oracle安全機制(DOC)

1、Oracle 安全機制安全性是評價一個數(shù)據(jù)庫產品的重要指標，直接決定了數(shù)據(jù)庫的優(yōu)劣。Oracle 數(shù)據(jù)庫采用一系列的安全控制機制，以保證數(shù)據(jù)庫的安全性。Oracle 數(shù)據(jù)庫在 3 個層次上采取安全控制機制。（1）系統(tǒng)安全性：在系統(tǒng)級別上控制數(shù) 據(jù)庫的存取和使用機制，包括有效的用戶和口令、判斷用戶是否被授予權限可 以連接數(shù)據(jù)庫、用戶創(chuàng)建數(shù)據(jù)庫對象時可以使用的表空間大小、 用戶的資源限 制、 是否啟動數(shù)據(jù)庫的審計功能、用戶可以進行哪些操作系統(tǒng)等。（2）數(shù)據(jù)安全性：在數(shù)據(jù)庫模式對象級別上控制數(shù)據(jù)庫的存取和使用機制，包括用戶可以 存取的模式對象以及在該對象上可以進行的操作等。用戶要對某個模式對象進 行

2、操作，必須具有該對象相應的對象權限。（3）網絡安全性：oracle 數(shù)據(jù)庫是網絡數(shù)據(jù)庫，因此網絡數(shù)據(jù)庫傳輸?shù)陌踩灾陵P重要，主要包括登陸助手、 目錄管理、標簽安全性等。Oracle 通過分發(fā) Wallet、數(shù)字證書、SSL 安全套接字和數(shù)據(jù)秘鑰等辦法來確保網絡數(shù)據(jù)傳輸?shù)陌踩?。一、系統(tǒng)安全方面采取的安全機制包括用戶管理、資源限制和口令管理、權 限管理、角色管理、審計、利用OEM行安全管理。1、用戶管理用戶是數(shù)據(jù)庫的使用者和管理者，Orcle 數(shù)據(jù)庫通過設置用戶及其安全屬性來控制用戶對數(shù)據(jù)庫的訪問和操作。用戶管理是Oracle 數(shù)據(jù)庫安全管理的核心和基礎。Oracle 數(shù)據(jù)庫中的用戶分為兩類，一

3、類是創(chuàng)建數(shù)據(jù)庫時系統(tǒng)與定義的用 戶，而預定義的用戶根據(jù)作用不同又可以分為三類：1、管理員用戶，2、示例方案用戶，3、內置用戶；另一類是根據(jù)應用需要由DBA 創(chuàng)建的用戶。可以通過查詢數(shù)據(jù)字典視圖dba_users，查看當前數(shù)據(jù)庫中所有用戶信息。如下圖所示顯示 open 的用戶是已經開啟的用戶，顯示expired & locked 的用戶是已經過期或是鎖定的用戶A 0思愿嗚丨夕select usecnaneccouuc st-atuse且from dberi 2A 結果LJ叫本輸出|閏解釋|窮自動SR蹤儷5輔出丨皿辭結果：j USERNAMEJU?LOUHT STAnJS園CREAIED0

4、2-*月TO2 STSOPEUOM月-10d SrSIEMQFEIF倍電月-ioIDESI1MPm月-io5 STSMAHQHir如-月-1Vf) SCG1IOPfH7 OIHI27EIPIEEr t LOCKET02-1 -10W7月-10S fLOHSJILESEITIREDSLLOCKED02-4月-109 MDS7SEniEED LOCKETm月-ioin nwriCv1nirPTwrh TnrITHinAnJR 1 ri1.1用戶屬性 為了防止非授權用戶對數(shù)據(jù)庫進行操作，在創(chuàng)建數(shù)據(jù)庫用戶時，必須使用安全 屬性對用戶進行限制。用戶的安全屬性包括以下幾個方面：用戶名：在同一數(shù)據(jù)庫中，用戶

5、名必須唯一。并且用戶名不能與角色名相 同。用戶身份認證：Oracle數(shù)據(jù)庫采用了多種用戶身份認證方式，例如數(shù)據(jù)庫 身份認證、外部認證、以及全局認證。默認表空間：用戶創(chuàng)建數(shù)據(jù)庫對象時，如果沒有顯示地指出該對象存儲在哪 個表空間，系統(tǒng)會自動將該數(shù)據(jù)庫對象存儲在當前用戶的默認表空間。（表空間：Oracle數(shù)據(jù)庫在邏輯上可以劃分為一系列的區(qū)域，每一個區(qū)域 稱為一個表空間。表空間是Oracle數(shù)據(jù)庫最大的邏輯存儲結構，由一系列 段構成。Oracle數(shù)據(jù)庫對象就是以段的方式從表空間中獲取存儲空間 的。）臨時表：保存臨時數(shù)據(jù)信息的表。表空間配額：表空間配額限制用戶在永久空間中可以使用的存儲空間的大 小。概要

6、文件：從會話級和調用級兩個層次限制用戶對數(shù)據(jù)庫資源的使用，同時 設置用戶的口令管理策略。設置用戶的默認角色：通過設置默認角色，可以禁止或激活用戶所具有的角 色。賬戶狀態(tài)：創(chuàng)建用戶的同時，可以設定用戶的初始狀態(tài)，包括用戶口令是否 過期以及賬戶是否鎖定等1.2創(chuàng)建用戶create usei? chen ident if led by chen default tablespace users tenpopar tablespace temp quota 10n on usersaccount urn lock；User createdv如上圖所示，創(chuàng)建用戶chen采用數(shù)據(jù)庫認證，口令為chen，默

7、認表空間為users該表空間配額為10MB，默認臨時表空間為temp，初始狀態(tài)不鎖定。D:ORACLEprodu如上圖所示，創(chuàng)建用戶如果不授權，該用戶不能做任何操作，即便是連接數(shù)據(jù) 庫。只有給用戶授予了create session系統(tǒng)權限后，用戶才可以連接數(shù)據(jù) 庫。SQL conn sys/sys as svsdha；Connected.QL SFcint create session to clien2 /Grant sujcceeded.SQL conn chen/chenConnected SQL _使用系統(tǒng)管理員登陸，授予用戶chen權限，才能使用戶chen連接數(shù)據(jù)庫。如果口令設置為過

8、期狀態(tài)，即首次連接數(shù)據(jù)庫時需要修改口令。1.3用戶身份認證數(shù)據(jù)庫身份認證 將數(shù)據(jù)庫的用戶名與口令都保存在數(shù)據(jù)庫內部，且口令以 加密方式存儲。當用戶練級數(shù)據(jù)庫時，需要提供用戶名與口令信息，通過數(shù)據(jù) 庫認證后才能登陸。2 3 45外部身份認證 用戶賬戶由oracle數(shù)據(jù)庫管理，但口令管理和身份驗證由外 部服務來完成。全局身份認證 采用oracle數(shù)據(jù)庫的高級安全組件，利用LDAP目錄服務器集 中管理用戶信息。當用戶試圖建立與數(shù)據(jù)庫的連接時，oracle利用網絡中的目錄服務器中的信息對用戶進行身份認證。1.4修改用戶alter user user_name identifiedby password

9、, accountlock|u nlock1.5刪除用戶drop user user name cascade;1.6查詢用戶select username,acc oun t_status , from dba_users;忘記密碼的方法：打開cmd,輸入sqlplus /nolog，回車；輸入“conn / as sysdba”;輸入“alter user sys identified by新密 碼”，注意：新密碼最好以字母開頭，否則可能出現(xiàn)錯誤Ora-00988。有了這個方法后，只要自己對oracle服務器有管理員權限，不記得密碼的時候就可 以隨意修改密碼了。sqlplus /nolog

10、，conn /as sysdba之所以能夠登錄，在于 oracle 登錄時的身份認證方式。oracle 在登錄時，有三種身份認證方式：操作系統(tǒng)身份認證、密碼文件認證、 數(shù)據(jù)庫認證。而 conn /as sysdba是屬于操作系統(tǒng)認證。為什么這樣說呢？你當前電腦開機時登錄的用戶，也就是進入操作系統(tǒng)的用戶，例如是 gooooal ，它在你電腦 的 ora_dba組中。可以在“我的電腦單擊右鍵，找到管理，選擇本地用戶和 組”，發(fā)現(xiàn)有一個組叫ora_dba ，雙擊它，看到成員列表中gooooal ”。 也 就是在 conn /as sysdba ， oracle 會進行操作系統(tǒng)驗證，發(fā)現(xiàn)你當前登錄的用

11、戶就屬 于 ora_dba 組，因此才可以登錄成功。你可以把 ora_dba 組中的“ gooooal 用 戶刪除，再 conn /as sysdba ，就發(fā)現(xiàn)進不去了解決用戶sys任意密碼可以登錄的問題：1、sys是Oracle的一個很特殊的用戶，它只能按sysdba和sysoper身份登 入，也就是說只要按以上兩種身份登入，都是sys用戶，表面上輸入的用戶名 都是無效的。任何其它用戶只能按Normal身份登入。2、sys用戶的合法認證有兩種方式：一是操作系統(tǒng)認證方式，二是數(shù)據(jù)庫口令 認證方式。如果你登入的操作系統(tǒng)是Oracle用戶組，那么直接通過操作系統(tǒng) 認證連接到數(shù)據(jù)庫，沒有必要口令來認

12、證。所以你隨便輸入一個口令都可以 的。2資源限定與口令管理在oracle數(shù)據(jù)庫中，用戶對數(shù)據(jù)庫和系統(tǒng)資源使用的限制以及對用戶口令的管 理是通過概要文件(profile)實現(xiàn)的。概要文件是oracle數(shù)據(jù)庫安全策略的 重要組成部分。每個數(shù)據(jù)庫必須具有一個概要文件。概要文件不是一個物理文 件，而是存儲在sys模式的幾個表中的信息的集合。這些表是在創(chuàng)建數(shù)據(jù)庫運 行sql.bsq腳本時，調用denv.bsq腳本創(chuàng)建的，包括profile$表、profname表、resource_map表、resource_cost表等。2.1資源限制的級別 概要文件通過對一系列資源管理參數(shù)的設置，從會話級和調用級兩個

13、級別對用 戶使用資源進行限制。 會話級資源限制是對用戶在一個會話過程中所能使用的 資源總量進行限制，而調用級資源限制是對一條SQL語句在執(zhí)行過程中所能使 用的資源總量進行限制。2.2資源限制的類型 通過設置通過設置概要文件中的參數(shù)值，可以從下列幾個方面限制用戶對數(shù)據(jù) 庫和系統(tǒng)資源的使用。CPU使用時間：在一個會話或一個調用過程中使用CPU的總量。 邏輯讀：在一個會話或一個調用過程中讀取物理磁盤和邏輯內存數(shù)據(jù)塊的總 量每個用戶的并發(fā)會話數(shù)，即一個用戶最多同時開啟會話的數(shù)量。用戶連接數(shù)據(jù)庫的最長時間。私有SQL區(qū)和PL/SQL區(qū)的總量。2.3啟用或停用資源限制與口令管理ALTER SYSTEM S

14、ET resource_limit=TRUE/FALSE;2.3.1口令管理參數(shù)介紹Oracle數(shù)據(jù)庫概要文件中用于口令管理的參數(shù)包括以下：1FAILED_LOGIN_ATTEMPTS制用戶在登陸oracle數(shù)據(jù)庫允許失敗的次數(shù)2PASSWORD_LOCK_T設定登陸失敗后，賬戶鎖定時間。3PASSWORD_LIFE_TIMES口令的有效天數(shù)。4PASSWORD_GRACE_T用于&定提示口令過期的天數(shù)。5PASSWORD_REUSE_T指定一個用戶口令被修改后，必須經過多少天才可以 重新使用該口令。6PASSWORD_REUSE_M定一個口令被重新使用前，必須經過多少次修改。7PAS

15、SWORD_VERIFY_FUNC設置口令復雜性校驗函數(shù)。2.4創(chuàng)建資源限制的概要文件SQL create profile res_prof ile limit sessidns_per_user 2 connect_tine 60 idle_t ime20priuatejsgfai 100k cpujperecall 1000；Profile created.SQL alter usei* r prof ile res_prof ile:User altered.SQL alter ten set resoujrce_1 irait = true scope =both；System alt

16、ered-SQLsessions寫成了session,還有per寫成了pre)res_profile的概要文件，要求每個用戶最多可以創(chuàng)建 個并發(fā)會話，每個會話持續(xù)時間最長為60mi n,會話的最長連續(xù)空閑時間為20min,每個會話的私有SQL區(qū)為100KB每個SQL語句占用CPU時間總量不超過10s.2將概要文件指定給用戶rfAlter user rf profile res_profile3將資源管理激活一ALTER SYSTEM SET RESOURCE_LIMIT=TRUsCope=both;4如下圖，用戶rf只能創(chuàng)建2個并發(fā)會話，創(chuàng)建第3個時出現(xiàn)錯誤：超出了限定范圍I DtORACLE

17、prodiLiHrtL1.2.0dbhomelBN-5qlplu5,eKeSQL*Plus: RElease 11.2.3,1.0 Frflduction on Tuc Oct 1勺17=19:26暑町呼Copyright 1782 291Oracle All rights resBruadlsEnter usev-name rfEnter password：EHHOR:0Rn-021;sInuitSESSIONS_PEB_USER limitSQLcreate profile pwd_profile limitFailed_log in .attempts 4 password_lock_t

18、ime 10;2.6將概要文件分配給用戶一 一 iCkORA.C LEpraductl DAORACLEproduclll.S QL*P lu-s : Re 1旦日盅1SJL*Flus: ReliBaas 11ight 102：Enter w-scr-inAme s rt EnterEnt Sr ii&er-i-tfl.rae Jr EnterConnected to Oracle IAtabase llg WithtJi Part it ionii:口nnipc上打：Ornclrllgijith the PartitIonin3QLSQL2.5創(chuàng)建口令管理的概要文件(上次不成功的原因

19、，1如圖：創(chuàng)建一個名為SQL a It er- user- vf prof i Le niTka2_pF-olle ；User altered-SQL conn rfZ3: ERROR：ORA-M丄 0 丄 7 :invalidusernanneZpaLSs woi*d rlogondeniedUdm InVou are nap lonffei* connected tDORACLE.QL connrfz3;EflROR:ORfi-01017:inudlid.uis e i n aLnie /pats s uo id :logondeniedSQL connrf/3 ；ERROR=OHft-0

20、1017invalidusemaLine/paLS SwoT-d ；logondeniedSQL can nrf/3 ;ERROR：ORA-Hl017invalidwo中d ；loyondemisdSQL connrfZrf;ERROR：ORA26000: tlie account is locked將該概要文件指定給普通用戶rf,用戶連續(xù)登陸四次失敗，鎖定賬戶，10天后 自動解鎖。SQL canrt sys/s*/s as；Connected.SQL alter user rf account unlock;User altered.SQL conn rF/i*F；Connected SQL

21、用管理員賬號解鎖用戶rf。2.7修改概要文件例子：SQLalter profile pwd_profile limit password_life_time 10;將用戶口令設置有效期為10天例子：SQLdrop profile pwd_profile cascade;刪除概要文件。例子：SQLselect * from dba_profiles order by profile;查詢數(shù)據(jù)庫所有概要文件的參數(shù)設置。3權限管理Oracle數(shù)據(jù)庫使用權限倆控制用戶對數(shù)據(jù)庫的訪問和用戶在數(shù)據(jù)庫中所能執(zhí)行 的操作。用戶在數(shù)據(jù)庫中可以執(zhí)行什么樣的操作，以及可以對哪些對象進行操 作，完全取決于該用戶擁有的

22、權限?？刂芆racle數(shù)據(jù)庫訪問的權限類型有兩種：系統(tǒng)權限system privilege和對象權限Object privilege（方案對象）。系統(tǒng)權限向用戶提供執(zhí)行某一種或某一類型的數(shù)據(jù)庫操作能力，對象權限對某個特定的數(shù)據(jù)庫對象執(zhí)行某種操作權 限，如對表employees的插入、刪除、修改、查詢的權限等。在oracle數(shù)據(jù)庫中給用戶授權可以采用兩種方式：1.利用grant命令直接為 用戶授權。2.現(xiàn)將權限授予角色，然后再將角色授予用戶。3.1系統(tǒng)權限分類在Oracle 11g數(shù)據(jù)庫中，有200多種數(shù)據(jù)庫權限，每種系統(tǒng)權限都為用戶提供 了執(zhí)行某一些或某一類數(shù)據(jù)庫操作的能力。查詢所有系統(tǒng)權限信

23、息的命令如下：SQL select * f ron eystem_privilefife_nap；PRIVILEGE NAMEPROPERTV-3 ALTER SVSTEM-4 AUDIT SVSTEM-5 CREATE SESSION-G ALTER SESSION-7 RESTRICTED SESSION -10 CREATE TABLESPACE -11 ALTER TABLESPACE -12 MANAGETABLESPACE -13 DROP TABLESPACE -15 UNLIMITED TABLESPACE -20 CREATE USERPFIUILEGE NAME系統(tǒng)權限可以

24、分為兩大類： 一類是對數(shù)據(jù)庫某一類對象的操作能力，與具體的數(shù)據(jù)庫對象無關，通常帶 有ANY關鍵字。 例如，CREATE ANY TABI系統(tǒng)權限允許用戶在任何模式中創(chuàng)建 表；SELECT ANYTABL系統(tǒng)權限允許用戶查詢數(shù)據(jù)庫中任何模式中的表和視 圖。另一類系統(tǒng)權限是數(shù)據(jù)庫級別的某種操作能力。例如，CREATE SESSION統(tǒng)權限允許用戶登陸數(shù)據(jù)庫：ALTER SYSTEM統(tǒng)權限允許用戶修改數(shù)據(jù)庫參 數(shù)。使用系統(tǒng)權限的注意事項：Select、Insert、Update、Delete都是對象權限，它們只針對用戶自己模式下 的對象，但如果加了Any關鍵字，針對的就是數(shù)據(jù)庫中所有模式下的對象了。

25、 如果授予用戶系統(tǒng)權限時使用了With Admin Option子句，則被授權的用戶還 可以將相應的權限授予其他用戶。開發(fā)人員一般需要幾個系統(tǒng)權限，其中包括Create Table、Create View和Create type系統(tǒng)權限，以創(chuàng)建支持前臺應用 程序的數(shù)據(jù)庫模式。查詢當前用戶所擁有的系統(tǒng)權限如下：conn i*fZi*f ;Connected.sel&ct * Fr*on session_pi?lus；rRIUILEGECREATE SESSIONCREATE PROFILESQL? _當前登陸用戶被授予的系統(tǒng)權限也可以使用如下命令：SQL select * from:US

26、ERNAMEPRIVILEGEADHBFCREATE SESSIONNOBFCREATE PROFILENO查看當前用戶所擁有的對象權限:PROPERTY還可以授予用戶權限，并且權限具有傳遞性。授予權限同時，在用戶后面加上with adm in opti on數(shù)據(jù)庫管理員可以使用revoke語句回收用戶、角色或public用戶組獲得的系統(tǒng)的權限。例如：selec七 *firom user_tab_privs;A 結果腳本輸出丨 傭蓉|鈞自動S瞬I OEMS輸岀丨.-OWA輸出.GRANTEE岡OTHER|皿TKBLE JHHE| GRAJfTOR | FHIVILEGE GRUTTASLE M

27、LERAKCHT |1RfsconEMP宜匚OTTUPDATE恥ITO2 RfsconEMF比“丁SELECT恥HO3 RFsconEMFSCOTTUEERInoBO查看特定用戶所擁有的系統(tǒng)權限：select * from dba_sys_p rivs where g rantee=1RFTA 結果丄腳本輸出闈網獰J自動跟蹤|BS輪出，J 0WA輸出結果：乞GRAIHEE 9 PRIVILEf也ADWI2J j5PTIOD1 RfCREATE SESSION HO2 RFCREATE PROFILE HO查詢特定用戶所擁有的對象權限:select * from dba_tab_privs wh

28、ere grantee=TRF如圖所示用戶rf，只有創(chuàng)建會話和創(chuàng)建概要文件的權限。3.2系統(tǒng)權限的授權與回收只有DBA用戶才可以擁有ALTER DATABAS系統(tǒng)權限。例子： 為用戶chen授予create table、create sequenee系統(tǒng)權限SQLgr-ant create table,create sequence to chen；Grant succeeded.SQL _用戶獲得權限后，可以在chen模式下創(chuàng)建表和序列了，例如：SQL conn cliEn/clien Connected SQL create table test_cre_tableid numbernam

29、e char；Table created SQL create sequence test_cre_sequence start with 10;Sequence createdSQLSQL conn sys/sys asw 引wdha；Connected.SQL ieuoke create table, create sequence f pom chen:ill GRAHTEElil oinH剛TABLf.HAME.IfOWTOR目FBIVILIGE|j|邨M1AELE咼HIEHARZHT1 RFsconIMPSCOTTUPDATEIBrc2 RfSCOT IIH?SCOTTSELECII

30、K)rc3 RfSCOTTIH?SCOTTIHSERIIKrcA 結果 亠腳本輸出1 F解釋 幻自動跟蹤ll&DBMS輸出3附 輸出結果：Revoke succeeded.h0L _回收用戶系統(tǒng)權限時需要注意以下幾點：1多個管理員授予用戶同一個系統(tǒng)權限后，其中一個管理員回收其授予該用戶 的系統(tǒng)權限，該用戶將不再擁有相應的系統(tǒng)權限。2為了回收用戶系統(tǒng)權限的傳遞性，必須先回收用戶的系統(tǒng)權限，然后再重新 授予其相應的系統(tǒng)權限。3如果一個用戶獲得的系統(tǒng)權限具有傳遞性，并且給其他用戶授權，那么該用 戶系統(tǒng)權限被回收后，其他用戶的系統(tǒng)權限并不受影響。3.3對象權限分類、授權、回收對象權限是指對某個

31、特定模式對象的操作權限。數(shù)據(jù)庫模式對象所有者擁有該 對象的所有對象權限，對象權限的管理實際上是對象所有者對其他用戶操作該 對象的權限管理。對象權限的授予實用grant語句，例如，查看授予用戶對象權限，并查看該權限SQL conn scott/scott；Connected.SQL arant select,Insert,update on scott.enp to rf;Grant succeeded.此時用戶rf就具有對表scott.emp進行查詢、插入和更新的權限了，例如:SQL conin rFZs*FConnected.SQL select * from scut t .einp wh

32、ereEMPNO ENAMEJOBMGR HI REBATESALDEPTlNO776210CLARKMANAGER783909-JUN-B124507839KINGPRESIDENT5000107934MILLERCLEfiK7?B223-JAN-82130010SQL insert into scottBemp values；1 row created.KQL .對象權限的回收，數(shù)據(jù)庫管理員或對象所有者可以使用revoke語句回收用戶、角色或public用戶組獲得的對象權限。COMM查詢select_catalog_role角色所具有的系統(tǒng)權限。SQL conn scott/scott；C

33、onnected.SQLpeyote select update on scott,enp fron chen；Revoke succeeded.QL conn chen/chen；Connected.QL select fron scott-emp where deptnolO；select * ron sco七七.Enip where deptno=10ERROR at line 1:ORA-01031: insufficlent priuliegesSQL和系統(tǒng)權限類似，在進行對象權限回收時應該注意上面類似的三點。4角色管理為了簡化數(shù)據(jù)庫權限的管理，在oracle數(shù)據(jù)庫中引入角色的概念。

34、所謂角色就 是一系列相關權限的集合。可以將要授予相同身份用戶的所有權限先授予角 色，然后再將角色授予用戶，這樣用戶就得到了該角色所具有的所有權限，從 而簡化了權限的管理。4.1角色的特點和優(yōu)點特點：角色名稱在數(shù)據(jù)庫中必須唯一，不能與用戶同名；角色不是模式對象， 刪除創(chuàng)建角色的用戶對角色沒有影響；角色可以包含任何系統(tǒng)權限和對象權 限；角色可以授予任何數(shù)據(jù)庫用戶和其他角色；授予用戶的角色可以隨時禁用 或激活等。優(yōu)點：減少權限管理的工作量；有效的使用權限；提高應用安全性。4.2角色分類預定義角色Oracle數(shù)據(jù)庫創(chuàng)建時由系統(tǒng)自動創(chuàng)建的一些常用的角色，這些角色已經由系統(tǒng) 授予了相應的權限。查詢當前系統(tǒng)

35、中的所有預定義角色：S4L select from dba_roles；ROLEPASSWORD RUTHENTICATCONNECTNONONERESOURCENONONEDBANONONESELECT_GfiTftLOG_ROLENONONEEKECWTE CftTALOQ ROLENOHONEDELETE CftTftLOG_ROLENONONEKP_FVLLJ)ftTftBftSENOHONEIt1P_FULL DATABASENONONELOGTW_ADHI MI STUftTORNOHONEDDF_HOLENONONEA4_ADN1MI STHATORJOLENONONEROLEP

36、ASSWORD AUTHEHTICATSQL select * from dba_sysjprius where gji-ante6 = * RESOURCE1；GRANTEEPRIUILEGEADMRESOURCECREATE TRIGGERNORESOURCECREATE SEQUENCENORESOURCECREATE TYPENORESOURCECREATE FHOCEDURENORESOURCECREATE CLUSTERNORESOURCECREATE OPERATORNORESOURCECRE(HE INDEXTYPENORESOURCECREATE TABLENO魁riows

37、selected.用戶自定義角色Oracle數(shù)據(jù)庫允許用戶自定義角色，并對自定義角色進行權限的授予與回收。 同時允許角色進行修改、刪除、禁用或激活等操作。創(chuàng)建角色使用createrole語句。例子如下：SQL create role role_emp；Role cpelted.SQL create vo le ro le _nanag( (ei ident if ied Jby ro leRole cpeltedgQL cpete i?ole role_externa 1 identif ied by externiilli/;Role createdSQLcreate ro le 1*0 l

38、e_g( (lohal ident if led 9lobally；Role cheated.SQL_創(chuàng)建的幾個角色分別是：一般角色；角色采用數(shù)據(jù)庫認證，激活時需要口令； 激活角色時采用操作系統(tǒng)認證、網絡認證；激活角色時采用目錄服務進行全局 認證。4.3角色權限的授予與回收創(chuàng)建一個角色后，如果不給角色授權，那么角色時沒有用處的。因此，在創(chuàng)建 角色后，需要給角色授權。給角色授權實際上是給角色授予適當?shù)南到y(tǒng)權限、 對象權限或已有角色。在數(shù)據(jù)庫運行時，可以為角色增加權限，也可以回收其 權限。角色權限的授予、回收的過程與用戶權限的授予、回收過程類似。權限授予如下：QL5( (iant connect,

39、 create table create v e w to ro lejlanageu*；Grant succeededSQL grant select updateAinsert lete on scottto vole-emp.-ro le_nanaget*；Grant succeeded *QLgrant select on scott _e( (np to ro lejnanasfep ultli giant dpt ion: grant select on scoct alter role role_eRp identified by pole_emp；Hole altered SQ

40、Lalter role role_manager not identified；Role altered.如上圖所示，為角色role_emp添加認證口令，取消角色role_manager的認證 口令。角色的禁用與激活Set role角色名identified by口令,角色名identified by口令,|allexcept角色名,角色名,|none;注：All:將使會話用戶所有被授予的角色有效。None:將禁用會話用戶所有被授予的角色。iden tified by口令：啟用需要口令的角色時，必須給出口令。刪除口令。如下圖，激活角色role_ma nager.SQL setPOle role

41、_manager identified bj/ role_manager；BoLe set.BQL _刪除角色，如下圖：SQL drop roleTQ1o le dropped.4.4利用角色進行權限管理1給用戶或角色授予角色：如下圖，將預定義用戶resource,co nn ect授予角色role_manager,將角色授予用戶chen.SQL jfiant yeEource,conncut toPOle-manager；Grant succeeded.SQL?role_manager to chen uith admin opt inn;Gran七succeeded.SQL2通過修改角色權

42、限動態(tài)修改用戶權限3從用戶或其他角色回收角色SQL revoke resource,connect fromTOlc_Jianas( (erRevolte succeeded.SQL1*0 le-iiAnaei1f om clien Revoke :succeedsd.4設置用戶默認角色當一個角色授予某一個用戶后，該角色即成為該用戶的默認角色。對于用戶而 言，用戶的默認角色處于激活狀態(tài)，而非默認角色處于禁用狀態(tài)。ALTER USER user DEFAULT ROLE role_list5查詢角色信息查詢用戶chen所具有的角色信息EQLconn chen/cliem；Connected.SQ

43、Lselect fFom usei*_i*ole；USERNAMEGRANTEDJOLEADM DEF OSCHENROLE CHEHVES NO NOEQL上圖是查看當前用戶授予的所有角色信息5審計審計是監(jiān)視和記錄用戶對數(shù)據(jù)庫所進行的操作，以供DBAS行統(tǒng)計和分析。利用審計可以完成下列任務：保證用戶對自己在數(shù)據(jù)庫中的活動負責。禁止用戶在數(shù)據(jù)庫中從事與自己職責不相符的活動。調查數(shù)據(jù)庫中的可疑活動。通知審計員一個未授權用戶在數(shù)據(jù)庫中的活動。監(jiān)視和收集特定數(shù)據(jù)庫活動的數(shù)據(jù)。5.1審計分類語句審計：對特定的SQL語句進行審計，不指定具體對象。權限審計：對特定的系統(tǒng)權限使用情況進行審計。對象審計：對特

44、定的模式對象上執(zhí)行的特定語句進行審計。網絡審計：對網絡協(xié)議錯誤與網絡層內部錯誤進行審計。5.2審計環(huán)境設置使用數(shù)據(jù)庫審計功能，數(shù)據(jù)庫管理員需要對數(shù)據(jù)庫初始化參數(shù)AUDIT_TRAIL 行設置。AUDIT_TRAIL參數(shù)可以取值DB DB EXTENDE DOS XML EXTENDE D NONEDB：默認值，表示啟動審計功能，審計信息寫入SYS.AUD數(shù)據(jù)字典中。DB,EXTENDED與DB相同，審計信息中還包括SQL語句綁定變量信息。OS：表示啟動審計功能，審計信息寫入操作系統(tǒng)文件。XML表示啟動審計功能，審計信息寫入XML格式的操作系統(tǒng)文件中。XML,EXTENDED與XML相同，但審計

45、信息還包含SQL語句綁定變量信息。NONE表示不啟動審計信息。由于初始化參數(shù)audit_trail是靜態(tài)參數(shù)，因此需要重新啟動數(shù)據(jù)庫，例如：SQL alter svstent set audit_tr-ail=JDB1scope lie ;altered.SQL shutdown innediate:Database closed.Database disnounted.ORACLE in&tance shut down SQL startupORA-32004: obsolete or deprecatedspecifiORACLE instance started.Totdl Sy

46、stem Global Apea Eixed Sizearia.ble Size Database Buffers Be do BuifFers D ait abase no unted. Database opened QL -5.3語句審計對特定類型的SQL語句進行審計，與具體的對象沒有關系。包括下列幾種情778337456 bytes1374808btes301991336bytes4697629485259264 bytes況：1可以審計某個用戶或所有用戶的SQL語句；2可以使會話審計或存取審計；3可以對成功執(zhí)行的SQL語句進行審計；4可以對沒有成功執(zhí)行的SQL語句進行 審計；5可以對SQL語句進行審計，無論該語句是否成功執(zhí)行。例如可以通過不同選項組合，形成多種不同的審計：StL conn sys/ys as ssdlba:Connected QL dudit table by scott by access；Riudit succeeded.SQLaudit altei* talile hy hr vjlieneuei successful；Audit succeeded.當用戶scott進行create table ,drop table和truncate table這三種操作時就會產生審計信息，并保存在數(shù)據(jù)字典SYS.AUD