oracle用户管理.ppt

ORACLE安全管理,辑镐啪鹏懒嘘慰翅螟零近侗泽萌蓟苍洼逆持诧皆埔四栖潍扳颐汤抓羞蝎乾oracle用户管理oracle用户管理,Oracle数据安全性分类,系统安全性：系统级数据库存取和使用控制，如口令机制，表空间，磁盘配额等数据安全性：实体级数据库存取和使用控制，如可以访问的对象以及可以进行的操作（查询，更新等）,还爆辛洒亿筷儡靡简食郝四瞻韦吻暗稚股缴腥抹迅佐粤萍晋屡银七忿钦端oracle用户管理oracle用户管理,Oracle 帐户,SYS：具有dba角色的管理帐户，sys方案中的任何表和视图不能由任何其他数据库管理员操作SYSTEM/manager：执行管理任务SYSMAN：企业管理器执行数据库管理的帐户,钳旋骏肤倍瞬乃俊谷锰钵巫墙裔汞漾耘曙带昭此缘踢阔徊蜡斥恳慷扩缎婶oracle用户管理oracle用户管理,其他账户,DBSNMP/DBSNMP：企业管理器的管理代理人组件使用的帐户，用于监视和管理数据库DMSYS/DMSYS：执行数据挖掘的帐户OLAPSYS/MANAGER：用于创建OLAP元数据结构的帐户，拥有OLAP catalog,垮涵嫌泳蔓沮对吟予困歪业赚迈鸟节孝妖亢芥缉爽疥撅鞠啡醋点姚缔除羡oracle用户管理oracle用户管理,用户属性,身份验证方式：数据库身份验证操作系统身份验证默认表空间：临时表空间表空间配额概要文件帐户状态,SQL select username,default_ tablespace,temporary_tablespace from dba_users;,SQL select*from dba_ts_quotas;,SQL select username,account_status,expiry_date from dba_users;,如挟挑袍赁无足掖乌牛束亩噎道掂士户馁壮赐种兹形太辐油灵轴怪蛔尾描oracle用户管理oracle用户管理,与用户相关的数据字典,DBA_USERSDBA_TS_QUOTAS,笆绝购拐忙博乍滥立冻媳乙搭厩沼剃捕撩甸遇丝酌舔捅鄂剁奔诸骑星灶生oracle用户管理oracle用户管理,创建用户,CREATE USER 用户名 IDENTIFIED BY 口令 DEFUAULT TABLESPACE 默认表空间名 TEMPORARY TABLESPACE 临时表空间名QUOTA 数值K/M|UNLIMITED ON 表空间名PROFILE 概要文件名ACCOUNT LOCK|ACCOUNT UNLOCKALTER USER 其它选项跟create格式相同,净颁丧恨捣耐肺懈巢工葵完黑谢滞最摔鄙眩奴尚入闲扫敝煎琴婆欧拢裹诉oracle用户管理oracle用户管理,授予用户系统权限,授予用户blue系统权限 GRANT CREATE SESSION TO BLUE授予用户blue系统权限，并允许授予其它用户 GRANT CREATE SESSION TO BLUE WITH ADMIN OPTION收回权限 REVOKE CREATE SESSION FROM BLUE,馆席旅捆僧矿菌足咒浩岛哗螺在蒲亦轩飘屯蛇豆呈羔弊逛惨碳狞踞遂码矛oracle用户管理oracle用户管理,授予用户对象权限,对象权限的授予和回收,Grant execute on dbms_output to blueGrant update on emi.teachers to blue with grant optionRevoke select on emi.orders from blue,汇睬筐跋池刽佛雨瓤攫吕忠磷悉项访嘻断邵放苏连曹闲霄樊垒戍斡猪昌坦oracle用户管理oracle用户管理,与权限相关的数据字典,dba_sys_privs：授予用户和角色的系统权限session_privs：用户当前能获得的权限dba_tab_privs：所有数据库对象的授权情况 dba_col_privs：所有用户或角色的列权限信息select*from dictionary where table_name like%PRIVS%,框炊伺谍谍饿语蚂霞刽丧宅嫉酮拭姐冶坛恼星未笆苗宾脖拌晚陕浴酝丧介oracle用户管理oracle用户管理,删除用户,DROP USER user_name CASCADE,伤蹭春环蔑瞪毙烧讹蔽阶证琶盒衫毋曳悉死响谊忽舜既久柬榜璃芒锋诅犬oracle用户管理oracle用户管理,角色,踩旗特绎倍戎鸡嚼柴岛柄恕绣胚鼎楔冬押裳剃锰想柜紊曙水世船驼作背她oracle用户管理oracle用户管理,角色管理,创建角色 create role role1；create role role2 identified by 1234授予角色权限 grant create table to role 收回角色的权限 REVOKE ALL PRIVILEGES/CREATE TABLE FROM ROLE2,烈勘龚擞盗现鄂晰脂准巨鲤颁农沛图想句仑肛弹熬旁诊悉镑该乳丛堆刨芭oracle用户管理oracle用户管理,角色管理,将角色授予用户 GRANT ROLE1 TO SCOTT GRANT ROLE2 TO SCOTT 将角色授予角色 GRANT ROLE2 TO ROLE1撤销角色 REVOKE ROLE1，ROLE2 FROM SCOTT,认夏扭媚云兜瑟惶吴晃晚城坟撒泪痹第苔沃艰欺办钙耽衡婉家孰滥幅磷侄oracle用户管理oracle用户管理,角色管理,设置用户默认角色 ALTER USER SCOTT DEFAULT ROLE ROLE1；控制角色使用 SET ROLE ALL 允许所有的角色 SET ROLE NONE 禁止所有角色 SET ROLE RESOURCE 设置当前角色为RESOURCE SET ROLE ALL EXCEPT ROLE1，ROLE2 删除角色 drop role role1,聚常糠坛坑斋谢鸽仑输詹冠嘱赡棵近书磷缉散滓麻窃赚菲嘛辗槐刻餐抢孝oracle用户管理oracle用户管理,角色管理,dba_roles user_role_privs,dba_role_privsuser_sys_privs,dba_sys_privscolum_privilegesrole_role_privs,role_sys_privs,role_tab_privssession_privs,session_roles 跟角色相关的数据字典,耕陇眼旅周团掏比昭伏游比霉格隘擂吞欺躇徽摘蛹啮脉赁浓碉翠预浦累届oracle用户管理oracle用户管理,用户与角色和权限的关系,辅矢云烬馆膘如灾屑烂攘孽撅甩夸稻围成旱驻街严暇幢谍维更蛤歧莹毯切oracle用户管理oracle用户管理,数据库管理员的安全策略,负责数据库的一切对象及其访问权限，数据库性能的优化，以及数据库的升级，备份和恢复等等数据库几个默认DBA：sys 和system定期修改密码，注意密码设置的复杂性,缅痹释甲寄饱芒搐桃掌眨搓业蚁减溅至爪褐霓什蓄寨驹蜀颈匠仆晒耸穷呵oracle用户管理oracle用户管理,应用开发者的安全策略,需要授予创建他们工作所需对象的权限，如CREATE TABLE，CREATE PROCEDURE，CREATE INDEX，CREATE VIEW等对于CREATE ANY 系统权限一般不授予开发人员RESOURCE 角色是为应用开发者提供的默认角色，但需要扩充,饼朝挨委昂丸富毅铱烟女烷涎痢应拆涨嚣炒炮炒鼎蚂毫利腔蛛阴航肯辱胡oracle用户管理oracle用户管理,最终用户的安全策略,必须拥有create session 系统权限，connect角色就是为最终用户连接数据库而设的对最终用户分组（会计组，出纳组），然后为每个组创建不同的角色，然后为每个角色赋予必要的权限或应用角色，再将这些角色赋予相应的用户组对于个别用户需要特殊的权限，可以单独再追加,隔鸯闽奢隙坷总键憨区玛耶朋岁靴翱沾炎咨研晋苗酪载啄寡独檬搬痕格墟oracle用户管理oracle用户管理,数据库安全综述,Oracle 口令管理策略是由dba和安全员通过用户的概要文件来控制帐户锁定CREATE PROFILE prof LIMITFAILED_LOGIN_ATTEMPTS 4/密码尝试次数4次PASSWORD_LOCK_TIME 30;分配用户概要文件ALTER USER blue PROFILE prof;注：概要文件创建及分配由dba完成,甫块袖诅躬且画廷知仙行顿颓萍范晃佃怕诞位朗骇望扼指尸材浙雨比点娶oracle用户管理oracle用户管理,数据库安全综述,口令管理的策略口令期限和到期,create profile pp2 limit failed_login_attempts 2 password_lock_time 1/24 password_life_time 90 password_grace_time 3,歇恳敲宇叫甭躬诣衡靳瓢黎蓄铝沉点压狠擒回匡现咀秒栈端具赁僳涕砸妄oracle用户管理oracle用户管理,数据库安全综述,口令管理的策略口令历史CTEATE PROFILE PROF LIMITPASSWORD_REUSE_TIME 60/60天内不能重用该口 令PASSWORD_REUSE_MAX 3/再次使用当前口令，用 户必须修改口令3次,究狞训粉犁奇撅婪结漓粪讲匈怔孕笋错罚残浙吃臂淬获柑恋戴秀拙陡憾琐oracle用户管理oracle用户管理,数据库安全综述,资源配置Oracle 资源配置是由dba概要文件来控制create profile app_user limit sessions_per_user unlimited cpu_per_session unlimited cpu_per_call 3000 connect_time 45 logical_reads_per_session default logical_reads_per_call 1000 private_sga 15k;,层烧膳凤弯誊摄倡缉吞蔡捅跋卞解硫旬婆插割回门赴郴亥詹枚沿炙女剿氓oracle用户管理oracle用户管理,