Oracle数据库管理员教程-安全管理教学课件

Oracle数据库管理员教程-安全管理41、实际上，我们想要的不是针对犯罪的法律，而是针对疯狂的法律。——马克·吐温42、法律的力量应当跟随着公民，就像影子跟随着身体一样。——贝卡利亚43、法律和制度必须跟上人类思想进步。——杰弗逊44、人类受制于法律，法律受制于情理。——托·富勒45、法律的制定是为了保证每一个人自由发挥自己的才能，而不是为了束缚他的才能。——罗伯斯庇尔Oracle数据库管理员教程-安全管理Oracle数据库管理员教程-安全管理41、实际上，我们想要的不是针对犯罪的法律，而是针对疯狂的法律。——马克·吐温42、法律的力量应当跟随着公民，就像影子跟随着身体一样。——贝卡利亚43、法律和制度必须跟上人类思想进步。——杰弗逊44、人类受制于法律，法律受制于情理。——托·富勒45、法律的制定是为了保证每一个人自由发挥自己的才能，而不是为了束缚他的才能。——罗伯斯庇尔2Oracle

数据库管理员教程第五章安全管理行命令建立用户：CREATEUSER用户名INDENTIFIEDBY口令

EXTERNALLYDEFAULTTABLESPACE表空间名

TEMPORARYTABLESPACE表空间名

QUOTA整数K/MON表空间名

UNLIMITEDPROFILE环境文件名安全管理用户管理

例1：建立用户sidneyCREATEUSERsidney

INDENTIFIEDBYcartonDEFAULTTABLESPACEcases_tsTEMPORARYTABLESPACEtemp_tsQUOTA5MONcases_tsQUOTA5MONtemp_tsPROFILEengineer;安全管理用户管理

例2：建立按操作系统帐号george可存取的用户。

CREATEUSEROPS$georage

INDENTIFIEDEXTERNALLYDEFAULTTABLESPACEaccs_tsTEMPORARYTABLESPACEtemp_tsQUOTAUNLIMITEDONaccs_tsQUOTAUNLIMITEDONtemp_ts;安全管理用户管理

安全管理

用户管理

AlterUser(OK)(Cancel)User:()NochangeinAuthentication(o)Changepasswordto()ChangetoOSauthenticationDefaultObjectTablespaceTempSegmentTablespaceQuotaProfileDefaultRolesSTU9STU10安全管理用户管理

参数说明：NochangeinAuthentication：无识别方式PasswordAuthentication：用户密码OSAuthentication：操作系统识别方式DefaultTablespace：用户对象保存的表空间TemporaryTablespace：临时用户对象保存的表空间Quotas：用户使用的表空间限量Profile：用户使用的系统资源限量DefaultRole：分配给用户的角色安全管理用户管理

行命令修改用户：ALTERUSER用户名INDENTIFIEDBY口令

EXTERNALLYDEFAULTTABLESPACE表空间名

TEMPORARYTABLESPACE表空间名

QUOTA整数K/MON表空间名

UNLIMITEDPROFILE环境文件名

DEFAULTROLE角色名

ALLEXCEPT角色名

NONE，，安全管理用户管理

例1：

ALTERUSERscottINDENTIFIEDBYlionDEFAULTTABLESPACEtstest；例2：

ALTERUSERscottPROFILEclerk；安全管理

用户管理

DropUser(OK)(Cancel)User:

[X]IncludingAssciatedSchemaObjectsSTU9STU10STU11安全管理用户管理

行命令删除用户：

DROPUSER用户名CASCADE例如：

DROPUSERbradleyCASCADE；安全管理

用户管理

KillUserSession(OK)(Cancel)Session:

67SYS93SCOTT139STU15例如：

ALTERSYSTEMKILLSESSION‘9,3’；安全管理用户管理

与用户管理有关的数据字典视图：

USER_USERSALL_USERSDBA_USERSUSER_TS_QUOTASDBA_TS_QUOTAS安全管理

环境文件管理

CreateProfile(OK)(Cancel)Name:[]Sessions/User()Limit:()Unlimited()Default[]CPUTime/Session()Limit:()Unlimited()Default[]CPUTime/Call()Limit:()Unlimited()Default[]ConnectTime()Limit:()Unlimited()Default[]IdleTime()Limit:()Unlimited()Default[]LogicalReads/Session()Limit:()Unlimited()Default[]LogicalReads/Call()Limit:()Unlimited()Default[]PrivateSGA/Session()Limit:()Unlimited()Default[]CompositeLimit()Limit:()Unlimited()Default安全管理环境文件管理

参数说明：

Sessions/User：限制一个用户的并发会话个数。

CPUTime/Session：限制一次会话的CPU时间，单位：百分之一秒。

CPUTime/Call：限制一次调用（一次语法分析、执行或获得）的CPU时间，单位：百分之一秒。

ConnectTime：限制一会话总的使用时间，单位：分。

IdleTime：限制会话期间连接不活动周期，单位：分。长的运行查询和其它操作不受这个限制。安全管理环境文件管理

参数说明：

LogicalReads/Session：限制在一次会话中读的数据块的数目，包括从内存或磁盘读的块数。

LogicalReads/Call：限制处理一个SQL语句（语法分析、执行和获取）一次调用所读的数据块的数目。

PrivateSGA/Session：限制一次会话在SGA的共享池可分配的专用空间的数目，单位：bytes/Kbytes/Mbytes。CompositeLimit：一次会话总的资源开销，以服务单位表示该参数的值。安全管理环境文件管理

ORACLE以下列资源的带权的和计算总的资源开销：

CPUTime/SessionConnectTimeLogicalReads/SessionPrivateSGA/Session安全管理环境文件管理

行命令建立环境文件：CREATEPROFILE环境文件名LIMITSESSION_PER_USER整数

CPU_PER_SESSIONUNLIMITEDCPU_PER_CALLDEFAULTCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONLOGICAL_READS_PER_CALLCOMPOSITE_LIMITPRIVATE_SGA整数/K/MUNLIMITEDDEFAULT安全管理环境文件管理

例如：建立环境文件SYSTEM_MANAGER。CREATEPROFILEsystem_managerLIMITSESSIONS_PER_USERUNLIMITEDCPU_PER_SESSIONUNLIMITEDCONNECT_TIME45LOGICAL_READS_PER_SESSIONDEFAULTLOGICAL_READS_PER_CALL1000PROVATE_SGA15KCOMPOSITE_LIMIT5000000;安全管理

环境文件管理

AlterProfile(OK)(Cancel)Profile:[]Sessions/User()Limit:()Unlimited()Default[]CPUTime/Session()Limit:()Unlimited()Default[]CPUTime/Call()Limit:()Unlimited()Default[]ConnectTime()Limit:()Unlimited()Default[]IdleTime()Limit:()Unlimited()Default[]LogicalReads/Session()Limit:()Unlimited()Default[]LogicalReads/Call()Limit:()Unlimited()Default[]PrivateSGA/Session()Limit:()Unlimited()Default[]CompositeLimit()Limit:()Unlimited()DefaultCLERKDBADEFAULT安全管理环境文件管理

行命令修改环境文件：ALTERPROFILE环境文件名LIMITSESSION_PER_USER整数

CPU_PER_SESSIONUNLIMITEDCPU_PER_CALLDEFAULTCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONLOGICAL_READS_PER_CALLCOMPOSITE_LIMITPRIVATE_SGA整数/K/MUNLIMITEDDEFAULT安全管理环境文件管理

例：在ENGINEER环境文件中定义5个并行会话的限制。

ALTERPROFILEengineerLIMITSESSION_PER_USER5;安全管理

环境文件管理

DropProfile(OK)(Cancel)Profile:[]ReasignProfileUserstoDefaultProfileCLERKDBA行命令删除环境文件：

DROPPROFILE环境文件名CASCADE安全管理

环境文件管理

AlterResourceCost(OK)(Cancel)

CPUTime/Session:ConnectTime:LogicalReads/Session:PrivateSGA/Session:安全管理

环境文件管理

行命令更改资源开销：

ALTERRESOUCECOSTCPU_PER_SESSION整数

CONNECT_TIME整数

LOGICAL_READS_PER_SESSION整数

PRIVATE_SGA整数例如：指定资源的权。

ALTERRESOUCECOSTCPU_PER_SESSION100CONNECT_TIME1安全管理

环境文件管理

与环境文件有关的数据字典视图：

USER_RESOURCE_LIMITSDBA_PROFILESRESOURCE_COST安全管理特权管理

系统特权：完成特殊活动或在一个特殊类型的对象上完成特殊活动的一个特权。对象特权：在一个指定的对象（表、视图、序列、过程、函数或包）上完成一个特殊活动的特权。安全管理

特权管理GrantSystemPrivileges/Roles(OK)(Cancel)Grant:To:[]Allowgranteetogranttheprivilege(s)/role(s)toothers

安全管理特权管理

行命令授予系统特权或角色：GRANT系统特权名TO用户名角色名角色名

PUBLICWITHADMINOPTION，，安全管理特权管理

例1：将CREATESESSION系统特权授予RICHARD。GRANTcreatesessionTOrichard;

例2：将CREATETABLE系统特权授予RICHARD并带有允许授权选项。

GRANTcreatetableTOrichardWITHADMINIOPTION;

安全管理

特权管理RevokeSystemPrivileges/Roles(OK)(Cancel)Revoke:From:安全管理特权管理

行命令授予系统特权或角色：REVOKE系统特权名FROM用户名角色名角色名

PUBLIC，，安全管理特权管理

例：从用户Bill和Mary回收DROPANYTABLE系统特权。

REVOKEdropanytableFROMbill,mary;安全管理特权管理

回收系统特权的连锁反映分析：GRANTABCREVOKEABCRESULTABC安全管理特权管理

对象特权的授权：例1：GRANTselectONdeptTOstu10,stu11;例2：GRANTselect,insert(empno,ename),update(ename)ONempTOscottWITHGRANTOPTION;安全管理特权管理

对象特权的回收：例1：REVOKEselectONdeptFROMstu10,stu11;例2：REVOKEallONempFROMscott;安全管理特权管理

回收对象特权的连锁反映分析：GRANTACBREVOKEACBRESULTACB安全管理特权管理

与特权有关的数据字典视图：

DBA_SYS_PRIVSTABLE_PRIVILEGESCOLUMN_PRIVILEGESALL/USER_TAB_PRIVSALL/USER_TAB_PRIVS_MADEALL/USER_TAB_PRIVS_RECDALL/USER_COL_PRIVSALL/USER_COL_PRIVS_MADEALL/USER_COL_PRIVS_RECD安全管理角色管理

角色是由一个命名的关联特权组组成，用来维护和控制特权。角色的特点：减少授权次数动态的特权管理选择可用特权安全管理角色管理

无角色管理的授权示意图用户特权安全管理角色管理

使用角色管理的授权示意图用户特权角色安全管理角色管理

ORACLE数据库预定义的角色：

CONNECT:

ALTERSESSION,CREATECLUSTER,CTEATEDATABASELINK,CREATESEQUENCE,CREATESESSION,CREATESYNONYM,CREATETABLE,CREATETABLE,CREATETRIGGERRESOURCE:

CREATECLUSTER,CREATEPROCEDURE,CREATESEQUENCE,CREATETABLE,CREATETRIGGERDBA:

AllsystemprivilegesWITHADMINOPTIONEXP_FULL_DATABASE:

SELECTANYTABLE,BACKUPANYTABLE,INSERT,DELETEandUPDATEonthetablesSYS.INCVID,SYS.INCFILandSYS.INCEXPIMP_FULL_DATABASE:

BECOMEUSER,WRITEDOWN安全管理

角色管理CreateRole(OK)(Cancel)Name:()UsePasswordAuthentication:()UseOSAuthentication()UseNoAuthentication安全管理角色管理

行命令建立角色：CREATEROLE角色名NOTIDENTIFIED