安全生产_数据库安全管理培训课件

数据库安全管理 主要内容 用户管理权限管理角色管理概要文件管理审计 用户管理 Oracle数据库初始用户SYS 是数据库中具有最高权限的数据库管理员 可以启动 修改和关闭数据库 拥有数据字典 SYSTEM 是一个辅助的数据库管理员SCOTT 是一个用于测试网络连接的用户 其口令为TIGER PUBLIC 实质上是一个用户组 数据库中任何一个用户都属于该组成员 要为数据库中每个用户都授予某个权限 只需把权限授予PUBLIC就可以了 用户属性用户身份认证方式默认表空间临时表空间表空间配额概要文件账户状态 身份认证方式 sysdba身份 操作系统认证条件 文件 ORACLE HOME NETWORK ADMIN SQLNET ORA中的SQLNET AUTHENTICATION SERVICES NTS 当前登录操作系统的用户必须属于OraDBA组方式 Sqlplus assysdbaconn assysdba 身份认证方式 sysdba身份 密码文件认证条件 初始化参数REMOTE LOGIN PASSWORDFILE Exclusive或者Shared当前登录操作系统的用户必须属于OraDBA组方式 Sqlplus用户名 密码assysdbaconn用户名 密码assysdba 身份认证方式 Normal身份 普通用户的数据库认证方式密码认证方式 条件 没有条件 任何时候都可以Sqlplus用户名 密码conn用户名 密码操作系统认证方式 条件 文件 ORACLE HOME NETWORK ADMIN SQLNET ORA中的SQLNET AUTHENTICATION SERVICES NTS Sqlplus conn 创建用户 CreateUserIdentifiedByDefaultTablespaceTemporaryTablespaceQuota数值K 数值M Unlimitedon表空间Profile概要文件名Defaultrole默认角色PasswordExpireAccountLock Unlock 举例 CreateuseraIdentifiedbya1234DefaulttablespaceusersQuota10Monusers 注意在创建新用户后 必须为用户授予适当的权限 用户才可以进行相应的数据库操作 例如 授予用户CREATESESSION权限后 用户才可以连接到数据库 修改用户 ALTERUSERuser name IDENTIFIED BYpassword EXTERNALLY GLOBALLYAS external name DEFAULTTABLESPACEtablespace name TEMPORARYTABLESPACEtemp tablesapce name QUOTAnK M UNLIMITEDONtablespace name PROFILEprofile name DEFAULTROLErole list ALL EXCEPTrole list NONE PASSWORDEXPIRE ACCOUNTLOCK UNLOCK 删除用户 基本语法DROPUSERuser name CASCADE 步骤先删除用户所拥有的对象再删除用户将参照该用户对象的其他数据库对象标志为INVALID处于连接状态的用户不可删除 查询用户信息 ALL USERS 包含数据库所有用户的用户名 用户ID和用户创建时间 DBA USERS 包含数据库所有用户的详细信息 USER USERS 包含当前用户的详细信息 DBA TS QUOTAS 包含所有用户的表空间配额信息 USER TS QUOTAS 包含当前用户的表空间配额信息 V SESSION 包含用户会话信息 V OPEN CURSOR 包含用户执行的SQL语句信息 查看数据库所有用户名及其默认表空间 SELECTSERNAME DEFAULT TABLESPACEFROMDBA USERS 查看数据库中各用户的登录时间 会话号 SELECTSID SERIAL LOGON TIME USERNAMEFROMV SESSION 权限管理 权限管理概述系统权限管理对象权限管理查询权限信息 12 3 1权限管理概述 所谓权限就是执行特定类型SQL命令或访问其他用户的对象的权利 系统权限 系统权限是指在数据库级别执行某种操作的权限 或针对某一类对象执行某种操作的权限 例如 CREATESESSION权限 CREATEANYTABLE权限 对象权限 对象权限是指对某个特定的数据库对象执行某种操作的权限 例如 对特定表的插入 删除 修改 查询的权限 授权方法直接授权 利用GRANT命令直接为用户授权 间接授权 先将权限授予角色 然后再将角色授予用户 授权 Grant系统权限to用户名 withadminoption Grantsysdbato用户名Grant对象权限on对象名to用户名 withgrantoption 撤销权限 revoke系统权限from用户名revokesysdbafrom用户名revoke对象权限on对象名from用户名 WITHADMINOPTION当甲用户授权给乙用户 且激活该选项 则被授权的乙用户具有管理该权限的能力 或者能把得到的权限再授给其他用户丙 或者能回收授出去的权限 当甲用户收回乙用户的权限后 乙用户曾经授给丙用户的权限仍然存在与WITHGRANTOPTION比较当甲用户授权给乙用户 且激活该选项 则被授权的乙用户具有管理该权限的能力 或者能把得到的权限再授给其他用户丙 或者能回收授出去的权限 当甲用户收回乙用户的权限后 乙用户曾经授给丙用户的权限也被回收 撤销具有ADMINOPTION系统权限 撤销具有GRANTOPTION对象权限 查询权限信息 DBA TAB PRIVS 包含数据库所有对象的授权信息ALL TAB PRIVS 包含数据库所有用户和PUBLIC用户组的对象授权信息USER TAB PRIVS 包含当前用户对象的授权信息DBA COL PRIVS 包含所有字段已授予的对象权限ALL COL PRIVS 包含所有字段已授予的对象权限信息USER COL PRIVS 包含当前用户所有字段已授予的对象权限信息 DBA SYS PRIVS 包含授予用户或角色的系统权限信息USER SYS PRIVS 包含授予当前用户的系统权限信 角色 具有名称的一组权限的定义 使用角色可以简化对用户的授权 只需要将用户添加到角色中 用户自动具有该角色所有的权限 系统角色用户自定义角色 Oracle数据库角色概述 角色的概念所谓角色就是一系列相关权限的集合 预定义角色 预定义角色概述预定义角色是指在Oracle数据库创建时由系统自动创建的一些常用的角色 这些角色已经由系统授予了相应的权限 DBA可以直接利用预定义的角色为用户授权 也可以修改预定义角色的权限 Oracle数据库中有30多个预定义角色 可以通过数据字典视图DBA ROLES查询当前数据库中所有的预定义角色 通过DBA SYS PRIVS查询各个预定义角色所具有的系统权限 创建角色 Createrole角色名 Notidentified Identifiedby口令 给角色分配权限 Grant系统权限to角色名Grant对象权限on对象名to角色名Grant角色to角色名说明给角色授予适当的系统权限 对象权限或已有角色 在数据库运行过程中 可以为角色增加权限 也可以回收其权限 给角色授权时应该注意 一个角色可以被授予另一个角色 但不能授予其本身 不能产生循环授权 收回权限 revoke系统权限from角色名revoke对象权限on对象名from角色名revoke角色from角色名 将用户添加到角色中 Grant角色名to用户名Revoke角色名from用户名 查询角色信息 DBA ROLES 包含数据库中所有角色及其描述 DBA ROLE PRIVS 包含为数据库中所有用户和角色授予的角色信息 USER ROLE PRIVS 包含为当前用户授予的角色信息 ROLE ROLE PRIVS 为角色授予的角色信息 ROLE SYS PRIVS 为角色授予的系统权限信息 ROLE TAB PRIVS 为角色授予的对象权限信息 SESSION PRIVS 当前会话所具有的系统权限信息 SESSION ROLES 当前会话所具有的角色信息 查询角色CONNECT所具有的系统权限信息 SELECT FROMROLE SYS PRIVSWHEREROLE CONNECT 查询DBA角色被授予的角色信息 SELECT FROMROLE ROLE PRIVSWHEREROLE DBA 概要文件 概要文件 PROFILE 是数据库和系统资源限制的集合 是Oracle数据库安全策略的重要组成部分 利用概要文件 可以限制用户对数据库和系统资源的使用 同时还可以对用户口令进行管理 在Oracle数据库创建的同时 系统会创建一个名为DEFAULT的默认概要文件 如果没有为用户显式地指定一个概要文件 系统默认将DEFAULT概要文件作为用户的概要文件 必须将Resource limit参数设置为true 概要文件才会生效 概要文件 OEM创建Createprofilelimit创建创建或修改用户时启用概要文件 CREATEPROFILE PRO2 LIMITCPU PER SESSION6000CPU PER CALL10CONNECT TIME10IDLE TIME3SESSIONS PER USER1LOGICAL READS PER SESSION20LOGICAL READS PER CALL2PRIVATE SGADEFAULTCOMPOSITE LIMITDEFAULTPASSWORD LIFE TIME7PASSWORD GRACE TIME2PASSWORD REUSE MAX2PASSWORD REUSE TIMEunlimitedPASSWORD LOCK TIME1FAILED LOGIN ATTEMPTS3PASSWORD VERIFY FUNCTIONDEFAULT 审计 监视和记录所选用户的数据活动 用于调查可疑活动 监视与收集特定数据库活动的记录 需要先开启审计功能Altersystemsetaudit trail truescope spfile重启数据库Oracle11g默认审计功能是开启的 指定审计选项 审计SQL语句 审计系统权限 审计对象权限 AUDITselectanytable createanytrigger AUDITselectanytableBYhrBYSESSION AUDITtable AUDITsession AUDITALLonhr employees AUDITUPDATE DELETEonhr employeesBYACCESS 审计的一些其他选项 byaccess bysession byaccess每一个被审计的操作都会生成一条audittrailbysession一个会话里面同类型的操作只会生成一条audittrail 默认为bysessionwhenever not successful wheneversuccessful操作成功才审计whenevernotsuccessful反之 省略该子句的话 不管操作成功与否都会审计 审计相关的数据字典视图 db