网络连接配置与系统安全PPT课件.ppt

第3章网络连接配置与系统安全 教学目标 理解Oracle网络服务功能的基本概念掌握Oraclenet中常用配置工具的使用了解Oracle数据库安全机制掌握用户管理掌握权限管理的特点和使用掌握角色管理 Oracle的网络服务提供了在分布式的 混杂的计算环境中企业范围的连接解决方案 Oracle的网络服务降低了网络配置和管理的复杂度 将性能提高到最大值 而且提高了网络诊断的能力 引言 Oracle网络服务 网络的连接方式 OracleNet主要功能是在系统中计算机之间建立网络会话和传输数据客户机和服务器之间两个服务器之间OracleNet是Oracle网络产品的基础 为实现分布式计算和各软件工具集成提供支持配置程序早期版本 OracleSQLNet Net8EasyConfig9i 10g NetConfigurationAssistantNetManager 3 1OracleNet 3 1 1OracleNet工作原理 监听程序是驻留在服务器上的一个独立的进程能够监听指定端口上的使用指定网络连接协议的连接请求监听进程接收网络中客户机的连接请求并管理传送到服务器的这些请求的通信监听程序配置文件 listener ora 3 1 2服务器监听程序 OracleNet监听程序 EM网络服务管理监听程序控制实用程序 服务器监听程序的管理 访问 EM网络服务管理 页 使用EM管理OracleNet监听程序 NetServicesAdministration 网络服务管理 页 使用监听程序控制实用程序 使用以下命令控制监听程序 启动监听程序lsnrctlSTARTlistener name停止监听程序lsnrctlSTOPlistener name查看监听状态lsnrctlstatuslistener name 需要为每一个数据库例程配置监听信息才能接收到来自客户机的请求 监听程序的配置信息包括监听的协议地址支持服务的信息控制服务器进程运行特征的参数 监听程序配置不当或没有启动监听进程时 客户计算机将不能连接到Oracle服务器 服务器监听程序的配置 监听文件listener ora SID LIST LISTENER SID LIST SID DESC SID NAME PLSExtProc ORACLE HOME E oracle product 10 2 0 db 1 PROGRAM extproc LISTENER DESCRIPTION LIST DESCRIPTION ADDRESS PROTOCOL IPC KEY EXTPROC1 DESCRIPTION ADDRESS PROTOCOL TCP HOST 172 16 2 176 PORT 1521 定义LISTENER进程为哪个实例提供服务 监听器监听的协议 ip 端口等 使用OracleNetManager配置本地命名 添加监听 配置监听地址 添加监听的数据库服务 配置保存后要用语句的方式启动新添加的监听程序 Oracle10g使用NetConfigurationAssistant建立数据库链接 监听程序配置 创建 修改 删除或重命名监听程序 命名方法配置 当终端用户连接数据库服务时 要通过 连接标识符 简称标识服务 来完成 本地网络服务名配置 创建 修改 删除 重命名或测试存储在本地tnsnames ora文件中的连接描述符的连接 目录服务使用配置 此选项来配置对符合轻型目录访问协议 LightweightDirectoryAccessProtocol 简称LDAP 的目录服务器的访问 OracleNetConfigurationAssistant oracleNetConfigurationAssistant配置监听程序 1 选择开始 程序 Oracle OraDb10g home1 配置和移植工具 NetConfigurationAssistant 启动欢迎窗口 2 选择要做的工作 3 创建监听程序的名称 4 选定协议 5 选定端口号 注意 监听创建完毕后如要使用其监听数据库 则需要添加数据库服务 利用netmanager或手动添加 本地Net服务名 主机字符串 是一个描述符 描述了要连接的Oracle服务器和其中的Oracle数据库例程 典型的配置是在客户计算机中建立保存 本地Net服务名 的文件 客户机端OracleNet通过该文件来解析Oracle网络服务信息 3 1 3OracleNet客户端的配置模式 ORACLE HOME NETWORK ADMIN tnsnames ora可手工配置或用工具完成配置 配置文件tnsnames ora orclstu DESCRIPTION ADDRESS LIST ADDRESS PROTOCOL TCP HOST student server PORT 1521 CONNECT DATA SERVER DEDICATED SERVICE NAME orcl 采用的网络协议和目标主机地址 监听端口 目标服务器中数据库例程名称对应listener ora中的GLOBAL DBNAME 服务器进程的工作模式DEDICATED 专用服务器模式SHARED 共享服务器模式 名称解析 student server CONNECTadmin manager orclstu orclstu DESCRIPTION ADDRESS PROTOCOL tcp HOST student server PORT 1521 CONNECT DATA SERVICE NAME orcl LISTENERport1521 名称解析 orcl TNSPING命令 检查客户端输入的连接字符串能否正确连接到监听程序上tnsping 使用OracleNetManager配置本地命名 oracleNetConfigurationAssistant配置本地命名 1 选择开始 程序 Oracle OraDb10g home1 配置和移植工具 NetConfigurationAssistant 启动欢迎窗口 2 选择 本地Net服务名配置 进行配置 单击 下一步 进入 Net服务名配置 窗口 3 选择 添加 以添加新的服务名 单击 下一步 进入 服务名 窗口 图 Net服务名配置窗口 图 服务名窗口 服务端的全名 4 在 服务名 文本框输入数据库服务名XSCJ 单击 下一步 进入 选择协议 窗口 选择的协议包括 TCP TCPS IPC和NMP 图 选择协议窗口 5 进入 TCP IP协议 窗口 主机名 监听程序驻留的计算机主机名 端口号 确定监听程序的端口号 图 TCP IP协议窗口 6 测试网络服务名 配置窗口 不进行测试 7 Net服务名 窗口 图 网络服务名测试窗口 图 网络服务名窗口 8 单击 下一步 进入 是否配置另一个网络服务名 窗口 9 选择 否 单击 下一步 网络服务名配置完毕 图 是否配置另一个网络服务名窗口 课后复习 预习思考题 预习课本第三章用户管理 权限管理 角色部分内容 完成以下题目 查阅相关参考书籍 1 Oracle利用哪些机制管理数据库安全性 2 进行用户管理应该考虑哪些问题 3 如何建立一个新的用户 新建立的用户能执行什么操作 4 系统权限和对象权限有什么区别 5 如何给一个新的或已经存在的用户赋予不同的权限 6 查询系统权限和对象权限的数据字典有哪些 7 oracle中使用角色的优势是什么 Oracle利用下列机制管理数据库安全性 数据库用户和模式 权限 角色 存储设置和空间份额 资源限制 审计 3 2用户与角色 3 2 1用户和安全性概览 1 用户鉴别为了防止非授权的数据库用户的使用 Oracle提供三种确认方法 操作系统确认 Oracle数据库确认网络服务确认 用户管理的数据库的存取控制 Oracle数据库身份认证 连接中的密码加密 加密算法采用改进的DES和3DES算法 加密过程在数据传输之前完成 账户锁定 Oracle可以设置连接登录失败n次后 Oracle将锁定用户账户 密码生存周期检测历史密码验证密码复杂度 1 对于一般用户Oracle采用基于数据库的身份验证方法在数据字典中记载用户名 口令等信息 2 数据库管理员 DBA 身份认证 通过操作系统验证DBA用户 连接数据库 在SQL Plus中 如果采用操作系统认证方式登录 可以使用如下命令 CONNECT ASSYSDBA Windows的ORA DBA用户组 SQLNET ORA文件 ORACLE HOME NETWORK ADMIN sqlnet ora参数NAMES DIRECTORY PATH表明解析客户端连接时所用的主机字符串的方式 TNSNAMES表示采用TNSNAMES ORA文件来解析 ONAMES表示Oracle使用自己的名称服务器 OracleNameServer 来解析 HOSTNAME表示使用host文件 DNS NIS等来解析 参数SQLNET AUTHENTICATION SERVICES表明用户连接Oracle服务器时使用哪种验证方式NONE表示Oracle数据库身份验证 NTS表示操作系统身份验证 两种方式可以并用 用 号注释参数 关于表空间的使用有几种设置选择 用户的缺省表空间 用户的临时表空间 数据库表空间的空间使用定额 2 用户的表空间设置和定额 利用显式地设置资源限制 安全管理员可防止用户无控制地消耗宝贵的系统资源 资源限制是由环境文件管理 一个环境文件是命名的一组赋给用户的资源限制 Oracle为安全管理员在数据库提供是否对环境文件资源限制的选择 3 用户资源限制和环境文件 student server CONNECTadmin manager orclstu orclstu DESCRIPTION ADDRESS PROTOCOL tcp HOST student server PORT 1521 CONNECT DATA SERVICE NAME orcl LISTENERport1521 名称解析 orcl 网络配置复习提问 3 2 2创建与管理用户 提问 如果你是一个数据库DBA 进行用户管理应该考虑哪些问题 用户管理应该考虑的问题身份验证方式默认表空间临时表空间表空间限额资源与口令限制 概要文件 账户状态操作权限等 1创建用户 提问 创建用户操作应有那种身份的用户完成 Connscott tiger orclCreateuserdogidentifiedbywangwang 以上代码oracle会给什么提示 ORA 01031权限不足 创建用户语法 CREATEUSERuser name IDENTIFIED BYpassword EXTERNALLY DEFAULTTABLESPACEtablespace TEMPORARYTABLESPACEtablespace QUOTA n K M UNLIMITED ONTABLESPACE PASSWORDEXPIRE ACCOUNT LOCK UNLOCK PROFILE profile DEFAULT Oracle标识符的特点 无论是用户帐户 还是其他的数据库对象 都需要一个合适的名称 如果希望某个名称成为合法的Oracle标识符 那么它必须遵循如下规则 不能是保留字 它必须使用1 30个字符 必须以数据库字符集中的字母字符开头 只能包含数据库字符集中的字母字符 以及字符 等 不能包含单引号或双引号 要求 密码为stu01pwd 默认表空间为USERS 临时表空间为TEMP 例 创建学生成绩管理系统用户stu01 CREATEUSERstu01IDENTIFIEDBYstu01pwdDEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP 提问 新创建的用户能否连接数据库 用户创建完成后不具备任何权限 也不能连接数据库 需由DBA为其授予相关权限 提问 只要你与他人共用同一台计算机 无论是在学校还是家中 就可能发生过你在使用或已保存的内容被他人查看 更改或删除的情况 怎么办 控制他人对你个人文件的访问权限 2 系统与对象权限管理 数据库系统及其中对象的访问权限一般应由数据库系统管理员 DBA 进行统一管理 权限是执行特定SQL语句和访问对象的权利 权限被授予的用户能够完成这些特定的工作 Oracle数据库用户权限分类 对象权限允许用户执行对指定对象 包括表 视图 序列 过程 函数和包 的特定操作 如将数据插入到某个表中 允许检索某个表中数据等 系统特权允许用户执行特定的系统级操作或在特定的对象类型上执行特定操作 如创建表空间 创建表等 2 1系统特权 系统权限分类一类是对数据库某一类对象的操作能力 通常带有ANY关键字 例如 CREATEANYINDEX ALTERANYINDEX DROPANYINDEX 另一类系统权限是数据库级别的某种操作能力 例如 CREATESESSION 数据库系统特权的授予与回收 system privilege 表示系统权限列表 以逗号分隔 user 表示用户列表 以逗号分隔 role list 表示角色列表 以逗号分隔 WITHADMINOPTION 允许得到权限的用户将权限转授其他用户PUBLIC 表示系统中所有用户 用于简化授权 1 授予系统特权的语法 GRANT system privilege role TO user role PUBLIC WITHADMINOPTION 只有DBA才应当拥有ALTERDATABASE系统权限 应用程序开发者一般需要拥有CREATETABLE CREATEVIEW和CREATEINDEX等系统权限 普通用户一般只具有CREATESESSION系统权限 系统权限授予时需要注意的几点 授予用户stu01相关的权限 建立系统连接 创建表 视图 索引 存储过程 触发器 序列 同义词 触发器等 GRANTCREATESESSIONTOstu01 GRANTCREATECLUSTERTOstu01 GRANTCREATEDATABASELINKTOstu01 GRANTCREATEANYINDEXTOstu01 GRANTCREATEMATERIALIZEDVIEWTOstu01 GRANTCREATEPROCEDURETOstu01 GRANTCREATESEQUENCETOstu01 GRANTCREATESYNONYMTOstu01 GRANTCREATETABLETOstu01 GRANTCREATETRIGGERTOstu01 GRANTCREATETYPETOstu01 GRANTCREATEVIEWTOstu01 DBA SYS PRIVS视图 查看授予用户的系统特权信息查询用户的系统权限CONNECTsys xingong421 orclCOLUMNGRANTEEFORMATA22SETPAGESIZE800SELECTgrantee privilege admin optionFROMdba sys privsORDERBYgrantee privilege 查询用户系统特权 数据字典 USER SYS PRIVS查看用户自己获得的系统特权查询stu01用户的系统权限CONNECTstu01 stu01pwd orclCOLUMNUSERNAMEFORMATA10SELECTusername privilege admin optionFROMuser sys privs 当系统特权使用WITHADMINOPTION选项传递给其他用户时 收回原始用户的系统特权将不会产生级联效应 回收传递授予用户的权限 2 回收系统特权的语法如下 REVOKE system privilege role FROM user role PUBLIC 系统特权应逐个用户检查和管理 课堂案例分析 建立两个用户为user1和user2 密码分别是user1和user2 给用户user1授予CREATESESSION CREATETABLE系统权限 带WITHADMINOPTION参数 user1获得权限后 为用户user2授予CREATESESSION权限 回收用户user1授予CREATESESSION CREATETABLE系统权限 提问当所有操作结束后 User1和user2能否连接数据库 WITHADMINOPTION DBA GRANT REVOKE Jeff Emi Jeff Emi DBA 权限传递性总结 2 2对象权限 Oracle提供针对性的对象存取控制权限 创建对象的用户拥有该对象的所有对象权限 无需为对象的拥有者授予对象权限 对象权限的授予与回收 1 对象权限的授权语法如下 GRANT object privilege ALL column list ONschema objectTO user role PUBLIC WITHGRANTOPTION object privilege 表示对象权限列表 以逗号分隔 schema object 表示指定的模式对象 默认为当前模式中的对象 user 表示用户列表 以逗号分隔 role 表示角色列表 以逗号分隔 PUBLIC 表示系统中所有用户 用于简化授权 WITHGRANTOPTION 允许得到权限的用户将权限转授其他用户 注意 使用对象属主名前缀标识其他用户的对象用户名 对象名 应只对确实需要该对象访问权限的用户授权只授予必须的权限 有必要限制ALL的使用 例 对象访问权限授予 表 将scott用户的emp表的查询 插入 删除权限授予stu01用户CONNscott tigerGRANTSELECT INSERT DELETEONempTOstu01 提问 对stu01授权 emp表的查询 插入 删除权限 以后 输入以下语句能否查看到emp表的信息 connstu01 stu01pwdSetlinesize150select fromemp select fromscott emp 例 对象访问权限授予 列 将scott用户的的dept表deptno dname 列的修改权限权限授予stu01用户CONNscott tiger orclgrantupdate deptno dname ondepttostu01 提问 对stu01授与dept表deptno dname列的修改权限以后 输入以下语句能否修改相关信息 connstu01 stu01pwdupdatescott deptsetdname 人事处 wheredeptno 10 updatescott deptsetloc 中国 wheredeptno 10 查询对象权限信息 数据字典 DBA TAB PRIVS 包含数据库所有对象的授权信息ALL TAB PRIVS 包含数据库所有用户和PUBLIC用户组的对象授权信息USER TAB PRIVS 包含当前用户对象的授权信息DBA COL PRIVS 包含所有字段已授予的对象权限ALL COL PRIVS 包含所有字段已授予的对象权限信息USER COL PRIVS 包含当前用户所有字段已授予的对象权限信息 提问 数据字典名称前缀USER ALL DBA有何区别 USER记录当前用户所拥有的所有对象的信息ALL记录包括USER前缀和授权给PUBLIC或该用户的所有对象的信息即该用户可访问的所有对象的信息DBA记录数据库系统中所有数据库对象的信息 查询stu01用户的授权信息 CONNstu01 stu01pwd orclCOLUMNGRANTEEFORMATA10SELECTgrantee table name grantor privilege grantableFROMuser tab privs CASCADECONSTRAINTS表示级联删除对象上存在的参照完整性约束使用WITHGRANTOPTION传递给其他用户时 收回原始用户的对象权限将会产生级联效应 其他用户的对象访问权限会被一并收回 2 数据库对象权限的回收语法如下 REVOKE object privilege ALL ONschema objectFROM user role PUBLIC CASCADECONSTRAINTS 数据库对象权限的回收 课堂小测试 一 写出以下操作的的代码建立两个用户为user1和user2 密码分别是user1和user2 将scott模式下的emp表的SELECT UPDATE INSERT权限授予user1用户 带WITHGRANTOPTION参数 user1用户再将emp表的SELECT UPDATE权限授予user2用户 回收用户user1授予的scott模式下的emp表的SELECT UPDATE INSERT权限 二 提问当所有操作结束后 User1和user2能否再查询scott模式下的emp表 注意 创建用户 OEM 显示用户信息 创建用户 页面 选择表空间 查看新建用户NEWUSER的信息 用户权限管理 系统权限设置页面 修改系统权限页面 新用户默认的拥有CONNECT角色的权限 查询用户信息 数据字典 ALL USERS 包含数据库所有用户的用户名 用户ID和用户创建时间 DBA USERS 包含数据库所有用户的详细信息 USER USERS 包含当前用户的详细信息 DBA TS QUOTAS 包含所有用户的表空间配额信息 USER TS QUOTAS 包含当前用户的表空间配额信息 V SESSION 包含用户会话信息 查询scott用户账户的基本信息 colUSERNAMEfora12colACCOUNT STATUSfora15selectUSERNAME USER ID ACCOUNT STATUS DEFAULT TABLESPACEfromuser users USERNAMEUSER IDACCOUNT STATUSDEFAULT TABLESPACE SCOTT54OPENUSERS 查询数据库中各用户的会话信息 connsys xingong421assysdbaselectSID LOGON TIME USERNAMEfromv session SIDLOGON TIMEUSERNAME15830 9月 11SCOTT15930 9月 11SYS16030 9月 11 3 修改用户 修改用户语法ALTERUSERuser IDENTIFIED BYpassword EXTERNALLY DEFAULTTABLESPACETABLESPACE TEMPORARYTABLESPACETABLESPACE QUOTA n K M UNLIMITED ONTABLESPACE PASSWORDEXPIRE ACCOUNT LOCK UNLOCK PROFILE profile DEFAULT 要求 密码修改为newpwd 将该账户锁定 例 修改用户stu01 ALTERUSERstu01IDENTIFIEDBYnewpwdACCOUNTLOCK 修改用户 OEM 编辑用户页面 ORACLE中哪些方法可以锁定 解锁用户帐号 提问 帐户的状态 锁定和取消锁定 锁定和解锁stu01用户 一 锁定stu01用户1 在OEM中锁定用户账号2 通过SQL命令锁定用户账号ALTERUSERstu01ACCOUNTLOCK 二 解除锁定stu01用户1 在OEM中解除用户账号的锁定2 通过SQL命令解除用户账号锁定ALTERUSERstu01ACCOUNTUNLOCK 4 删除用户 删除用户语法DROPUSERuser CASCADE CASCADE表示级联删除该用户所属的方案对象 例题 删除用户stu01 DROPUSERstu01CASCADE 删除用户 OEM 确认删除页面 提问 为少数人分配权限不是一项困难的任务 但是要为1 000名雇员分配权限将是非常耗时的 怎么办 管理员的角色可以使分配雇员权限变得容易一些 3 2 3角色管理 角色为相关权限的命名组 可授权给用户和角色 角色的使用步骤 1 由DBA创建角色 2 为角色授予相应的系统特权和对象权限 3 将角色授予相关的数据库用户默认表空间可将多个角色授予同一个Oracle数据库用户 预定义角色 预定义角色是指在Oracle数据库创建时由系统自动创建的一些常用的角色 这些角色已经由系统授予了相应的权限 DBA可以直接利用预定义的角色为用户授权 也可以修改预定义角色的权限 Oracle数据库中有30多个预定义角色 1 创建角色 CREATEROLErole NOTIDENTIFIED IDENTIFIED BYPASSWORD EXTERNALLY 参数说明role nam