全策略，如口令等。 1. 用户的特性 每个用户必须有唯一名字和口令 每个用户占有一个模式，模式名同用户名 每个用户可拥有一个缺省表空间 用户可以有存放临时信息的临时表空间 用户可分配自己在表空间的配额空间 用户定义配置文件来表明自己的操作范围 用户有系统权限及对象权限 建立用户必须有CREATE USER系统权限 新建立用户必须授予CREATE SEESION权限 才可登录ORACLE数据库。 三、建立用户 PUBLIC用户组 每个数据库中都有一个PUBLIC用户组， Oracle会在创建数据库时自动创建PUBLIC 用户组。每个数据库用户创建后都自动成为 PUBLIC组中的成员。利用PUBLIC用户组可 以方便地为数据库中所有用户授予必要的对 象权限和系统权限。 如果某个用户将一项权限或角色授予 PUBLIC用户组，那么数据库中所有的用户 都会拥有这项权限或这个角色。 PUBLIC组中用户可以查询所有以 USER 和 ALL开头的数据字典视图。 PUBLIC用户组 注意： 1.不能为PUBLIC用户组设置任何表 空间配额； 2.不能在PUBLIC模式中创建数据库对 象。 CREATE USER 用户名 IDENTIFIED BY 口令 DEFAULT TABLESPACE 表空间名 TEMPORARY TABLESPACE 表空间名 QUOTA 整数UNLIMITED ON 表空间名 PROFILE 概要文件名PASSWORD EXPIRE ACCOUNT LOCK|UNLOCK 说明： v省略缺省表空间,为SYSTEM;表空间必须存在 v省略临时表空间,为SYSTEM或其它临时表空 v指定临时表空间，表空间是临时而不是永久 2. 建立用户命令 vQUOTA n ON 表空间，指定对表空间的配额 vQUOTA UNLIMIED ON 表空间 ,空间不限制 v可以有多个QUOTA 子句 v概要文件分配用户可用的资源，不指定用缺省的环 境文件DEFAULT分配给用户 vPASSWORD EXPIRE强制用户第一次登录时改变口 令 vACCOUNT LOCK建立一个锁定的帐号 3. 例1:CREATE USER WANG1 IDENTIFIED BY WANG; 缺省或临时表空间为SYSTEM, 没有指定配额。 必须CREATE SESSION才能登录。要建立对象 必须用QUOTA配额。 对于WANG用户，SQL PLUS登录，出错： ERROR: ORA-01045:user WANG lacks CREATE SESSION Privilege ,logon denied. SWJ001SWJ001重新登录：重新登录：Grant create session to wang1Grant create session to wang1 create table create table dddd (n char(3); (n char(3); 出错出错 ALTER USER WANG QUOTA 2M ON SYSTEMALTER USER WANG QUOTA 2M ON SYSTEM 注意注意：用户在表空间必须有配额：用户在表空间必须有配额( (不管是否指定缺不管是否指定缺 省表空间省表空间) )，才可建立对象。，才可建立对象。 例2：CREATE USER SWJTEST IDENTIFIED BY TEST DEFAULT TABLESPACE SWJ TEMPORARY TABLESPACE TEMP QUOTA 2M ON SYSTEM QUOTA UNLIMITED ON SWJ 例3: CREATE USER SWJ1 IDENTIFIED BY TTTT DEFAULT TABLESPACE SWJ TEMPORARY TABLESPACE TEMP QUOTA UNLIMITED ON SWJ PASSWORD EXPIRE 注意：新建立用户要想能登录到ORACLE,必须要 ： GRANT CREATE SESSION TO SWJTEST 用用SWJ1SWJ1第一次登录第一次登录ORACLEORACLE时，将提示错误：时，将提示错误： ERROR:ERROR: ORA-28001:the password has expiredORA-28001:the password has expired 例4： CREATE USER SWJ2 IDENTIFIED BY TTTT DEFAULT TABLESPACE SWJ TEMPORARY TABLESPACE TEMP QUOTA UNLIMITED ON SWJ PASSWORD EXPIRE ACCOUNT LOCK； 用SWJ2登录时，显示错误：ERROR: ORA-2800:the account is locked. 必须由管理员必须由管理员解锁解锁： alter useralter user swj2 account unlock swj2 account unlock USER_USERS：当前用户信息表,主要列名： USERNAME(用户名)、 USER_ID (用户编号) 、 ACCOUNT_STATUS(状态：OPEN或 LOCKED) LOCK_DATE(加锁日期)、 EXPIRY_DATE(口令过期日期) DEFAULT_TABLESPACE(缺省表空间) TEMPORARY_TABLESPACE(临时表空间) CREATED(用户建立日期) select username,user_id,account_status, lock_date,expiry_date,default_tablespace, temporary_tablespace,created from user_users 4. 查询用户信息 ALL_USERS:所有用户名及编号，主要列名： USERNAME、USER_ID、CREATED SELECT * FROM ALL_USERS； USERNAME USER_ID CREATED - - - - - SWJ010 351 27-10月-02 SWJ1 465 31-10月-02 SQLselect * from all_users 2 where username like SWJ%; USER_TS_QUOTAS: 表空间配额信息，主要列 ： TABLESPACE_NAME， BYTES SELECT * FROM USER_TS_QUOTAS; TABLESPACE_NAME BYTES MAX_BYTES BLOCKS MAX_BLOCKS - - - - - SWJ 131072 -1 32 -1 一块=4096Bytes 1. 修改用户(系统权限：ALTER USER) ALTER USER 用户名 选项 这里的选项与CREATE USER中的一样。 例1:alter user swj001 account unlock; -解锁 例2:alter user swj001 account lock; -加锁 例3: alter user swj001 identified by swj -改口令 例4: alter user swj001 quota unlimited on system quota 5M on swj ; 例5：alter user swj001 password expire; 下次用SWJ001登录到ORACLE时，提示改口令 。 四、修改用户 DROP USER 用户名 CASCADE 选项CASCADE删除用户模式下的所有对象， 但 不删除用户建立的角色。 例6: 删除没有对象的用户：DROP USER SWJ1; 例7: 如果用户模式下有对象，必须用命令： DROP USER SWJ2 CASCADE; 例8: 不能删除当前用户。设当前用户SWJ001 SQL drop user swj001 cascade; drop user swj001 cascade * ERROR 位于第 1 行: ORA-01940: cannot drop a user that is currently connected 删除用户 权限 权限是执行一种特殊类型的SQL语句或存取 另一用户的对象的权力。 有两类权限：系统权限和对象权限。 1）系统权限：是执行一处特殊动作或者在对象 类型上执行一种特殊动作的权利。 系统权限可授权给用户或角色，一般，系统 权限只授予管理人员和应用开发人员，终端 用户不需要这些相关功能。 2）对象权限：在指定的表、视图、序列、过程 、函数或包上执行特殊动作的权利。 用户权限是用户执行SQL语句的权力，或 是访问其它用户对象的权力。权限是赋予 用户或角色。ORACLE有100多种系统权 限，用于完成对数据库操作或对象管理 。 1.系统权限表 系统权限可以完成建立、删除、修改数据 库、表空间、数据库对象、用户角色等内 容。 系统级权限 将系统权限授予用户，要有权限WITH ADMIN OPTION选项，或GRANT ANY PRIVILEGE 。 GRANT 系统权限名表 TO 用户名 PUBLIC WITH ADMIN OPTION PUBLIC 将系统权限授予所有用户 WITH ADMIN OPTION 可将权限授予其它用 户 例1:GRANT SELECT ANY TABLE TO T001 例2: GRANT CREATE USER,DROP USER TO T001 WITH ADMIN OPTION T001可将CREATE USER,DROP USER授予其 它用户或回收：grant create user to swj002; 给用户授予系统权限 例3: GRANT CREATE SESSION,ALTER USER TO PUBLIC; 3. 回收系统权限 要有系统权限GRANT ANY PRIVILEGE。授 予 权限的用户可以回收它授予其它用户的权限。 或 者在得到系统权限时有WITH ADMIN OPTION。 REVOKE 系统权限名 FROM 用户名|PUBLIC 用户SWJ001： 例1: REVOKE CREATE USER FROM T001; 例2: REVOKE ALTER USER FROM PUBLIC; select * from user_sys_privs; USERNAME PRIVILEGE ADM - - - T001 CREATE SESSION NO T001 CREATE USER YES 注意： 有WITH ADMIN OPTION ADM为YES 此时用户T001可将CREATE USER系统权限授 予其它用户或回收。NO时不能(在也没有 GRANT ANY PRIVILEGE时)。 数据字典USER_SYS_PRIVS 对象级权限是指用户访问其它用户对象的权利 。 对象级权限类型 特权|对象 表视图序列同义词存储程序 SELECT INSERT UPDATE DELETE ALTER EXECUTE 对象级权限 GRANT 对象权限|ALL ON 对象列名表 TO 用户|角色|PUBLIC WITH GRANT OPTION 将对对象的操作权限授予用户、角色或所有。 对于INSERT、UPDATE对象权限可限制到列 名。 WITH GRANT OPTION 接受者可将权限授予 其 它用户 例1：SWJ001用户： GRANT SELECT ON EMPLOYEES TO T001 T001用户： SELECT * FROM SWJ001.EMPLOYEES; 但不能：SELECT * FROM SWJ001.JOBS; 授予对象级权限 例2：SWJ001用户： GRANT INSERT ON JOBS TO T001； T001用户： INSERT INTO SWJ001.JOBS VALUES (JOBS,PLA,1000,3000); 提交SWJ001才看到 INSERT INTO SWJ001.JOBS (JOB_ID, JOB_TITLE) VALUES(DDD,TEST); SWJ001用户： GRANT DELETE ON JOBS TO T001; T001用户： DELETE FROM SWJ001.JOBS WHERE JOB_ID LIKE D% 例3：带WITH GRANT OPTION选项 SWJ001: GRANT SELECT ON EMPLOYEES TO T001 WITH GRANT OPTION T001: SELECT * FROM SWJ001.EMPLOYEES GRANT SELECT ON SWJ001.EMPLOYEES TO HR; HR用户： SELECT * FROM SWJ001.EMPLOYEES; 对于T001也可回收授予HR的对象权限。 例3：视图权限，用户SWJ001 CREATE OR REPLACE VIEW EMV (NAME,SALARY) AS SELECT LAST_NAME| |FIRST_NAME, SALARY FROM EMPLOYEES; GRANT SELECT ON EMV TO T001; T001用户： SELECT * FROM SWJ001.EMV WHERE SALARY=10000; 其它数据库对象权限与视图和表相似。 例3:对象权限INSERT，UPDATE时可以加列名。 SWJ001用户： GRANT INSERT(JOB_ID,JOB_TITLE), UPDATE ( JOB_TITLE) ON JOBS TO T001; T001用户： INSERT INTO SWJ001.JOBS (JOB_ID, JOB_TITLE) VALUES(AD_DD,POLICE); SWJ001: UPDATE SWJ001.JOBS SET JOB_TITLE= UPDATE WHERE JOB_ID=AD_PV; 但下面出错：INSERT INTO SWJ001.JOBS VALUES(AD_DD,POLICE,43,54) ; 回收对象级权限 REVOKE 对象权限名 ON 对象名| ALL PRIVILEGES FROM 用户名|PUBLIC SQLREVOKE ALL PRIVILEGES 2 ON employees FROM user1； SQLREVOKE INSERT,SELECT 2 ON employees FROM PUBLIC； USER_TAB_PRIVS：用户所有的对象权限 GRANTEE(接收者)、OWNER(对象所有者） TABLE_NAME (对象名)、GRANTOR(授予者) PRIVILEGE(权限名)、GRANTABLE(可授予) T001用户的所有对象权限： SELECT OWNER,TABLE_NAME,GRANTOR, PRIVILEGE FROM USER_TAB_PRIVS; OWNER TABLE_NAME GRANTOR PRIVILEGE - - SWJ001 JOBS SWJ001 SELECT SWJ001 EMPLOYEES SWJ001 INSERT 对象级权限数据字典 USER_COL_PRIVS_RECD:对象列名的权限 OWNER(所有者)、TABLE_NAME(对象名) COLUMN_NAME(列名)、 GRANTOR(授权者) PRIVILEGE(对象权限)、GRANTABLE(可授予） T001用户所有对其它模式中列的权限： SELECT OWNER,TABLE_NAME, COLUMN_NAME,GRANTOR,PRIVILEGE FROM USER_COL_PRIVS_RECD; OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE - - - - SWJ001 JOBS JOB_ID SWJ001 INSERT SWJ001 JOBS JOB_TITLE SWJ001 INSERT SWJ001 JOBS JOB_TITLE SWJ001 UPDATE 为相关权限的命名组，可授权给用户和角色。 数据库角色包含下列功能： （1）一个角色可授予系统权限或对象权限。 （2）一个角色可授权给其它角色，但不能循环授权。 （3）任何角色可授权给任何数据库用户。 （4）授权给用户的每一角色可以是可用的或者不可用的。 一个用户的安全域仅包含当前对该用户可用的全部角色的 权限。 （5）一个间接授权角色对用户可显式地使其可用或不可用 。 在一个数据库中，每一个角色名必须唯一。角色名与用户 不同，角色不包含在任何模式中，所以建立角色的用户被 删除时不影响该角色。 角色 ORACEL利用角色更容易地进行权限管理。有下列优点 ： （1）减少权限管理，不要显式地将同一权限组授权给几 个用户，只需将这权限组授给角色，然后将角色授权给每一 用户。 （2）动态权限管理，如果一组权限需要改变，只需修改 角色的权限，所有授给该角色的全部用户的安全域将自动地 反映对角色所作的修改。 （3）权限的选择可用性，授权给用户的角色可选择地使 其可用或不可用。 （4）应用可知性，当用户经用户名执行应用时，该数据库应用可查 询字典，将自动地选择使角色可用或不可用。 （5）应用安全性，角色使用可由口令保护，应用可提供正确的口令 使用角色，如不知其口令，不能使用角色。 角色 角色是系统级和对象级权限的集合，并给赋予 一 个名字。 2. 角色分类 角色自定义角色和系统缺省角色。 3. 系统缺省角色 CONNECT角色 ALTER SESSION,CREATE CLUSTER, CREATE DATABASE LINK, CREATE VIEW CREATE SEQUENCE,CREATE SESSION, CREATE SYNONYM,CREATE TABLE 角色 角色不包含在任何模式中 b. RESOURCE角色开发人员 CREATE CLUSTER，CREATE PROCEDURE CREATE SEQUENCE，CREATE TABLE CREATE TRIGGER c. DBA角色 DBA具有所有系统的权限 d. EXP_FULL_DATABASE角色 SELECT ANY TABLE, BACKUP ANY TABLE, EXECUTE ANY PROCEDURE,EXECUTE ANY TYPE, ADMINISTER RESOURCE MANAGER CREATE ROLE 角色名 角色建立时是空的，没有任何权限。 使用角色给用户授予权限分四步： 建立角色； 给角色授予系统权限或对象权限； 将角色授予给角色或用户； 角色定义为默认角色。 定义角色(要有系统权限CREATE ROLE) 例1：CREATE ROLE ROLE1; 例2：CREATE ROLE ROLE2 IDENTIFIED BY ROLE； 3. 修改角色(系统权限ALTER ANY ROLE) ALTER ROLE 角色 NOT IDENTIFIED IDENTIFIED BY 口令 例3：ALTER ROLE ROLE1 IDENTIFIED BY ROLE; 4. 删除角色(系统权限DROP ANY ROLE) DROP ROLE 角色名 例4：DROP ROLE ROLE1； 用GRANT命令为角色授予系统权限或对象 权限，并用GRANT命令将角色授予给用户 或角色。从角色或用户回收权限用REVOKE 命令。 GRANT 权限 TO 角色名 GRANT 角色名 TO 用户名 REVOKE 权限 FROM 角色名 REVOKE 角色名 FROM 用户名 授予或回收角色权限(GRANT ANY PRIVILEGE) 例5：用户SWJ001 CREATE ROLE R001; GRANT CREATE USER TO R001 WITH ADMIN OPTION GRANT SELECT ON JOBS TO R001; GRANT INSERT,UPDATE ON JOBS TO R001; GRANT R001 TO T001; REVOKE SELECT ON JOBS FROM R001； REVOKE R001 FROM T100； 不是用户默认角色，连接数据库，角色无效。 设置默认角色用ALTER USER命令。 ALTER USER 用户名 DEFAULT ROLE 角色|ALL|ALL EXCEPT 角色|NONE 例6： ALTER USER T001 DEFAULT ROLE R001； ALTER USER T001 DEFAULT ROLE ALL； ALTER USER T001 DEFAULT ROLE ALL EXCEPT R001； ALTER USER T001 DEFAULT ROLE NONE 设置用户默认角色(ALTER USER权限) 激活或禁用角色 用户连接数据库时，只有默认角色处于激 活状态。可以用ALTER USER的DEFAULT ROLE子句来改变用户的默认角色。 建立用户时默认角色设置为ALL，即后续 所有授予给用户的角色都是默认角色。 在已连接到数据库后，激活和禁用当前会 话的角色使用SET ROLE命令。 SET ROLE 角色名 ALL EXCEPT 角色名|NONE 查询角色信息 USER_ROLE_PRIVS 当前用户的所有角色信息 。 ROLE_SYS_PRIVS 角色被授予的系统权限信息 ROLE_TAB_PRIVS 角色被授予对象权限信息。 ROLE_ROLE_PRIVS 角色中被授予的角色信息 SESSION_PRIVS 当前会话具有系统权限信息。 SESSION_ROLES 当前会话所具有的角色信息 例 查看当前用户的所有角色信息。 SQL SELECT * FROM user_role_privs； USERNAME GRANTED_ROLE ADM DEF OS_ - - - - - USER1 APPROLE NO YES NO USER1 MYROLE NO YES NO 7. ROLE_ROLE_PRIVS(被授予其它角色的角 色) ROLE(角色)、GRANTED_ROLE(被授予角色) ADMIN_OPTION(管理选项) 例7：用户SWJ001： CREATE ROLE r1; CREATE ROLE r2; GRANT R2 TO R1; SELECT * FROM ROLE_ROLE_PRIVS; ROLE GRANTED_ROLE ADM - - - R1 R2 NO 8. ROLE_SYS_PRIVS(角色中的系统权限) GRANT SELECT ANY TABLE TO R1; GRANT CREATE USER TO R1; SELECT * FROM ROLE_SYS_PRIVS; ROLE PRIVILEGE ADM - R1 CREATE USER NO R1 SELECT ANY TABLE NO 9. ROLE_TAB_PRIVS(角色中的对象权限) ROLE、 OWNER、 TABLE_NAME、 COLUMN_NAME、 PRIVILEGE、GRANTABLE GRANT SELECT ON JOBS TO R1; GRANT INSERT(JOB_ID,JOB_TITLE) ON JOBS TO R1 ROLE OWNER TABLE_NAME COLUMN_NAME PRIVILEGE GRA - - R1 SWJ001 JOBS SELECT NO R1 SWJ001 JOBS JOB_ID INSERT NO R1 SWJ001 JOBS JOB_TITLE INSERT NO 10. USER_ROLE_PRIVS(授予用户角色) USERNAME(用户名) GRANTED_ROLE（授予的角色） ADM（管理选项）、DEF(用户缺省角色) 例8: GRANT R1 TO T001; GRANT R1 TO T001; 用户T001： SELECT * FROM USER_ROLE_PRIVS; USERNAME GRANTED_ROLE ADM DEF - - - - - T001 R1 NO NO T001 R2 NO NO 配置文件用于控制用户使用的资源(CPU、连接 数量、SGA的内存数量、口令限制等)。配置文 件是数据库对象，然后将它赋予一个或多个用 户 会话:与ORACLE进行一次连接是构成一次会话 。 配置文件的分类 缺省配置文件：每个数据库有一个DEFAULT 的 配置文件，它赋予数据库所有用户。 自定义配置文件：用CREATE PROFILE建立 。 配置文件作用：用户会话数、CPU使用时间、 SGA区域的大小等。 配置文件或概要文件 在概要文件中通过定义资源参数的值来控制 用户对资源的使用。资源参数的值可以是一 个整数、UNLIMITED（不受限制）或 DEFAULT（使用默认概要文件中的参数设 置）。 资源限制分为会话级和调用级。会话级资源 限制是对用户一个会话过程中所使用的资源 进行的限制，而调用级资源限制是对一条 SQL语句在执行过程中所能使用的资源进行 的限制。 配置文件的参数值 1. SESSION_PER_USER 限制每个用户所允许建立的最大并发会话 数目。达到限制时，用户不能再建立连接。 2. CPU_PER_SESSION 该参数限制每个会话所能使用的CPU时间 。参数值是一个整数，单位为百分之一秒。 3. CPU_PER_CALL 该参数限制每条SQL语句所能使用的 CPU 时间。参数值整数，单位为百分之一秒。 4. LOGICAL_READS_PER_SESSION 每个会话所能读取的数据块数目(内外存) 配置文件的参数值 5. LOGICAL_READS_PER_CALL 限制每条SQL语句所能读取的数据块数目 6. CONNECT_TIME 限制每个会话能连接到数据库的最长时间 。达到该限制时，会话自动断开。分钟数 7. IDLE_TIME 限制每个会话所允许的最大连续空闲时间 。如果一个会话持续的空闲时间达到该限制 ，会话自动断开。参数是表示分钟的整数。 配置文件的参数值(口令） 8. FAILED_LOGIN_ATTEMPS 指定允许输入错误口令的次数，超过该次数 后用户账户被自动锁定。 9. PASSWORD_ LOCK_ TIME 指定用户账户由于口令输入错误而被锁定后 ，持续保持锁定状态的天数。 10.PASSWORD_LIFE_TIME 指定同一个用户口令可以持续使用的时间。 如果在达到这个限制之前用户还没有更换另 外一个口令，他的口令将失效。失效后必须 由管理员重新设置新的口令。 CREATE PROFILE 配置文件名 LIMIT 参数名1=值1 参数名2=值2 例1：CREATE PROFILE ABC LIMIT SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION 100 CPU_PER_CALL 3000 CONNECT_TIME 30 PRIVATE_SGA DEFAULT ; 各参数可以取值UNLIMITED、DEFAULT或 具 体的数值。 建立概要文件(CREATE PROFILE系统权限) 4. 修改配置文件(ALTER PROFILE系统权限) ALTER PROFILE 配置文件名 LIMIT 配置参 数 例2: ALTER PROFILE ABC LIMIT SESSIONS_PER_USER 1 5. 删除配置文件(DROP PROFILE系统权限) DROP PROFILE 配置文件名 CASCASE CASCADE撤消文件的分配，将DEFAULT分配 给使用被撤消文件的用户。 例3: DROP PROFILE ABC; 例4: DROP PROFILE ABC CASCADE; 6. 将配置文件授予给用户并激活 可以在建立用户时指定“PROFILE 配置文件”。 或通过改变用户ALTER USER来指定配置文件。 例1: ALTER USER SWJ001 PROFILE ABC; 例2: CREATE USER TTT IDENTIFIED BY A21 PROFILE ABC; 7. 配置文件的数据字典 (user_resource_limits) select * from user_resource_limits; RESOURCE_NAME LIMIT - - COMPOSITE_LIMIT UNLIMITED SESSIONS_PER_USER 1 CPU_PE