第03章网络连接配置与系统安全.ppt

第3章网络连接配置与系统安全 哈尔滨华德学院 任课教师 翟霞 第3章网络连接配置与系统安全 3 1OracleNet3 2系统与对象权限管理3 3用户与角色3 4概要文件3 5同义词3 6建立安全策略 OracleNet主要功能是在系统中计算机之间建立网络会话和传输数据客户机和服务器之间两个服务器之间配置程序早期版本 OracleSQLNet Net8EasyConfig9i 10g NetConfigurationAssistantNetManagerOracleNet是Oracle网络产品的基础 为实现分布式计算和各软件工具集成提供支持 3 1OracleNet 典型的C S结构系统 是驻留在服务器上的一个独立的进程能够监听指定端口上的使用指定网络连接协议的连接请求监听进程接收网络中客户机的连接请求并管理传送到服务器的这些请求的通信监听程序配置文件 listener ora 1 监听程序 本地管理模式连接信息存储在网络内每台计算机的tnsnames ora文件中 2 OracleNet客户端的配置模式 集中管理模式连接信息集中存储在目录服务器或Oracle名称服务器中 服务器进程作为监听程序与数据库服务器之间的连接 并代理用户与数据库服务器交互 3 服务器进程 服务器进程可以配置为两种模式专用服务器模式共享服务器模式 4 OracleNet工作原理 5 关于全局数据库名 在一个分布式环境中 多个Oracle数据库可能有相同的数据库名称 此时需要使用全局数据库名以便进行区分由数据库名db name和数据库域名db domain两个初始化参数标识全局数据库名 全局数据库名在监听程序配置文件listener ora中表示为GLOBAL DBNAMEGLOBAL DBNAME标示的全局数据库名格式为 数据库名 数据库域名 需要为每一个数据库例程配置监听信息才能接收到来自客户机的请求 6 服务器监听程序配置 监听程序的配置信息包括监听的协议地址支持服务的信息控制服务器进程运行特征的参数 监听程序配置不当或没有启动监听进程时 客户计算机将不能连接到Oracle服务器 7 OracleNet客户端配置 需要为客户端应用程序配置连接到服务器端Oracle数据库服务的方法 本地Net服务名 主机字符串 是一个描述符 描述了要连接的Oracle服务器和其中的Oracle数据库例程 典型的配置是在客户计算机中建立保存 本地Net服务名 的文件 客户机端OracleNet通过该文件来解析Oracle网络服务信息 7 OracleNet客户端配置 重要的关键字ADDRESS 采用的网络协议和目标主机地址 监听端口SERVICE NAME 目标服务器中数据库例程名称一般对应listener ora中的GLOBAL DBNAMESERVER 服务器进程的工作模式SERVER DEDICATED 专用服务器模式SERVER SHARED 共享服务器模式 ORACLE HOME NETWORK ADMIN tnsnames ora可手工配置或用工具完成配置 7 OracleNet客户端配置 如何完成客户端配置建议使用NetConfigurationAssistant完成配置可手工修改配置也可使用应用程序的安装程序经过选择服务器 指定数据库名等用程序生成配置文件 客户端配置注意事项配置完成后应进行登录连接测试确保配置正确确保操作系统层正确的配置了相关通信协议确保配置服务器监听程序监听了要使用的通信协议 7 OracleNet客户端配置 OracleNet支持的命名方法本地命名 TNSNAMES 目录命名 LDAP 主机命名 HOSTNAME 轻松连接命名 EZCONNECT 客户端配置概要文件指定客户机所所要连接服务名的解析方法及优先顺序 从左至右 左边优先 ORACLE HOME NETWORK ADMIN sqlnet ora手工配置 Oracle提供用户 角色 同义词 视图 系统特权与对象权限 概要文件等保证Oracle数据库系统及其中数据的安全 3 2系统与对象权限管理 数据库系统及其中对象的访问权限一般应由数据库系统管理员 DBA 进行统一管理 Oracle数据库用户权限分类 对象权限允许用户执行对指定对象 包括表 视图 序列 过程 函数和包 的特定操作 如将数据插入到某个表中 允许检索某个表中数据等 系统特权允许用户执行特定的系统级操作或在特定的对象类型上执行特定操作 如创建表空间 创建表等 列访问权限限定用户只能在某个表的某些列上执行INSERT UPDATE操作或参照引用 REFERENCES 某些列 1 系统特权 CONNECT特权角色用户是权限最低的用户 权限如下 Oracle数据库为了简化对系统特权的管理 创建了CONNECT RESOURCE和DBA三个典型特权角色 登录到Oracle数据库和修改口令对自己的表执行查询 删除 修改和插入查询经过授权的其他用户的表和视图数据插入 修改 删除经过授权的其他用户的表创建自己拥有的表的视图 同义词完成经过授权的基于表或用户的数据卸载 1 系统特权 RESOURCE特权角色除了具有CONNECT特权角色的所有权限外 还可以进行下列操作 创建基表 视图 索引 聚簇和序列授予和回收其他用户对其数据库对象的存取特权对自己拥有的表 索引 聚簇等数据库对象的存取活动进行审计 DBA特权角色是系统中的最高级别特权角色 可执行创建用户 导出系统数据等特权操作 1 系统特权 建议用CREATESESSION系统特权代替CONNECT特权角色用CREATETABLE CREATEPROCEDURE CREATETRIGGER等具体的系统特权来代替RESOURCE特权角色用SYSOPER和SYSDBA代替DBA特权角色慎用DBA特权角色 1 系统特权 SYSDBA是系统中级别最高的权限拥有STARTUP SHUTDOWN ALTERDATABASE CREATEDATABASE CREATESPFILE ARCHIVELOG RECOVERY和RESTRICTEDSESSION等系统特权该特权身份登录系统时实际上相当于以SYS用户登录数据库 系统特权大多以CREATE ALTER DROP SELECT INSERT UPDATE DELETE等DDL或DML语句的字眼开头 代表用户能在系统中执行的操作 1 系统特权 SYSOPER能执行STARTUP SHUTDOWN CREATESPFILE ALTERDATABASEOPEN MOUNT BACKUP ARCHIVELOG和RECOVERY RESTRICTEDSESSION等系统特权操作 DBA身份用户可以访问DBA SYS PRIVS视图查看授予用户的系统特权信息普通用户可以访问用户视图USER SYS PRIVS查看自己获得的系统特权 例3 1查看用户具有的系统特权 EXA 03 01 SQL 2 对象权限 共有9种对象权限插入 INSERT 删除 DELETE 更新 UPDATE 选择 SELECT 修改 ALTER 运行 EXECUTE 参照引用 REFERENCE 索引 INDEX 读 READ 写 WRITE Oracle提供针对性的对象存取控制权限 创建对象的用户拥有该对象的所有对象权限 无需为对象的拥有者授予对象权限 2 对象权限 表的访问权限ALTER 修改表定义DELETE 删除表数据INDEX 为表创建索引INSERT 对表进行插入SELECT 查询UPDATE 修改数据REFERENCE 参照表中数据 视图的访问权限SELECT 查询视图数据INSERT 对视图进行插入UPDATE 修改视图数据DELETE 删除视图数据 2 对象权限 同义词的访问权限 同其对应的对象 存储过程 函数 包 类型的访问权限EXECUTE 允许执行 或访问 序列的访问权限ALTER 修改序列的定义SELECT 使用序列的序列值 目录访问权限READ 允许读取目录WRITE 允许在目录中创建文件 写入数据 3 数据库系统特权的授予与回收 WITHADMINOPTION 允许得到权限的用户将权限转授其他用户PUBLIC 表示系统中所有用户 用于简化授权 授予系统特权的语法如下 GRANT system privilege role TO user role PUBLIC WITHADMINOPTION 对不同职责用户 应授予不同权限 只有DBA才可以将系统特权授予某个用户 3 数据库系统特权的授予与回收 当系统特权使用WITHADMINOPTION选项传递给其他用户时 收回原始用户的系统特权将不会产生级联效应 回收传递授予用户的权限 回收系统特权的语法如下 REVOKE system privilege role FROM user role PUBLIC 系统特权应逐个用户检查和管理 例3 2数据库系统特权的授予与回收 EXA 03 02 SQL 4 对象权限的授予与回收 WITHADMINOPTION 允许得到权限的用户将权限转授其他用户PUBLIC 表示系统中所有用户 用于简化授权 对象权限的授权语法如下 GRANT object privilege ALL column list ONschema objectTO user role PUBLIC WITHGRANTOPTION 应只对确实需要该对象访问权限的用户授权只授予必须的权限 有必要限制ALL的使用 使用对象属主名前缀标识其他用户的对象用户名 对象名 4 对象权限的授予与回收 CASCADECONSTRAINTS表示级联删除对象上存在的参照完整性约束当对象权限使用WITHGRANTOPTION传递给其他用户时 收回原始用户的对象权限将会产生级联效应 其他用户的对象访问权限会被一并收回 数据库对象权限的回收语法如下 REVOKE object privilege ALL ONschema objectFROM user role PUBLIC CASCADECONSTRAINTS 例3 3对象访问权限授予与回收 EXA 03 03 SQL 5 列访问权限 只有INSERT UPDATE和REFERENCES作为列访问权限可以在列级授予数据字典USER COL PRIVS MADE 授予其它用户的列权限USER COL PRIVS RECD 获得的列权限 例3 4列访问权限的授予与查看 EXA 03 04 SQL 方案 Schema 是数据库对象 如表 视图 序列等 的逻辑组织 3 3用户与角色 一般情况下 一个应用 如库存管理 对应一个方案 需要为一个应用创建一个数据库用户 并在该用户下创建这个应用的各种数据库对象 角色是一组相关权限的集合 可简化权限的管理 1 配置身份验证 对于一般用户Oracle采用基于数据库的身份验证方法在数据字典中记载用户名 口令等信息 SYS用户身份及SYSDBA SYSOPER系统特权用户权限很大 可能对数据库进行破坏性操作有必要针对以DBA身份连接的用户设计专门的身份验证方法 1 配置身份验证 DBA用户身份验证方法使用操作系统集成的身份验证通过Oracle口令文件进行验证 初始化参数remote login passwordfileNONE 忽略口令文件 通过操作系统进行身份验证EXCLUSIVE 将使用数据库的口令文件对每个具有权限的用户进行验证SHARED 多个数据库将共享SYS和INTERNAL口令文件用户默认值 NONE 1 配置身份验证 通过操作系统验证DBA用户初始化参数remote login passwordfile NONEORACLE HOME NETWORK ADMIN sqlnet oraSQLNET AUTHENTICATION SERVICES NTS 在Windows中建立ORA DBA用户组将某个操作系统用户加入该组和Windows的Administrators组以该用户登录操作系统 以SYSDBA身份连接Oracle数据库时 不再需要验证SYS用户口令 1 配置身份验证 使用Oracle口令文件验证DBA用户初始化参数remote login passwordfile EXCLUSIVE SHAREDORACLE HOME NETWORK ADMIN sqlnet ora注释掉SQLNET AUTHENTICATION SERVICES NTS 用orapwd创建口令文件orapwdfile filenamepassword passwordentries max users为口令文件增加DBA特权用户GRANT SYSDBA SYSOPER TOuser name 从口令文件中删除特权用户REVOKE SYSDBA SYSOPER FROMuser name 查看口令文件中用户SELECT FROMv pwfile users 2 创建与管理用户 用户管理应该考虑的问题身份验证方式默认表空间临时表空间表空间限额资源与口令限制 概要文件 账户状态操作权限等 创建用户的操作一般由DBA完成 用户创建完成后不具备任何权限 也不能连接数据库 需由DBA为其授予相关权限 2 创建与管理用户 创建用户语法CREATEUSERuser IDENTIFIED BYpassword EXTERNALLY DEFAULTTABLESPACEtablespace TEMPORARYTABLESPACEtablespace QUOTA n K M UNLIMITED ONTABLESPACE PASSWORDEXPIRE ACCOUNT LOCK UNLOCK PROFILE profile DEFAULT 删除用户语法DROPUSERuser CASCADE CASCADE表示级联删除该用户所属的方案对象 2 创建与管理用户 修改用户语法ALTERUSERuser IDENTIFIED BYpassword EXTERNALLY DEFAULTTABLESPACETABLESPACE TEMPORARYTABLESPACETABLESPACE QUOTA n K M UNLIMITED ONTABLESPACE PASSWORDEXPIRE ACCOUNT LOCK UNLOCK PROFILE profile DEFAULT 例3 5用户及权限管理 EXA 03 05 SQL 3 角色管理 角色的使用步骤 1 由DBA创建角色 2 为角色授予相应的系统特权和对象权限 3 将角色授予相关的数据库用户默认表空间 可将多个角色授予同一个Oracle数据库用户 创建角色语法CREATEROLErole NOTIDENTIFIED IDENTIFIED BYPASSWORD EXTERNALLY 删除角色语法DROPROLErole 3 角色管理 角色应被授予需要的系统特权 对象权限 在创建Oracle数据库时 Oracle会创建预定义的角色并给它们授予相关的系统特权和对象权限 例3 6采用角色改进学生实验用户权限管理工作 EXA 03 06 SQL 对用户的资源占用和口令使用进行限制有其现实的必要性限制用户的连接时间和CPU占用时间有效防止口令被破解 3 4概要文件 Profile 概要文件是一个命名的资源限制的集合 描述如何使用系统资源 主要包括两方面内容管理数据库系统资源管理数据库口令的使用及验证方式 系统提供一个默认的概要文件 DEFAULT 1 创建概要文件 创建概要文件的语法CREATEPROFILEprofileLIMIT SESSIONS PER USER CPU PER SESSION CPU PER CALL CONNECT TIME IDLE TIME LOGICAL READS PER SESSION LOGICAL READS PER CALL COMPOSITE LIMIT n UNLIMITED DEFAULT PRIVATE SGA n K M UNLIMITED DEFAULT FAILED LOGIN ATTEMPTS PASSWORD LOCK TIME PASSWORD GRACE TIME PASSWORD LIFE TIME PASSWORD REUSE MAX PASSWORD REUSE TIME n UNLIMITED DEFAULT PASSWORD VERIFY FUNCTION function name N