教学材料《Oracle数据库》-项目八 数据库的安全管理

知识目标掌握利用OEM管理用户、角色、概要文件的方式01.02.掌握利用命令管理用户、角色、概要文件的方式能力目标会利用OEM管理用户、角色、概要文件01.02.会利用命令行管理用户、角色、概要文件任务1用户管理010203创建用户查看、修改用户删除用户创建用户0102OEM方式创建用户命令行方式创建用户删除用户任务1用户管理-01创建用户01OEM方式创建用户任务1用户管理-01创建用户任务：使用OEM方式创建数据库用户“guming”，概要文件为DEFAULT，并指定口令为guming，默认表空间和临时表空间都按照默认，设置该用户使用表空间的限额为“无限制”。02任务1用户管理-01创建用户命令行方式创建用户基本语法CREATEUSER用户名IDENTIFIEDBY口令[DEFAULTTABLESPACE默认表空间名][TEMPORARYTABLESPACE默认的临时表空间名][QUOTA[integerK[M]][UNLIMITED]]ON表空间名[PROFILES概要文件名][PASSWORDEXPIRE][ACCOUNTLOCKorACCOUNTUNLOCK]02任务1用户管理-01创建用户命令行方式创建用户操作步骤如下1)首先具有DBA权限的用户连接数据库，这里选择systemconnsystem/orcl76ORCL2)之后使用SQL语句方式创建数据库用户“lilin”createuserlilinidentifiedbylinlin任务：使用SQL语句方式创建数据库用户“lilin”，口令为“lilin”，概要文件为DEFAULT，默认表空间和临时表空间都按照默认，设置该用户使用表空间的限额为默认“无限制”。查看、修改用户0102OEM方式查看、修改用户命令行方式查看、修改用户删除用户任务1用户管理-02查看、修改用户01OEM方式查看、修改用户任务1用户管理-01查看、修改用户方法1：在OEM中的服务器选项卡中找到安全性，然后点击用户，在此界面中可以输入用户名进行搜索，搜到之后点击查看。方法2“”也可以直接在用户中点击用户进行查看任务：在OEM中查看所有用户02命令行方式查看、修改用户任务1用户管理-01查看、修改用户1）先查看dba_users的参数信息descdba_users任务：利用数据字典dba_users查看用户。2）DBA_USERS视图提供用户的信息，使用selectusernamefromdba_users命令查询系统所有用户，当然也可以看到刚创建的用户lilin和guming03命令行方式修改用户删除用户任务1用户管理-01查看、修改用户基本语法ALTERUSER用户名[IDENTIFIEDBY]口令[DEFAULTTABLESPACE默认表空间名][TEMPORARYTABLESPACE默认的临时表空间名][QUOTA[integerK[M]][UNLIMITED]]ON表空间名[PROFILES概要文件名][PASSWORDEXPIRE][ACCOUNTLOCKorACCOUNTUNLOCK]删除用户0102OEM方式删除用户命令行方式删除用户删除用户任务1用户管理-03删除用户01OEM方式删除用户删除用户任务1用户管理-03删除用户02命令方式删除用户删除用户任务1用户管理-03删除用户语法：dropuser用户名[cascade]任务2权限管理010203授予用户系统权限回收用户系统权限授予用户对象权限04回收用户对象权限系统级权限sysprivileges对象级权限objectprivileges一类是数据库级别的某种操作能力;一类是对数据库某一类对象的操作能力指在表、视图、序列、过程、函数或包等对象上执行特殊动作的权利。.01020102任务2权限管理01任务2权限管理-01授予用户系统权限命令行方式授予用户系统权限操作步骤如下1）使用系统管理员用户和密码连接数据库。connsystem/password;2)授予lilin用户CREATESESSION系统权限grantcreatesessiontolilin;3）lilin登录数据库connlilin/password;4)查看lili此时的系统权限，使用数据字典视图user_sys_privs。select*fromuser_sys_privs;5)查看lilin此时的对象权限，使用数据字典视图user_tab_privs。select*fromuser_tab_privs;任务：我们就授予用户lilin可以登录数据库的权限，并查看lilin这个用户此时的系统权限和对象权限1、授权命令：grant权限1,权限2,……to用户名1[,用户名2]..|role|PUBLIC.[withadminoption][withadminoption]：可选项表示允许权限的获得者再将权限授予其他用户。PUBLIC所有用户2、查看用户自己的系统权限select*fromuser_sys_privs;.3、查看用户自己的对象权限select*fromuser_tab_privs;.任务2权限管理-01授予用户系统权限的说明01任务2权限管理-01授予用户系统权限命令行方式授予用户系统权限操作步骤如下1）grantcreatetabletogumingwithadminoption;2）切换用户为guming：connguming/guming3）为zhuhua授权：grantcreatetabletozhuhua；4）切换用户为zhuhua：connzhuhua/zhuhua;5）查看zhuhua此时的系统权限select*fromuser_sys_privs;6）验证zhuhua是否具有创建表的系统权限任务：赋予guming有创建表的系统权，并且guming还可以将此权利授予其他用户。02任务2权限管理-01授予用户系统权限OEM方式授予系统权操作步骤如下1）grantcreatetabletogumingwithadminoption;2）切换用户为guming：connguming/guming3）为zhuhua授权：grantcreatetabletozhuhua；4）切换用户为zhuhua：connzhuhua/zhuhua;5）查看zhuhua此时的系统权限select*fromuser_sys_privs;6）验证zhuhua是否具有创建表的系统权限任务：在Oracle的企业管理器中新创建一个用户wubo，并赋予他一定的系统权限。01任务2权限管理-02回收用户系统权限命令行方式回收用户系统权限任务：回收guming用户创建表的系统权限。系统权限回收：只能由具有DBA角色的用户回收，比如SYS用户和SYSTEM用户。命令格式如下：revoke权限1,权限2,……from用户名1[,用户名2]...revokecreatetablefromguming;任务：查看用户zhuhua是否具有创建表格的系统权限。1）使用zhuhua连接数据库。CONNzhuhua/zhuhua;2）查看其被guming授予的系统权限createtable是否还拥有。select*fromuser_sys_privs;02任务2权限管理-02回收用户系统权限OEM方式回收用户系统权限任务：在Oracle的企业管理器中回收zhuhua用户创建表的系统权限。01任务2权限管理-03授予用户对象权限命令行方式授予用户对象权限授予对象授权的命令

GRANTobject_priv｜ALL[(columns)]ONobjectTO{user|role|PUBLIC}[WITHGRANTOPTION];ALL：所有对象权限

PUBLIC：授给所有的用户

WITHGRANTOPTION：允许用户再次给其它用户授权01任务2权限管理-03授予用户对象权限命令行方式授予用户对象权限任务：授予guming有查看SCOTT用户dept表的对象权限。操作步骤如下1）SQL>grantselectonscott.depttoguming;2）SQL>connguming/guming3）SQL>select*fromscott.dept;01任务2权限管理-03授予用户对象权限命令行方式授予用户对象权限任务：授予wubo有对SCOTT用户dept表的所有对象权限，并且wubo可以将这些对象权限授予其他用户grantallonscott.depttowubowithgrantoption;02任务2权限管理-03授予用户对象权限OEM方式授予用户对象权限任务：授予用户lilin对SCOTT用户dept表的所有对象权限，并且其可以将这些对象权限用户授予给其他用户。01任务2权限管理-04回收用户对象权限命令行方式回收用户系统权限回收用户对象权限语法命令是

REVOTEobject_priv｜ALL[(columns)]ONobjectFROM{user|role|PUBLIC}ALL：所有对象权限

PUBLIC：授给的所有用户任务：回收wubo对SCOTT的dept表的所有权。1）system登录connsystem/orcl76ORCL2)使用revoke命令回收用户wubo的对象权限Revokeallonscott.deptfromwubo;3)查看zhuhua是否还具有这些对象权Select*fromuser_tab_privs;02任务2权限管理-04回收用户对象权限OEM方式回收用户对象权限任务：回收LILIN对SCOTT的dept表的所有权。查询CONNECT、RESOURCE、DBA预定义角色所具有的权限回收角色查询用户角色创建角色、为角色授权、从角色中撤销（回收）已授予的权限或角色、将角色授予用户或其他角色.删除角色.0103050204任务3角色管理01任务3角色管理-01查询CONNECT、RESOURCE、DBA角色所具有的权限查询CONNECT、RESOURCE、DBA角色所具有的权限-命令查看角色所包含的系统权限：select*fromrole_sys_privswhererole='角色名'。查看角色具有的对象权限或是列的权限：通过查询数据字典视图dba_tab_privs。查看CONNECT角色包含的系统权限：select*fromdba_sys_privswheregrantee=’CONNECT’查看RESOURCE角色包含的系统权限：select*fromdba_sys_privswheregrantee=’RESOURCE’查看DBA角色包含的系统权限：select*fromdba_sys_privswheregrantee=’RESOURCE’02查询CONNECT、RESOURCE、DBA角色所具有的权限-OEM01任务3角色管理-02创建角色、为角色授权、从角色中撤销已授予的权限或角色、将角色授予用户或其他角色创建角色createrole角色名称[notidentified|identifiedby密码]notidentified表示无需验证即可使用该角色。identifiedby选项表示在建立这种角色时，需要为其提供口令。与账号类似，角色也需要得到认证后才能使用。任务：创建名为myrole1和myrole2的角色，不需要口令验证Createrolemyrole1notidentified;Createrolemyrole2;02任务3角色管理-02创建角色、为角色授权、从角色中撤销已授予的权限或角色、将角色授予用户或其他角色为角色授权为角色授权的命令如下：grant系统权限|对象权限|角色to角色名[withadminoption];任务：为myrole1授予查看、更新Scott用户中dept表的权限。代码如下：grantselect,updateonscott.depttomyrole1或者分别写如下：grantselectonscott.depttomyrole1；grantupdateonscott.depttomyrole1；但不能这样写grantselectonscott.dept,updateonscott.depttomyrole102任务3角色管理-02创建角色、为角色授权、从角色中撤销已授予的权限或角色、将角色授予用户或其他角色为角色授权任务：为myrole2授予CONNECT、createtable、createview权限。grantCONNECT,createtable、createviewtomyrole2;任务：从角色myrole2中撤销已经授予的createview系统权限。revokecreateviewfrommyrole2;03任务3角色管理-02创建角色、为角色授权、从角色中撤销已授予的权限或角色、将角色授予用户或其他角色从角色中撤销已授予的权限或角色语法如下：Revoke权限from角色名任务：从角色myrole2中撤销已经授予的createview系统权限。revokecreateviewfrommyrole2;04任务3角色管理-02创建角色、为角色授权、从角色中撤销已授予的权限或角色、将角色授予用户或其他角色将角色授予用户或其他角色语法如下：Grant角色名to用户名列表[角色名列表][withadminoption];任务：将CONNECT、myrole1角色授予用户lilin。GrantCONNECT,myrole1tolilin;任务：将RESOURCE、myrole2角色授予用户guming。代码如下：GrantRESOURCE,myrole2toguming;任务3角色管理-03回收角色将角色授予用户或其他角色语法如下：revoke角色列表from用户列表任务：回收lilin的所有角色。revokeCONNECT、myrole1fromlilin;任务3角色管理-04删除角色将角色授予用户或其他角色语法如下：droprole角色名;任务：删除myrole1，myrole2角色。droprolemyrole1,myrole2;任务3角色管理-05查询角色将角色授予用户或其他角色任务：在数据字典DBA_ROLE_PRIVS中查询SYSTEM用户的角色Select*fromDBA_ROLE_PRIVSwheregrantee=’SYSTEM’任务4概要文件管理010203创建概要文件修改概要文件删除概要文件01任务4概要文件管理概要文件所谓概要文件，就是一份描述如何使用系统资源(主要是CPU资源)的配置文件1）密码的管理：密码有效期、密码复杂度验证、密码使用历史和账号锁定2）资源的管理：CPU的时间、I/O的使用、IDLETIME（空闲时间）、CONNECTTIME（连接时间）、可以使用的内存空间以及并发会话数量。02概要文件的内容01任务4概要文件管理-01创建概要文件使用企业管理器创建概要文件任务：OEM中创建一个概要文件PROFILE_PSW2，具体要求如下。1) 在账户被锁定之前可以尝试登录失败的次数是3次。2) 在尝试登录指定的次数失败之后，账户会被锁定3天。3) 口令的生命周期是30天。4) 一个口令要在作废5天之后才可以被重用5) 当口令过期之后有3天可以使用原口令登录的宽免期。createprofileprofile_namelimit{resource_parameters|password_parameters};【语法说明】resource_parameters是各种资源限定，password_parameters是口令的限定。02在SQL*Plus中创建概要文件任务4概要文件管理-01创建概要文件A、利用概要文件进行资源管理02在SQL*Plus中创建概要文件任务：创建一个资源限制的概要文件profile_res1CREATEPROFILEPROFILE__RES1LIMITSESSIONS_PER_USER8CPU_PER_SESSION16800LOGICAL_READS_PER_SESSION23688CONNECT_TIME268IDLE_TIME38第1行：创