Oracle数据库的安全与管理.ppt

用户管理环境文件管理角色管理常用工具的使用,Oracle数据库的安全与管理,主要内容,建立新的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息,帐户锁,表空间限额,临时表空间,缺省表空间,角色权限,资源限定,安全域,用户和安全,直接权限,认证机制,表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接,数据库模式,建立用户的核对表,1.选择用户名和认证机制2.确定用户需要存储对象的表空间3.确定每一个表空间的限额4.指定缺省表空间和临时表空间5.建立用户6.给用户授予权限和角色,建立一个新用户:指导原则,初始选择一个标准口令使用EXPIRE关键字强制用户重新设置其口令始终要指定临时表空间一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED训练用户:连接修改口令,控制帐户锁和口令,ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;,修改用户的表空间定额,ALTERUSERpeterQUOTA0ONdata01;,删除用户,如果模式中包含对象，则需要使用CASCADE子句,DROPUSERpeter;,DROPUSERpeterCASCADE;,监控用户,DBA_USERSUSERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACE,DBA_TS_QUOTASUSERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS,用户管理环境文件管理权限管理角色管理常用工具的使用,Oracle数据库的安全与管理,主要内容,建立环境文件并分配给用户利用环境文件控制资源的使用修改和删除环境文件使用环境文件管理口令获得环境文件,指定的限制,和口令管理,环境文件,命名的资源和口令限制的集合通过CREATE/ALTERUSER命令分配给用户可以启用或禁用可以涉及DEFAULT环境文件可以在会话层或调用层限制系统资源,帐户锁,安全域,资源限制,直接权限,临时表空间,缺省表空间,表空间定额,验证机制,角色权限,使用环境文件管理资源,1.创建环境文件2.为用户分配资源文件3.启用资源限制,创建环境文件:资源限制,CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;,ResourceCPU_PER_SESSIONSESSIONS_PER_USERCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONPRIVATE_SGA,DescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly),在会话层设置资源限制,资源CPU_PER_CALLLOGICAL_READS_PER_CALL,说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks,在调用层设置资源限制,为用户分配资源文件,CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;,ALTERUSERscottPROFILEdeveloper_prof;,启用资源限制,将初始化参数RESOURCE_LIMIT设置成TRUE或使用带有启用参数的ALTERSYSTEM命令强制资源限制,ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;,修改环境文件,ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;,删除环境文件,DROPPROFILEdeveloper_prof;,DROPPROFILEdeveloper_profCASCADE;,查看资源限制,DBA_USERS-profile-username,DBA_PROFILES-profile-resource_name-resource_type(KERNEL)-limit,口令管理,启用口令管理,使用环境文件并分配给用户来建立口令管理使用CREATEUSER或ALTERUSER加锁,解锁,和期满帐户既使实例的RESOURCE_LIMIT的设置是FALSE,口令限制仍始终被强制,创建环境文件:口令设置,CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;,口令设置,ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIME,DescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpirationLifetimeofthepasswordindaysafterwhichthepasswordexpiresGraceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired,口令设置,ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTION,DescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned,用户提供的口令函数,函数必须使用模式SYS创建,并且具有以下规范:,function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30)RETURNBOOLEAN,口令确认函数VERIFY_FUNCTION,长度最少四个字符口令不能和用户名相同口令至少有一个字母,一个数字,和一个特殊字符本次的口令与上一次的口令应当至少有三个字符不同,查看口令的有关信息,DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD)limit,用户管理环境文件管理权限管理角色管理常用工具的使用,Oracle数据库的安全与管理,主要内容,鉴别系统和对象权限权限的授予与回收操作系统或口令文件认证的控制,管理权限,两种类型的权限:系统:使得用户可以执行数据库中特殊的操作对象:使得用户可以访问和操作特定的对象,系统权限,约有80个系统权限权限中ANY关键字意味着用户具有每一个模式的权限GRANT命令可以为一个或一组用户添加权限REVOKE命令删除权限,系统权限:例子,类别例子INDEXCREATEANYINDEXALTERANYINDEXDROPANYINDEXTABLECREATETABLECREATEANYTABLEALTERANYTABLEDROPANYTABLESELECTANYTABLEUPDATEANYTABLEDELETEANYTABLESESSIONCREATESESSIONALTERSESSIONRESTRICTEDSESSIONTABLESPACECREATETABLESPACEALTERTABLESPACEDROPTABLESPACEUNLIMITEDTABLESPACE,授予系统权限,GRANTCREATESESSION,CREATETABLETOuser1;,GRANTCREATESESSIONTOscottWITHADMINOPTION;,SYSDBA和SYSOPER权限,类别例子SYSOPERSTARTUPSHUTDOWNALTERDATABASEOPEN|MOUNTALTERDATABASEBACKUPCONTROLFILEALTERTABLESPACEBEGIN/ENDBACKUPRECOVERDATABASE,ALTERDATABASEARCHIVELOGRESTRICTEDSESSIONSYSDBASYSOPERprivilegesWITHADMINOPTIONCREATEDATABASERECOVERDATABASEUNTIL,显示系统权限,DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTION,SESSION_PRIVSPRIVILEGE,数据库层,会话层,系统权限限制,O7_DICTIONARY_ACCESSIBILITY=TRUE回复至Oracle7的工作特点取消带有ANY关键字的系统权限限制缺省为TRUE,回收系统权限,REVOKECREATETABLEFROMuser1;,REVOKECREATESESSIONFROMscott;,USER1,SCOTT,回收使用WITHADMINOPTION的系统权限,DBA,授予,回收,USER1,SCOTT,DBA,结果,回收使用WITHADMINOPTION的系统权限,DBA,USER1,SCOTT,对象权限,对象权限表视图序号发生器过程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE,授予对象权限,GRANTEXECUTEONdbms_pipeTOpublic;,GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;,显示对象权限,GRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLE,GRANTEEOWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRANTABLE,回收对象权限,REVOKEexecuteONdbms_pipeFROMscott;,授予,回收,回收使用WITHGRANTOPTION的对象权限,SCOTT,SCOTT,USER1,USER1,USER2,USER2,结果,回收使用WITHGRANTOPTION的对象权限,SCOTT,USER1,USER2,用户管理环境文件管理权限管理角色管理常用工具的使用,Oracle数据库的安全与管理,主要内容,创建和修改角色控制角色的可用性删除角色使用预定义的角色从数据字典中获得角色的有关信息,角色,用户,权限,角色,HR_CLERK,HR_MGR,A,B,C,角色的好处,减少权限的授予动态地管理权限选择性的权限可用性通过OS授予非连带回收改善性能,创建角色,CREATEROLEsales_clerk;,CREATEROLEhr_clerkIDENTIFIEDBYbonus;,CREATEROLEhr_managerIDENTIFIEDEXTERNALLY;,使用预定义角色,角色名称说明CONNECTThesetworolesareprovidedRESOURCEforbackwardcompatibility.DBAAllsystemprivilegesWITHADMINOPTIONEXP_FULL_DATABASEPrivilegestoexporttheDBIMP_FULL_DATABASEPrivilegestoimporttheDBDELETE_CATALOG_ROLEDELETEprivilegesonDDtablesEXECUTE_CATALOG_ROLEEXECUTEprivilegeonDDpackagesSELECT_CATALOG_ROLESELECTprivilegeonDDtables,修改角色,ALTERROLEhr_clerkIDENTIFIEDEXTERNALLY;,ALTERROLEhr_managerNOTIDENTIFIED;,ALTERROLEsales_clerkIDENTIFIEDBYcommission;,分配角色,GRANThr_clerk,TOhr_manager;,GRANTsales_clerkTOscott;,GRANThr_managerTOscottWITHADMINOPTION;,设立缺省角色,ALTERUSERscottDEFAULTROLEhr_clerk,sales_clerk;,ALTERUSERscottDEFAULTROLEALL;,ALTERUSERscottDEFAULTROLEALLEXCEPThr_clerk;,ALTERUSERscottDEFAULTROLENONE;,启用和禁用角色,禁用角色可以将角色从用户处临时回收启用角色可以作为临时的授予SETROLE命令可以启用和禁用角色缺省角色在用户登录时启用启用角色时可能需要口令,启用和禁用角色:例子,SETROLEhr_clerk;,SETROLEsales_clerkIDENTIFIEDBYcommission;,SETROLEALLEXCEPTsales_clerk;,SETROLENONE;,删除用户的角色,REVOKEhr_managerFROMPUBLIC;,REVOKEsales_c