系统安全管理

第9章系统安全管理01用户02

权限管理03

角色管理04

概要文件和数据字典视图05

审计1

用户主要内容

创建用户

管理用户0102创建用户createuseruser_nameidentifiedbypass_word[oridentifiedexeternally][oridentifiedgloballyas‘CN=user’][defaulttablespacetablespace_default][temporarytablespacetablespace_temp][quota[integerk[m]][unlimited]]ontablesapce_specify1[,quota[integerk[m]][unlimited]]ontablesapce_specify2[,…]…ontablespace_specifyn[profilesprofile_name][accountlockoraccountunlock]创建用户的语法：SQL>createusermridentifiedbymrsoftdefaulttablespaceuserstemporarytablespacetemp;创建一个mr用户，口令为mrsoft，并设置默认的表空间为users，临时表空间为temp的用户。试一试创建用户管理用户1．修改用户修改用户的磁盘限额如果DBA在创建用户时，指定了用户在某个表空间的磁盘限额，那么经过一段时间，该用户使用该表空间已经达到了DBA所设置的磁盘限额时，Oracle系统就会显示如图所示的错误提示，DBA需要为该用户适当增加资源。SQL>alterusereastquota20montbsp_1;修改用户east在表空间上的磁盘限额为20m（原始为10m，增加10m）。试一试管理用户管理用户修改用户的口令用户的口令在使用一段时间之后，根据系统安全的需要或在PROFILE文件中（资源配置文件）设置的规定，用户必须要修改口令。SQL>alterusereastidentifiedby123456;修改用户east的新口令为123456（原始为mrsoft）。试一试管理用户解锁被锁住的用户Oracle默认安装完成后，为了安全起见，很多用户处于LOCKED状态，DBA可以对LOCKED状态的用户解除锁定。SQL>alteruserSHaccountunlock;使用alteruser命令解除被锁定的账户SH。试一试管理用户2．删除用户删除用户通过DROPUSER语句完成的，删除用户后，Oracle会从数据字典中删除用户、方案及其所有对象方案，语法如下：dropuseruser_name[cascade]SQL>dropuserdfcascade;使用dropuser语句删除用户df，并连同该用户所拥有的对象一起删除。试一试2

权限管理主要内容

权限概述01

系统权限管理02

对象权限管理03

安全特性04权限概述根据系统管理方式的不同，在Oracle数据库中将权限分为两大类：系统权限和对象权限。

系统权限是在系统级对数据库进行存取和使用的机制，比如，用户是否能够连接到数据库系统（SESSION权限），执行系统级的DDL语句（如CREAT、ALTER、和DROP）等。

对象权限是指某一个用户对其他用户的表、视图、序列、存储过程、函数、包等的操作权限。不同类型的对象具有不同的对象权限，对于某些模式对象，比如簇、索引、触发器、数据库链接等没有相应的实体权限，这些权限由系统权限进行管理。1．授权操作在Oracle11g中含有200多种系统特权，并且所有这些系统特权均被列举在SYSTEM_PRIVILEGE_MAP数据目录视图中。授权操作使用GRANT命令，其语法格式如下：grantsys_privi|roletouser|role|public[withadminoption]系统权限管理SQL>grantconnect,resourcetoeast;为用户east授予连接和开发系统权限，并尝试使用east连接数据库试一试2．回收系统权限一般用户如果被授予过高的权限就可能给Oracle系统带来安全隐患。作为Oracle系统的管理员，应该能够查询当前Oracle系统各个用户的权限，并且能够使用REVOKE命令撤销用户的某些不要的系统权限，REVOKE命令的语法格式如下：revokesys_privi|rolefromuser|role|public系统权限管理SQL>revokeresourcefromeast;撤销east用户的resource系统权限试一试1．对象授权与将系统权限授予用户基本相同，授予对象权限给用户或角色也使用GRANT命令，其语法格式如下：Grantobj_privi|allcolumnonschema.objecttouser|role|public[withgrantoption]|[withhierarchyoption]对象权限管理SQL>grantselect,insert,delete,updateonscott.emptoxifang;给用户xifang授予select、insert、delete和update表soctt.emp的权限试一试2．回收对象权限要从用户或角色中撤销对象权限，仍然要使用REVOKE命令，其语法格式如下：revokeobj_privi|allonschema.objectfromuser|role|publiccascadeconstraints对象权限管理SQL>revokedelete,updateonscott.empfromxifang;从xifang用户撤销scott.emp表的update和delete权限试一试1．表安全在表和视图上赋予DELETE、INSERT、SELECT和UPDATE权限可进行查询和操作表数据。可以限制INSERT权限到表的特定的列，而所有其他列都接收NULL或者默认值。使用可选的UPDATE，用户能够更新特定列的值。如果用户需要在表上执行DDL操作，那么需要ALTER、INDEX和REFERENCES权限还可能需要其他系统或者对象权限。例如，如果需要在表上创建触发器，用户就需要ALTERTABLE对象权限和CREATETRIGGER系统权限。与INSERT和UPDATE权限相同，REFERENCES权限能够对表的特定列授予权限。安全特性2．视图安全对视图的方案对象权限允许执行大量的DML操作，影响视图创建的基表，对表的DML对象权限与视图相似。要创建视图，必须满足下面两个条件：授予CREATEVIEW系统权限或者CREATEANYVIEW系统权限。显式授予SELECT、INSERT、UPDATE和DELETE对象权限，或者显式授予SELECTANYTABLE、INSERTANYTABLE、UPDATEANYTABLE、DELETEANYTABLE系统权限。为了其他用户能够访问视图，可以通过WITHGRANTOPTION子句或者使用WITHADMINOPTION子句授予适当的系统权限。以下两点可以增加表的安全层次，包括列层和基于值的安全性。视图访问基表所选择的列的数据。在定义视图时，使用WHERE子句控制及表的部分数据。安全特性3．过程安全过程方案的对象权限（其中包括独立的过程、函数和包）只有EXECUTE权限，将这个权限授予需要执行的过程或需要编译另一个需要调用它的过程。（1）过程对象。具有某个过程的EXECUTE对象权限的用户可以执行该过程，也可以编译引用该过程的程序单元。过程调用时不会检查权限。具有EXECUTEANYPROCEDURE系统权限的用户可以执行数据库中的任何过程。当用户需要创建过程时，必须拥有CREATEPROCEDURE系统权限或者是CREATEANYPROCEDURE系统权限。当需要修改过程时，需要ALTERANYPROCEDURE系统权限。拥有过程的用户必须拥有在过程体中引用的方案对象的权限。为了创建过程，必须为过程引用的所有对象授予用户必要的权限。（2）包对象。拥有包的EXECUTE对象权限的用户，可以执行包中的任何公共过程和函数，能够访问和修改任何公共包变量的值。对于包不能授予EXECUTE权限，当为数据库应用开发过程、函数和包时，要考虑建立安全性。安全特性4．类型安全（1）命名类型的系统权限。Oracle为命名类型（对象类型、VARRAY和嵌套表）定义了系统权限，如下表所示。安全特性权限说明CREATETYPE在用户自己的模式中创建命名类型CREATEANYTYPE在所有的模式中创建命名类型ALTERANYTYPE修改任何模式中的命名类型DROPANYTYPE删除任何模式中的命名类型EXECUTEANYTYPE使用和参考任何模式中的命名类型（2）对象权限。如果在命名类型上存在EXECUTE权限，那么用户可以使用命名类型完成定义表、在关系包中定义列及声明命名类型的变量和类型。（3）创建类型和表权限。①在创建类型时，必须满足以下要求。如果在自己模式上创建类型，则必须拥有CREATETYPE系统权限；如果需要在其他用户上创建类型，则必须拥有CREATEANYTYPE系统权限。类型的所有者必须显式授予访问定义类型引用的其它类型的EXECUTE权限，或者授予EXECUTEANYTYPE系统权限，所有者不能通过角色获取所需的权限。如果类型所有者需要访问其它类型，则必须已经接受EXECUTE权限或者是EXECUTEANYTYPE系统权限。②如果使用类型创建表，则必须满足以下要求。表的所有者必须显式授予EXECUTE对象权限，能够访问所有引用的类型，或者授予EXECUTEANYTYPE系统权限。如果表的所有者需要访问其他用户的表，则必须在GRANTOPTION选项中接受参考类型的EXECUTE对象权限，或者在ADMINOPTION中接受EXECUTEANYTYPE系统权限。（4）类型访问和对象访问的权限。在列层和表层的DML命令权限，可以应用到对象列和行对象上。安全特性3

角色管理主要内容

角色概述01

创建用户角色02

管理用户角色03角色概述角色是一个独立的数据库实体，它包括一组权限。也就是说，角色是包括一个或者多个权限的集合，它并不被哪个用户所拥有。角色可以被授予任何用户，也可以从用户中将角色收回。使用角色可以简化权限的管理，可以仅用一条语句就能从用户那里授予或回收权限，而不必对用户一一授权。使用角色还可以实现权限的动态管理，比如，随着应用的变化可以增加或者减少角色的权限，这样通过改变角色的权限，就实现了改变多个用户的权限。角色概述角色、用户及权限是一组关系密切的对象，既然角色是一组权限的集合，那么，它只有被授予某个用户才能有意义，可以用如图所示的图形来帮助我们理解角色、用户及权限的关系。创建用户角色createrolerole_name[notidentified|identifiedby[password]|[exeternally]|[globally]]创建用户角色的语法：SQL>createroledesigneridentifiedby123456;创建一个名为designer的角色，该角色的口令为123456试一试1．查看角色所包含的权限查看角色权限通常使用ROLE_SYS_PRIVS数据字典。例如，查询角色designer被属于的权限有哪些，代码及运行结果如下。SQL>select*fromrole_sys_privswhererole='DESIGNER';管理用户角色2．修改角色密码修改角色密码包括取消角色密码和修改角色密码两种情况，可以使用ALTERROLE语句来实现。管理用户角色SQL>alterroledesignernotidentified;SQL>alterroledesigneridentifiedbymrsoft;首先取消designer角色的密码，然后再重新给该角色设置一个密码试一试3．设置当前用户要生效的角色角色的生效是一个什么概念呢？假设用户a有b1，b2，b3三个角色，那么，如果b1未生效，则b1所包含的权限对于a来讲是不拥有的，只有角色生效了，角色内的权限才作用于用户，最大可生效角色数由参数MAX_ENABLED_ROLES设定；用户登录后，Oracle将所有直接赋值给用户的权限和用户默认角色中的权限赋给用户。设置角色生效可使用SETROLE语句。管理用户角色管理用户角色SQL>createrolequeryer;SQL>setrolequeryer;SQL>setroledesigneridentifiedbymrsoft;创建一个无需密码验证的角色queryer，然后设置该角色生效，接下来再设置带有密码的角色designer也生效试一试4．删除角色删除角色很简单，使用DROPROLE语句即可实现。例如，使用droprole语句删除角色queryer，代码及运行结果如下。SQL>droprolequeryer;管理用户角色4

概要文件和数据字典视图主要内容

使用概要文件管理密码

使用概要文件管理资源

数据字典视图010203使用概要文件管理密码1．账户锁定账户的锁定策略是指用户在连续输入多少次错误密码后，Oracle会自动锁定用户的账户，并且可以规定账户的锁定时间。Oracle为锁定账户提供了以下两个参数。FAILED_LOGIN_ATEMPTS该参数限制用户在登录到Oracle数据库时允许失败的次数。一旦某个用户尝试登陆数据库的次数达到该值，则系统将该用户账户锁定。PASSWORD_LOCK_TIME该参数用于指定账户被锁定的天数。2．密码的过期时间使用概要文件管理密码密码的过期时间是指强制用户定期修改自己的密码，当密码过期后，Oracle会随时提醒用户修改密码。密码宽限期是指密码到期之后的宽限使用时间。默认情况下，建立用户并为其提供密码之后，密码会一直生效。为了防止其他人员破解用户账户的密码，可以强制普通用户定期改变密码。为了将强制用户定期修改密码，Oracle提供了如下参数。PASSWORD_LIFE_TIME该参数用于设置用户密码的有效时间，单位为天数。超过这一段时间，用户必须重新设置口令。PASSWORD_GRACE_TIME该参数用于设置口令失效的“宽限时间”。如果口令到达PASSWORD_LIFE_TIME设置的失效时间，设置宽限时间后，用户仍然可以继续使用一段时间。3．密码历史密码历史是用于控制账户密码的可重复使用次数或可重用时间。使用密码历史参数后，Oracle会将密码修改信息存放到数据字典中。这样，当修改密码时，Oracle会对新、旧密码进行比较，以确保用户不会重用过去已经用过的密码。关于密码历史有如下两个参数。

PASSWORD_REUSE_TIME该参数指定密码可重用的时间，单位为天。

PASSWORD_REUSE_MAX该参数设置口令在能够被重新使用之前，必须改变的次数。使用概要文件管理密码4．密码复杂度在PROFILE文件中，可以通过指定的函数来强制用户的密码必须具有一定的复杂度。例如，强制用户的密码不能与用户名相同。使用校验函数验证用户密码的复杂度时，只需要将这个函数的名称指定给PROFILE文件中的PASSWORD_VERIFY_FUNCTION参数，Oracle就会自动使用该函数对用户的密码和格式进行验证。在Oracle11g中，验证密码复杂度功能有新的改进。在$ORACLE_HOME/rdbms/admin目录下创建了一个新的密码验证文件UTLPWDMG.SQL，其中不仅提供了先前的验证函数VERIFY_FUNCTION，还提供了一个新建的VERIFY_FUNCTION_11G函数。使用概要文件管理密码在大而复杂的多用户数据库环境中，因为用户众多，所以系统资源可能会成为影响性能的主要瓶颈，为了有效地利用系统资源，应该根据用户所承担任务的不同为其分配合理资源。PROFILE不仅可用于管理用户密码，还可以用于管理用户资源。需要注意，如果是使用PROFILE管理资源，必须将RESOURCE_LIMIT参数设置为TRUE，以激活资源限制。由于该参数是动态参数，所以可以使用ALTERSYSTEM语句进行修改。使用概要文件管理资源SQL>showparameterresource_limit;首先使用show命令查看RESOURCE_LIMIT参数的值，然后使用altersystem命令修改该参数的值为true，从而激活资源限制.试一试使用概要文件管理资源1．基本数据字典数据字典视图数据字典名称说明dba_tablespaces关于表空间的信息dba_ts_quotas所有用户表空间限额dba_free_space所有表空间中的自由分区dba_segments描述数据库中所有段的存储空间dba_extents数据库中所有分区的信息dba_tables数据库中所有数据表的描述dba_tab_columns所有表、视图以及簇的列dba_views数据库中所有视图的信息dba_synonyms关于同义词的信息查询dba_sequences所有用户序列信息dba_constraints所有用户表的约束信息dba_indexs关于数据库中所有索引的描述dba_ind_columns在所有表及簇上压缩索引的列dba_triggers所有用户的触发器信息dba_source所有用户存储过程信息dba_data_files查询关于数据库文件的信息dba_tab_grants/privs查询关于对象授权的信息dba_objects数据库中所有的对象dba_users关于数据库中所有用户的信息2．常用动态性能视图数据字典视图数据字典名称说明v$database描述关于数据库的相关信息v$datafile数据库使用的数据文件信息v$log从控制文件中提取有关重做日志组的信息v$logfile有关实例重置日志组文件名及其位置的信息v$archived_log记录归档日志文件的基本信息v$archived_dest记录归档日志文件的路径信息v$controlfile描述控制文件的相关信息v$instance记录实例的基本信息v$system_parameter显示实例当前有效的参数信息v$sga显示实例的v$sgastat统计v$parameter记录初始化参数文件中所有项的值v$lock通过访问数据库会话，设置对象锁的所有信息v$session有关会话的信息v$sql记录v$sqltext记录v$bgprocess显示后台进程信息v$process当前进程的信息5

审计主要内容

审计启用

登录审计

操作审计010203

权限审计04审计启用用户连接数据库的操作过程称为登录，登录审计用下列命令。（1）AUDITSESSION：开启连接数据库审计。（2）AUDITSESSIONWHENEVERSUCCESSFUL：审计成果的连接图。（3）AUDITSESSIONWHENEVERNOTSUCCESSFUL：审计连接失败。（4）NOAUDITSESSION：禁止会话审计。登录审计操作审计对表、数据库链接、表空间、同义词、回滚段、用户或索引等数据库对象的任何操作都可被审计。这些操作包括对象的建立、修改和删除。语法格式：AUDIT[statement_opt|system_priv][BYuser_name[,...n]][BY[SESSION|ACCESS]][WHENEVER[NOT]SUCCESSFUL]权限审计除了系统级的对象操作外，还可以审计对象的数据处理操作。这些操作可能包括对表的选择、插入、更新和删除操作。这种操作类型的审计方式与操作审计非常相似。语法格式：AUDIT[object_opt|ALL]ON{[schema.]object|DIRECTORYdir