网络连接配置与系统安全概述

第3章

网络连接配置与系统安全

网络连接配置与系统安全概述第1页OracleNet主要功效是在系统中计算机之间建立网络会话和传输数据客户机和服务器之间两个服务器之间配置程序早期版本：OracleSQLNet/Net8EasyConfig9i/10g：NetConfigurationAssistantNetManagerOracleNet是Oracle网络产品基础，为实现分布式计算和各软件工具集成提供支持3.1OracleNet网络连接配置与系统安全概述第2页经典C/S结构系统

网络连接配置与系统安全概述第3页是驻留在服务器上一个独立进程能够监听指定端口上使用指定网络连接协议连接请求监听进程接收网络中客户机连接请求并管理传送到服务器这些请求通信监听程序配置文件：listener.ora1.监听程序

网络连接配置与系统安全概述第4页当地管理模式连接信息存放在网络内每台计算机tnsnames.ora文件中2.OracleNet客户端配置模式集中管理模式连接信息集中存放在目录服务器或Oracle名称服务器中网络连接配置与系统安全概述第5页服务器进程作为监听程序与数据库服务器之间连接，并代理用户与数据库服务器交互3.服务器进程服务器进程能够配置为两种模式专用服务器模式共享服务器模式网络连接配置与系统安全概述第6页4.OracleNet工作原理网络连接配置与系统安全概述第7页5.关于全局数据库名在一个分布式环境中，多个Oracle数据库可能有相同数据库名称，此时需要使用全局数据库名方便进行区分由数据库名db_name和数据库域名db_domain两个初始化参数标识全局数据库名全局数据库名在监听程序配置文件listener.ora中表示为GLOBAL_DBNAMEGLOBAL_DBNAME标示全局数据库名格式为：数据库名.数据库域名网络连接配置与系统安全概述第8页

需要为每一个数据库例程配置监听信息才能接收到来自客户机请求

6.服务器监听程序配置监听程序配置信息包含监听协议地址支持服务信息控制服务器进程运行特征参数监听程序配置不妥或没有开启监听进程时，客户计算机将不能连接到Oracle服务器网络连接配置与系统安全概述第9页7.OracleNet客户端配置需要为客户端应用程序配置连接到服务器端Oracle数据库服务方法当地Net服务名（主机字符串）是一个描述符，描述了要连接Oracle服务器和其中Oracle数据库例程经典配置是在客户计算机中建立保留“当地Net服务名”文件。客户机端OracleNet经过该文件来解析Oracle网络服务信息网络连接配置与系统安全概述第10页7.OracleNet客户端配置主要关键字ADDRESS:采取网络协议和目标主机地址、监听端口SERVICE_NAME:目标服务器中数据库例程名称普通对应listener.ora中GLOBAL_DBNAMESERVER：服务器进程工作模式SERVER=DEDICATED，专用服务器模式SERVER=SHARED，共享服务器模式ORACLE_HOME\NETWORK\ADMIN\tnsnames.ora可手工配置或用工具完成配置网络连接配置与系统安全概述第11页7.OracleNet客户端配置怎样完成客户端配置提议使用NetConfigurationAssistant完成配置可手工修改配置也可使用应用程序安装程序经过选择服务器、指定数据库名等用程序生成配置文件客户端配置注意事项配置完成后应进行登录连接测试确保配置正确确保操作系统层正确配置了相关通信协议确保配置服务器监听程序监听了要使用通信协议网络连接配置与系统安全概述第12页7.OracleNet客户端配置OracleNet支持命名方法当地命名（TNSNAMES）目录命名（LDAP）主机命名（HOSTNAME）轻松连接命名（EZCONNECT）客户端配置概要文件指定客户机所所要连接服务名解析方法及优先次序（从左至右，左边优先）ORACLE_HOME\NETWORK\ADMIN\sqlnet.ora手工配置网络连接配置与系统安全概述第13页Oracle提供用户、角色、同义词、视图、系统特权与对象权限、概要文件等确保Oracle数据库系统及其中数据安全。3.2系统与对象权限管理数据库系统及其中对象访问权限普通应由数据库系统管理员（DBA）进行统一管理网络连接配置与系统安全概述第14页Oracle数据库用户权限分类对象权限允许用户执行对指定对象（包含表、视图、序列、过程、函数和包）特定操作。如将数据插入到某个表中、允许检索某个表中数据等系统特权允许用户执行特定系统级操作或在特定对象类型上执行特定操作。如创建表空间、创建表等列访问权限限定用户只能在某个表一些列上执行INSERT、UPDATE操作或参考引用（REFERENCES）一些列网络连接配置与系统安全概述第15页1.系统特权CONNECT特权角色用户是权限最低用户。权限以下：Oracle数据库为了简化对系统特权管理，创建了CONNECT、RESOURCE和DBA三个经典特权角色登录到Oracle数据库和修改口令对自己表执行查询、删除、修改和插入查询经过授权其它用户表和视图数据插入、修改、删除经过授权其它用户表创建自己拥有表视图、同义词完成经过授权基于表或用户数据卸载网络连接配置与系统安全概述第16页1.系统特权RESOURCE特权角色除了含有CONNECT特权角色全部权限外，还能够进行以下操作：创建基表、视图、索引、聚簇和序列授予和回收其它用户对其数据库对象存取特权对自己拥有表、索引、聚簇等数据库对象存取活动进行审计DBA特权角色是系统中最高级别特权角色，可执行创建用户、导出系统数据等特权操作网络连接配置与系统安全概述第17页1.系统特权提议用CREATESESSION系统特权代替CONNECT特权角色用CREATETABLE、CREATEPROCEDURE、CREATETRIGGER等详细系统特权来代替RESOURCE特权角色用SYSOPER和SYSDBA代替DBA特权角色慎用DBA特权角色网络连接配置与系统安全概述第18页1.系统特权SYSDBA是系统中级别最高权限拥有STARTUP，SHUTDOWN，ALTERDATABASE，CREATEDATABASE，CREATESPFILE，ARCHIVELOG，RECOVERY和RESTRICTEDSESSION等系统特权该特权身份登录系统时实际上相当于以SYS用户登录数据库系统特权大多以CREATE、ALTER、DROP、SELECT、INSERT、UPDATE、DELETE等DDL或DML语句字眼开头，代表用户能在系统中执行操作网络连接配置与系统安全概述第19页1.系统特权SYSOPER能执行STARTUP，SHUTDOWN，CREATESPFILE，ALTERDATABASEOPEN/MOUNT/BACKUP，ARCHIVELOG和RECOVERY，RESTRICTEDSESSION等系统特权操作DBA身份用户能够访问DBA_SYS_PRIVS视图查看授予用户系统特权信息普通用户能够访问用户视图USER_SYS_PRIVS查看自己取得系统特权例3.1

查看用户含有系统特权。EXA_03_01.SQL

网络连接配置与系统安全概述第20页2.对象权限共有9种对象权限插入（INSERT）删除（DELETE）更新（UPDATE）选择（SELECT）修改（ALTER）运行（EXECUTE）参考引用（REFERENCE）索引（INDEX）读（READ）/写（WRITE）Oracle提供针对性对象存取控制权限创建对象用户拥有该对象全部对象权限，无需为对象拥有者授予对象权限网络连接配置与系统安全概述第21页2.对象权限表访问权限ALTER：修改表定义DELETE：删除表数据INDEX：为表创建索引INSERT：对表进行插入SELECT：查询UPDATE：修改数据REFERENCE：参考表中数据视图访问权限SELECT：查询视图数据INSERT：经过视图向基表插入数据UPDATE：经过视图对基表数据进行修改DELETE：经过视图删除基表数据网络连接配置与系统安全概述第22页2.对象权限同义词访问权限：同其对应对象存放过程/函数/包/类型访问权限EXECUTE：允许执行(或访问)序列访问权限ALTER：修改序列定义SELECT：使用序列序列值目录访问权限READ：允许读取目录WRITE：允许在目录中创建文件、写入数据网络连接配置与系统安全概述第23页3.数据库系统特权授予与回收WITHADMINOPTION：允许得到权限用户将权限转授其它用户PUBLIC：表示系统中全部用户（用于简化授权）授予系统特权语法以下：GRANT{system_privilege|role}TO{user|role|PUBLIC}[WITHADMINOPTION];对不一样职责用户，应授予不一样权限只有DBA才能够将系统特权授予某个用户网络连接配置与系统安全概述第24页3.数据库系统特权授予与回收当系统特权使用WITHADMINOPTION选项传递给其它用户时，收回原始用户系统特权将不会产生级联效应（回收传递授予用户权限）回收系统特权语法以下：REVOKE{system_privilege|role}FROM{user|role|PUBLIC};系统特权应逐一用户检验和管理例3.2数据库系统特权授予与回收。EXA_03_02.SQL网络连接配置与系统安全概述第25页4.对象权限授予与回收WITHADMINOPTION：允许得到权限用户将权限转授其它用户PUBLIC：表示系统中全部用户（用于简化授权）对象权限授权语法以下：GRANT{object_privilege|ALL}[(column_list)]ONschema.objectTO{user|role|PUBLIC}WITHGRANTOPTION;应只对确实需要该对象访问权限用户授权只授予必须权限，有必要限制ALL使用使用对象属主名前缀标识其它用户对象

用户名.对象名网络连接配置与系统安全概述第26页4.对象权限授予与回收CASCADECONSTRAINTS表示级联删除对象上存在参考完整性约束当对象权限使用WITHGRANTOPTION传递给其它用户时，收回原始用户对象权限将会产生级联效应，其它用户对象访问权限会被一并收回。数据库对象权限回收语法以下：REVOKE{object_privilege|ALL}ONschema.objectFROM{user|role|PUBLIC}[CASCADECONSTRAINTS];例3.3对象访问权限授予与回收。EXA_03_03.SQL网络连接配置与系统安全概述第27页5.列访问权限只有INSERT、UPDATE和REFERENCES作为列访问权限能够在列级授予数据字典USER_COL_PRIVS_MADE：授予其它用户列权限USER_COL_PRIVS_RECD：取得列权限例3.4列访问权限授予与查看。EXA_03_04.SQL网络连接配置与系统安全概述第28页方案(Schema)是数据库对象(如表、视图、序列等)逻辑组织。3.3用户与角色普通情况下，一个应用(如库存管理)对应一个方案。需要为一个应用创建一个数据库用户，并在该用户下创建这个应用各种数据库对象角色是一组相关权限集合，可简化权限管理网络连接配置与系统安全概述第29页1.配置身份验证对于普通用户Oracle采取基于数据库身份验证方法在数据字典中记载用户名、口令等信息SYS用户身份及SYSDBA、SYSOPER系统特权用户权限很大，可能对数据库进行破坏性操作有必要针对以DBA身份连接用户设计专门身份验证方法网络连接配置与系统安全概述第30页1.配置身份验证DBA用户身份验证方法使用操作系统集成身份验证经过Oracle口令文件进行验证初始化参数remote_login_passwordfileNONE：忽略口令文件，经过操作系统进行身份验证EXCLUSIVE：将使用数据库口令文件对每个含有权限用户进行验证SHARED：多个数据库将共享SYS和INTERNAL口令文件用户默认值:NONE网络连接配置与系统安全概述第31页1.配置身份验证经过操作系统验证DBA用户初始化参数remote_login_passwordfile=NONEORACLE_HOME\NETWORK\ADMIN\sqlnet.oraSQLNET.AUTHENTICATION_SERVICES=(NTS)在Windows中建立ORA_DBA用户组将某个操作系统用户加入该组和WindowsAdministrators组以该用户登录操作系统，以SYSDBA身份连接Oracle数据库时，不再需要验证SYS用户口令网络连接配置与系统安全概述第32页1.配置身份验证使用Oracle口令文件验证DBA用户初始化参数remote_login_passwordfile=EXCLUSIVE/SHAREDORACLE_HOME\NETWORK\ADMIN\sqlnet.ora

注释掉SQLNET.AUTHENTICATION_SERVICES=(NTS)用orapwd创建口令文件orapwdfile=filenamepassword=passwordentries=max_users为口令文件增加DBA特权用户GRANT{SYSDBA|SYSOPER}TOuser_name;从口令文件中删除特权用户REVOKE{SYSDBA|SYSOPER}FROMuser_name;查看口令文件中用户SELECT*FROMv_$pwfile_users;网络连接配置与系统安全概述第33页2.创建与管理用户用户管理应该考虑问题身份验证方式默认表空间暂时表空间表空间限额资源与口令限制(概要文件)账户状态操作权限等创建用户操作普通由DBA完成用户创建完成后不具备任何权限，也不能连接数据库，需由DBA为其授予相关权限网络连接配置与系统安全概述第34页2.创建与管理用户创建用户语法CREATEUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACEtablespace][TEMPORARYTABLESPACEtablespace][QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];删除用户语法DROPUSERuser[CASCADE];CASCADE表示级联删除该用户所属方案对象网络连接配置与系统安全概述第35页2.创建与管理用户修改用户语法ALTERUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE][QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];例3.5用户及权限管理。EXA_03_05.SQL网络连接配置与系统安全概述第36页3.角色管理角色使用步骤(1)由DBA创建角色(2)为角色授予对应系统特权和对象权限(3)将角色授予相关数据库用户默认表空间可将多个角色授予同一个Oracle数据库用户创建角色语法CREATEROLErole[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];删除角色语法DROPROLErole;网络连接配置与系统安全概述第37页3.角色管理角色应被授予需要系统特权、对象权限在创建Oracle数据库时，Oracle会创建预定义角色并给它们授予相关系统特权和对象权限例3.6采取角色改进学生试验用户权限管理工作。EXA_03_06.SQL网络连接配置与系统安全概述第38页对用户资源占用和口令使用进行限制有其现实必要性限制用户连接时间和CPU占用时间有效预防口令被破解3.4概要文件(Profile)概要文件是一个命名资源限制集合，描述怎样使用系统资源。主要包含两方面内容管理数据库系统资源管理数据库口令使用及验证方式系统提供一个默认概要文件(DEFAULT)网络连接配置与系统安全概述第39页1.创建概要文件创建概要文件语法CREATEPROFILEprofileLIMIT[{SESSIONS_PER_USER|CPU_PER_SESSION|CPU_PER_CALL|CONNECT_TIME|IDLE_TIME|LOGICAL_READS_PER_SESSION|LOGICAL_READS_PER_CALL|COMPOSITE_LIMIT}{n|UNLIMITED|DEFAULT}|PRIVATE_SGA{n{K|M}|UNLIMITED|DEFAULT}|{FAILED_LOGIN_ATTEMPTS|PASSWORD_LOCK_TIME|PASSWORD_GRACE_TIME|PASSWORD_LIFE_TIME|PASSWORD_REUSE_MAX|PASSWORD_REUSE_TIME}{n|UNLIMITED|DEFAULT}|PASSWORD_VERIFY_FUNCTION[function_name|NULL|DEFAULT]];网络连接配置与系统安全概述第40页删除概要文件DROPPROFILEprofile;1.创建概要文件例3.7