oracle第11章安全管理.ppt

《oracle第11章安全管理.ppt》由会员分享，可在线阅读，更多相关《oracle第11章安全管理.ppt（49页珍藏版）》请在三一办公上搜索。

1、第11章 安全管理,主要内容,数据库的安全性用户管理权限管理角色管理概要文件管理,本章要求,了解Oracle数据库安全机制掌握用户管理掌握权限管理掌握角色管理了解概要文件的作用及其应用,11.1 数据库安全性概述,数据库的安全性含义防止非法用户对数据库的访问 防止用户的非法操作Oracle数据安全控制机制 用户管理 权限管理 角色管理 表空间设置和配额 用户资源限制 数据库审计,11.2 Oracle数据库安全性管理,用户管理权限管理角色管理概要文件管理,用户管理,数据库初始用户用户属性用户的创建、修改、删除、查询,数据库初始用户,SYS数据库中具有最高权限的DBA，可以启动、修改和关 闭数据

2、库，拥有数据字典SYSTEM一个辅助的DBA，不能启动和关闭数据库，但可以进行其他一些管理工作SCOTT口令tiger，用于测试网络的连接PUBLIC用户组为数据库中所有用户设定必需的对象权限和系统权限,用户属性,认证方式数据库身份认证 外部身份认证 全局身份认证默认表空间DEFAULT TABLESPACE临时表空间TEMPORARY TABLESPACE,表空间配额QUOTA ON 概要文件限制用户对数据库系统资源的使用设置用户的口令管理策略账户状态是否过期是否锁定,基本语法CREATE USER user_name IDENTIFIED BY password|EXTERNALLY|GL

3、OBALLY AS external_name DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE temp_tablespace_name QUOTA n K|M|UNLIMITED ON tablespace_name PROFILE profile_name PASSWORD EXPIRE ACCOUNT LOCK|UNLOCK,11.2.2.创建用户,注意新创建的用户并不能直接连接到数据库中，因为它不具有CREATE SESSION系统权限，因此，在新建数据库用户后，通常需要使用GRANT语句为用户授予CREATE SESSI

4、ON权限,用户表空间的设置,缺省表空间 DEFAULT TABLESPACE tablename 临时表空间 TEMPORARY TABLESPACE tempname配额限制用户所能使用的存储空间的大小。默认情况下，新建用户在任何表空间都不具任何配额 QUOTA ON tablename用户在临时表空间中不需要配额，在临时表空间中创建的所有临时段都属于SYS模式,CREATE USER test IDENTIFIED BY pwd DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 5M ON USERS;,创建用户示例,基本语法

5、ALTER USER user_name IDENTIFIED BY password|EXTERNALLY|GLOBALLY AS external_name DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE temp_tablespace_name QUOTA n K|M|UNLIMITED ON tablespace_name PROFILE profile_name DEFAULT ROLE role_list|ALL EXCEPT role_list|NONE PASSWORD EXPIRE ACCOUNT LOCK|UN

6、LOCK,修改用户,ALTER USER test DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 10M ON USERS;,修改用户示例,用户的锁定与解锁,锁定用户某个用户暂时离开工作 某个用户永久离开工作DBA创建的特殊用户帐户 ALTER USER test ACCOUNT LOCK;解锁用户 ALTER USER test ACCOUNT UNLOCK;,删除用户,基本语法DROP USER user_name CASCADE;步骤先删除用户所拥有的对象再删除用户将参照该用户对象的其他数据库对象标志为INVALID,A

7、LL_USERSDBA_USERSUSER_USERSDBA_TS_QUOTASUSER_TA_QUOTASV$SESSIONV$OPEN_CURSOR,查询用户,11.3 权限管理,权限管理概述系统权限的授予与回收对象权限的授予与回收查询权限信息,权限管理概述,所谓权限就是执行特定类型SQL命令或访问其他用户的对象的权利。Oracle中用户权限的分类系统权限在数据库级别执行某种操作的权限，或针对某一类对象执行某种操作的权限。对象权限对某个特定的数据库对象执行某种操作的权限 获取途径的权限直接授权间接授权,系统权限管理,系统权限分类对数据库某一类对象的操作能力，通常带有ANY关键字数据库级别的

8、某种操作能力系统权限的授予语法结构：GRANT sys_list|role_list|PUBLIC WITH ADMIN OPTION;示例：为PUBLIC用户组授予CREATE SESSION系统权限 GRANT CREATE SESSION TO PUBLIC;,系统权限授予时需要注意的几点：只有DBA才应当拥有ALTER DATABASE 系统权限。应用程序开发者一般需要拥有CREATE TABLE、CREATE VIEW和CREATE INDEX等系统权限。普通用户一般只具有CREATE SESSION系统权限。只有授权时带有WITH ADMIN OPTION子句时，用户才可以将获得的

9、系统权限再授予其他用户，即系统权限的传递性。,系统权限的回收语法结构 REVOKE sys_priv_list FROM user_list|role_list;注意事项多个管理员者授予用户同一个系统权限后，其中一个管理员回收其授予该用户的系统权限时，该用户不再拥有该系统权限。为了回收用户系统权限的传递性（授权时使用了WITH ADMIN OPTION子句），必须先回收其系统权限，然后再授予其相应的系统权限。如果一个用户获得的系统权限具有传递性（授权时使用了WITH ADMIN OPTION子句），并且给其他用户授权，那么该用户系统权限被回收后，其他用户的系统权限并不受影响。,对象权限分类对象

10、权限的授权语法结构 GRANT obj_priv_list|ALL ON schema.object TO user_list|role_list WITH GRANT OPTION示例：将scott模式下的emp表的SELECT、UPDATE、INSERT权限授予user1用户。GRANT SELECT,INSERT,UPDATE ON scott.emp TO user1;,11.3对象权限管理,对象权限的回收语法结构 REVOKE obj_priv_list|ALL ON schema.object FROM user_list|role_list;需要注意的几点多个管理员者授予用户同一

11、个对对象权限后，其中一个管理员回收其授予该用户的对象权限时，不影响该用户从其他管理员处获得的对象权限。为了回收用户对象权限的传递性（授权时使用了WITH GRANT OPTION子句），必须先回收其对象权限，然后再授予其相应的对象权限。如果一个用户获得的对象权限具有传递性（授权时使用了WITH GRANT OPTION子句），并且给其他用户授权，那么该用户的对象权限被回收后，其他用户的对象权限也被回收。,WITH ADMIN OPTION选项,当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。当甲用户收回乙用户

12、的权限后，乙用户曾经授给丙用户的权限仍然存在,WITH ADMIN OPTION,DBA,GRANT,REVOKE,Jeff,Emi,Jeff,Emi,DBA,WITH GRANT OPTION选项,当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限也被回收。,GRANT,REVOKE,WITH GRANT OPTION,Bob,Jeff,Emi,Emi,Jeff,Bob,查询权限信息,DBA_TAB_PRIVS：包含数据库所有对象的授权信息ALL_TAB_

13、PRIVS：包含数据库所有用户和PUBLIC用户组的对象授权信息USER_TAB_PRIVS：包含当前用户对象的授权信息DBA_COL_PRIVS：包含所有字段已授予的对象权限ALL_COL_PRIVS：包含所有字段已授予的对象权限信息USER_COL_PRIVS：包含当前用户所有字段已授予的对象权限信息。DBA_SYS_PRIVS：包含授予用户或角色的系统权限信息USER_SYS_PRIVS：包含授予当前用户的系统权限信。,11.4角色管理,角色概述角色的分类 数据库系统预定义角色 用户自定义角色角色的管理定义、授权、修改、生效与失效、删除、查询利用角色对用户间接授权,11.4.1 Orac

14、le角色概术,角色的概念所谓角色就是一系列相关权限的集合,角色类型,系统预定义角色用户自定义角色,11.4.3 自定义角色,创建角色语法结构 CREATE ROLE role_name NOT IDENTIFIED IDENTIFIED BY password 示例 CREATE ROLE high_manager_role CREATE ROLE middle_manager_role IDENTIFIED BY middlerole;CREATE ROLE low_manager_role IDENTIFIED BY lowrole;,角色权限的授予与回收给角色授予适当的系统权限、对象权限

15、或已有角色。在数据库运行过程中，可以为角色增加权限，也可以回收其权限。示例：GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role;GRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager_role;GRANT CONNECT,RESOURCE,DBA TO high_manager_role;GRANT SELECT,UPDATE,INSERT,DELETE ON scott.emp TO high_manager_role;,修改角色语法结构 ALTER ROLE role

16、_name NOT IDENTIFIED IDENTIFIED BY password；角色的生效与失效所谓角色的失效是指角色暂时不可用。当一个角色生效或失效时，用户从角色中获得的权限也生效或失效。语法结构 SET ROLE role_name IDENTIFIED BY password|ALL EXCEPT role_name|NONE;,删除角色语法结构 DROP ROLE role_name;,给用户或角色授予角色语法结构：GRANT role_list TO user_list|role_list；从用户或角色回收角色语法结构：REVOKE role_list FROM user_l

17、ist|role_list；用户角色的激活或屏蔽激活或屏蔽用户默认角色的语法：ALTER USER user_name DEFAULT ROLE role_name|ALL EXCEPT role_name|NONE；,11.4利用角色进行权限管理,用户角色的激活或屏蔽示例屏蔽用户的所有角色ALTER USER user1 DEFAULT ROLE NONE;激活用户的某些角色ALTER USER user1 DEFAULT ROLE CONNECT,DBA;激活用户的所有角色ALTER USER user1 DEFAULT ROLE ALL;激活除了某个角色外的其他所有角色ALTER USE

18、R user1 DEFAULT ROLE ALL EXCEPT DBA;,查询角色信息,DBA_ROLES：包含数据库中所有角色及其描述。DBA_ROLE_PRIVS：包含为数据库中所有用户和角色授予的角色信息。USER_ROLE_PRIVS：包含为当前用户授予的角色信息。ROLE_ROLE_PRIVS：为角色授予的角色信息。ROLE_SYS_PRIVS：为角色授予的系统权限信息。ROLE_TAB_PRIVS：为角色授予的对象权限信息。SESSION_PRIVS：当前会话所具有的系统权限信息。SESSION_ROLES：当前会话所具有的角色信息。,概要文件的作用限制用户对数据库和系统资源的使用

19、以及进行用户口令管理资源限制级别会话级限制调用级限制资源限制类型CPU使用时间逻辑读每个用户的并发会话数用户连接数据库的空闲时间用户连接数据库的时间私有SQL区和PL/SQL区的使用,11.5概要文件管理,启用或停用资源限制在数据库启动前启用或停用资源限制 将数据库初始化参数文件中的参数RESOURCE_LIMIT的值设置为TRUE或FALSE在数据库启动后启用或停用资源限制使用ALTER SYSTEM语句修改RESOURCE_LIMIT参数值为TRUE或FALSE,概要文件中参数,资源限制参数CPU_PER_SESSIONCPU_PER_CALLCONNECT_TIMEIDLE_TIMESE

20、SSIONS_PER_USERLOGICAL_READS_PER_SESSION LOGICAL_READS_PER_CALLPRIVATE_SGACOMPOSITE_LIMIT,口令管理参数FAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_GRACE_TIME PASSWORD_LIFE_TIMEPASSWORD_REUSE_MAXPASSWORD_REUSE_TIMEPASSWORD_VERIFY_FUNCTION,概要文件管理,创建概要文件语法结构 CREATE PROFILE profile_name LIMIT resource_para

21、meters|password_parameters;示例 CREATE PROFILE res_profile LIMIT SESSIONS_PER_USER 4 CONNECT_TIME 60 IDLE_TIME 20 PRIVATE_SGA 100K CPU_PER_CALL 1000;,将概要文件分配给用户CREATE USER user5 IDENTIFIED BY user4 PROFILE res_profile;ALTER USER user5 PROFILE pwd_profile;修改概要文件语法结构 ALTER PROFILE profile_name LIMIT res

22、ource_parameters|password_parameters;示例 ALTER PROFILE pwd_profile LIMIT PASSWORD_LIFE_TIME 10;,删除概要文件语法结构：DROP PROFILE profile_name CASCADE;示例：DROP PROFILE pwd_profile CASCADE;查询概要文件USER_PASSWORD_LIMITSUSER_RESOURCE_LIMITSDBA_PROFILES,11.6利用OEM进行安全管理,利用 OEM创建一个用户，并给用户授权利用 OEM创建一个角色，并给角色授权利用 OEM创建一个概要文件，并将概要文件指定给用户利用角色为用户授权,11.7小结,数据库的安全性用户管理权限管理角色管理概要文件管理利用OEM进行安全管理,