oracle第11章安全管理.ppt

《oracle第11章安全管理.ppt》由会员分享，可在线阅读，更多相关《oracle第11章安全管理.ppt（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Oracle 数据库基础教程2009第第11章章 安全管理安全管理Oracle 数据库基础教程2007主要内容主要内容p数据库的安全性p用户管理p权限管理p角色管理p概要文件管理Oracle 数据库基础教程2007本章要求本章要求p了解Oracle数据库安全机制p掌握用户管理p掌握权限管理p掌握角色管理p了解概要文件的作用及其应用Oracle 数据库基础教程200711.1 数据库安全性概述数据库安全性概述p数据库的安全性含义n防止非法用户对数据库的访问防止非法用户对数据库的访问 n防止用户的非法操作防止用户的非法操作pOracle数据安全控制机制 n用户管理用户管理 n权限管理权限管理 n角

2、色管理角色管理 n表空间设置和配额表空间设置和配额 n用户资源限制用户资源限制 n数据库审计数据库审计 Oracle 数据库基础教程200711.2 Oracle数据库安全性管理数据库安全性管理p用户管理p权限管理p角色管理p概要文件管理Oracle 数据库基础教程2007用户管理用户管理p数据库初始用户p用户属性p用户的创建、修改、删除、查询Oracle 数据库基础教程2007数据库初始用户数据库初始用户pSYS数据数据数据数据库库中具有最高中具有最高中具有最高中具有最高权权限的限的限的限的DBADBA，可以启，可以启，可以启，可以启动动、修改和关、修改和关、修改和关、修改和关 闭闭数据数据

3、数据数据库库，拥拥有数据字典有数据字典有数据字典有数据字典pSYSTEM一个一个一个一个辅辅助的助的助的助的DBADBA，不能启，不能启，不能启，不能启动动和关和关和关和关闭闭数据数据数据数据库库，但可以，但可以，但可以，但可以进进行其他一些管理工作行其他一些管理工作行其他一些管理工作行其他一些管理工作pSCOTT口令口令口令口令tigertiger，用于测试网络的连接，用于测试网络的连接，用于测试网络的连接，用于测试网络的连接pPUBLIC用户组为数据库中所有用户设定必需的对象权限和系统权限为数据库中所有用户设定必需的对象权限和系统权限为数据库中所有用户设定必需的对象权限和系统权限为数据库中

4、所有用户设定必需的对象权限和系统权限Oracle 数据库基础教程2007用户属性用户属性p认证方式数据库身份认证数据库身份认证 外部身份认证外部身份认证 全局身份全局身份认证认证p默认表空间nDEFAULT TABLESPACEDEFAULT TABLESPACEp临时表空间TEMPORARY TABLESPACETEMPORARY TABLESPACEOracle 数据库基础教程2007p表空间配额QUOTA ON QUOTA ON p概要文件限制用户对数据库系统资源的使用限制用户对数据库系统资源的使用设置用户的口令管理策略设置用户的口令管理策略p账户状态是否过期是否过期是否锁定是否锁定Or

5、acle 数据库基础教程2007p基本语法CREATE USER user_name IDENTIFIED BY password|EXTERNALLY|GLOBALLY AS external_name DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE temp_tablespace_name QUOTA n K|M|UNLIMITED ON tablespace_name PROFILE profile_name PASSWORD EXPIRE ACCOUNT LOCK|UNLOCK 11.2.2.创建用户创建用户Oracle

6、数据库基础教程2007p注意n新新创创建建的的用用户户并并不不能能直直接接连连接接到到数数据据库库中中，因因为为它它不不具具有有CREATE CREATE SESSIONSESSION系系统统权权限限，因因此此，在在新新建建数数据据库库用用户户后后，通通常常需需要要使使用用GRANTGRANT语语句句为为用用户户授授予予CREATE CREATE SESSIONSESSION权限权限Oracle 数据库基础教程2007用户表空间的设置用户表空间的设置p缺省表空间 nDEFAULT TABLESPACE tablenamep 临时表空间 nTEMPORARY TABLESPACE tempnam

7、ep配额n限制用户所能使用的存储空间的大小。默认情况下，新建用限制用户所能使用的存储空间的大小。默认情况下，新建用户在任何表空间都不具任何配额户在任何表空间都不具任何配额 nQUOTA ON tablenamep用户在临时表空间中不需要配额，在临时表空间中创建的所有临时段都属于SYS模式Oracle 数据库基础教程2007 CREATE USER test IDENTIFIED BY pwd DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 5M ON USERS;创建用户示例创建用户示例Oracle 数据库基础教程2007p基本

8、语法ALTER USER user_name IDENTIFIED BY password|EXTERNALLY|GLOBALLY AS external_name DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE temp_tablespace_name QUOTA n K|M|UNLIMITED ON tablespace_name PROFILE profile_name DEFAULT ROLE role_list|ALL EXCEPT role_list|NONE PASSWORD EXPIRE ACCOUNT LOCK|

9、UNLOCK 修改用户修改用户Oracle 数据库基础教程2007 ALTER USER test DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 10M ON USERS;修改用户示例修改用户示例Oracle 数据库基础教程2007用户的锁定与解锁用户的锁定与解锁p锁定用户n某个用户暂时离开工作某个用户暂时离开工作 n某个用户永久离开工作某个用户永久离开工作nDBA创建的特殊用户帐户创建的特殊用户帐户 ALTER USER test ACCOUNT LOCK;ALTER USER test ACCOUNT LOCK;p解锁用户

10、 ALTER USER test ACCOUNT UNLOCK;ALTER USER test ACCOUNT UNLOCK;Oracle 数据库基础教程2007删除用户删除用户p基本语法nDROP USER user_name CASCADE;p步骤n先删除用户所拥有的对象先删除用户所拥有的对象n再删除用户再删除用户n将参照该用户对象的其他数据库对象标志为将参照该用户对象的其他数据库对象标志为INVALIDOracle 数据库基础教程2007pALL_USERSpDBA_USERSpUSER_USERSpDBA_TS_QUOTASpUSER_TA_QUOTASpV$SESSIONpV$OPE

11、N_CURSOR 查询用户查询用户Oracle 数据库基础教程200711.3 权限管理权限管理p权限管理概述p系统权限的授予与回收p对象权限的授予与回收p查询权限信息Oracle 数据库基础教程2007权限管理概述权限管理概述n所谓权限就是执行特定类型SQL命令或访问其他用户的对象的权利。nOracle中用户权限的分类系统权限系统权限系统权限系统权限在数据库级别执行某种操作的权限，或针对某一类对象执行在数据库级别执行某种操作的权限，或针对某一类对象执行某种操作的权限。某种操作的权限。对象权限对象权限对象权限对象权限对某个特定的数据库对象执行某种操作的权限对某个特定的数据库对象执行某种操作的权

12、限 n获取途径的权限直接授权直接授权直接授权直接授权间接授权间接授权间接授权间接授权Oracle 数据库基础教程2007系统权限管理系统权限管理p系统权限分类对数据库某一类对象的操作能力，通常带有对数据库某一类对象的操作能力，通常带有ANY关键字关键字数据库级别的某种操作能力数据库级别的某种操作能力p系统权限的授予语法结构：语法结构：GRANT sys_list|role_list|PUBLIC WITH ADMIN OPTION;示例：为示例：为PUBLIC用户组授予用户组授予CREATE SESSION系系统权限统权限 GRANT CREATE SESSION TO PUBLIC;Orac

13、le 数据库基础教程2007p系统权限授予时需要注意的几点：只有只有DBA才应当拥有才应当拥有ALTER DATABASE 系统权系统权限。限。应用程序开发者一般需要拥有应用程序开发者一般需要拥有CREATE TABLE、CREATE VIEW和和CREATE INDEX等系统权限。等系统权限。普通用户一般只具有普通用户一般只具有CREATE SESSION系统权限。系统权限。只有授权时带有只有授权时带有WITH ADMIN OPTION子句时，子句时，用户才可以将获得的系统权限再授予其他用户，即系用户才可以将获得的系统权限再授予其他用户，即系统权限的传递性。统权限的传递性。Oracle 数据

14、库基础教程2007p系统权限的回收语法结构语法结构 REVOKE sys_priv_list FROM user_list|role_list;p注意事项多个管理员者授予用户同一个系统权限后，其中一个管理员回收其授多个管理员者授予用户同一个系统权限后，其中一个管理员回收其授予该用户的系统权限时，该用户不再拥有该系统权限。予该用户的系统权限时，该用户不再拥有该系统权限。为了回收用户系统权限的传递性（授权时使用了为了回收用户系统权限的传递性（授权时使用了WITH ADMIN OPTION子句），必须先回收其系统权限，然后再授予其相应的系统子句），必须先回收其系统权限，然后再授予其相应的系统权限。权

15、限。如果一个用户获得的系统权限具有传递性（授权时使用了如果一个用户获得的系统权限具有传递性（授权时使用了WITH ADMIN OPTION子句），并且给其他用户授权，那么该用户系统权子句），并且给其他用户授权，那么该用户系统权限被回收后，其他用户的系统权限并不受影响。限被回收后，其他用户的系统权限并不受影响。Oracle 数据库基础教程2007p对象权限分类p对象权限的授权语法结构语法结构 GRANT obj_priv_list|ALL ON schema.object TO user_list|role_list WITH GRANT OPTION示例：将scott模式下的emp表的SELE

16、CT、UPDATE、INSERT权限授予user1用户。GRANT SELECT,INSERT,UPDATE ON scott.emp TO user1;11.3对象权限管理对象权限管理Oracle 数据库基础教程2007p对象权限的回收语法结构语法结构 REVOKE obj_priv_list|ALL ON schema.object FROM user_list|role_list;p需要注意的几点多个管理员者授予用户同一个对对象权限后，其中一个管多个管理员者授予用户同一个对对象权限后，其中一个管理员回收其授予该用户的对象权限时，不影响该用户从其理员回收其授予该用户的对象权限时，不影响该用

17、户从其他管理员处获得的对象权限。他管理员处获得的对象权限。为了回收用户对象权限的传递性（授权时使用了为了回收用户对象权限的传递性（授权时使用了WITH GRANT OPTION子句），必须先回收其对象权限，然子句），必须先回收其对象权限，然后再授予其相应的对象权限。后再授予其相应的对象权限。如果一个用户获得的对象权限具有传递性（授权时使用了如果一个用户获得的对象权限具有传递性（授权时使用了WITH GRANT OPTION子句），并且给其他用户授权，子句），并且给其他用户授权，那么该用户的对象权限被回收后，其他用户的对象权限也那么该用户的对象权限被回收后，其他用户的对象权限也被回收。被回收。O

18、racle 数据库基础教程2007WITH ADMIN OPTION选项n当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。n当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限仍然存在Oracle 数据库基础教程2007 WITH ADMIN OPTIONWITH ADMIN OPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAOracle 数据库基础教程2007WITH GRANT OPTION选项当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到

19、的权限再授给其他用户丙，或者能回收授出去的权限。当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限也被回收。Oracle 数据库基础教程2007GRANTGRANTREVOKEREVOKEWITH GRANT OPTIONWITH GRANT OPTIONBobJeffEmiEmiJeffBobOracle 数据库基础教程2007查询权限信息查询权限信息nDBA_TAB_PRIVS：包含数据库所有对象的授权信息nALL_TAB_PRIVS：包含数据库所有用户和PUBLIC用户组的对象授权信息nUSER_TAB_PRIVS：包含当前用户对象的授权信息nDBA_COL_PRIVS：包含所有字段

20、已授予的对象权限nALL_COL_PRIVS：包含所有字段已授予的对象权限信息nUSER_COL_PRIVS：包含当前用户所有字段已授予的对象权限信息。nDBA_SYS_PRIVS：包含授予用户或角色的系统权限信息nUSER_SYS_PRIVS：包含授予当前用户的系统权限信。Oracle 数据库基础教程200711.4角色管理角色管理p角色概述p角色的分类 数据库系统预定义角色数据库系统预定义角色 用户自定义角色用户自定义角色p角色的管理n定义、授权、修改、生效与失效、删除、查询定义、授权、修改、生效与失效、删除、查询p利用角色对用户间接授权Oracle 数据库基础教程200711.4.1 O

21、racle角色概术角色概术p角色的概念所谓角色就是一系列相关权限的集合所谓角色就是一系列相关权限的集合Oracle 数据库基础教程2007 角色类型角色类型n系统预定义角色n用户自定义角色Oracle 数据库基础教程200711.4.3 自定义角色自定义角色p创建角色语法结构语法结构 CREATE ROLE role_name NOT IDENTIFIED IDENTIFIED BY password 示例示例 CREATE ROLE high_manager_role CREATE ROLE middle_manager_role IDENTIFIED BY middlerole;CREAT

22、E ROLE low_manager_role IDENTIFIED BY lowrole;Oracle 数据库基础教程2007p角色权限的授予与回收给角色授予适当的系统权限、对象权限或已有角色。给角色授予适当的系统权限、对象权限或已有角色。在数据库运行过程中，可以为角色增加权限，也可以回在数据库运行过程中，可以为角色增加权限，也可以回收其权限。收其权限。示例：示例：GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role;GRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager

23、_role;GRANT CONNECT,RESOURCE,DBA TO high_manager_role;GRANT SELECT,UPDATE,INSERT,DELETE ON scott.emp TO high_manager_role;Oracle 数据库基础教程2007p修改角色n语法结构语法结构 ALTER ROLE role_name NOT IDENTIFIED IDENTIFIED BY password ；p角色的生效与失效n所谓角色的失效是指角色暂时不可用。所谓角色的失效是指角色暂时不可用。n当一个角色生效或失效时，用户从角色中获得的权限也生当一个角色生效或失效时，用户从

24、角色中获得的权限也生效或失效。效或失效。n语法结构语法结构 SET ROLE role_name IDENTIFIED BY password|ALL EXCEPT role_name|NONE;Oracle 数据库基础教程2007p删除角色n语法结构语法结构 DROP ROLE role_name;Oracle 数据库基础教程2007p给用户或角色授予角色语法结构：语法结构：GRANT role_list TO user_list|role_list；p从用户或角色回收角色语法结构：语法结构：REVOKE role_list FROM user_list|role_list；p用户角色的激活

25、或屏蔽激活或屏蔽用户默认角色的语法：激活或屏蔽用户默认角色的语法：ALTER USER user_name DEFAULT ROLE role_name|ALL EXCEPT role_name|NONE；11.4利用角色进行权限管理利用角色进行权限管理Oracle 数据库基础教程2007p用户角色的激活或屏蔽示例屏蔽用户的所有角色屏蔽用户的所有角色ALTER USER user1 DEFAULT ROLE NONE;激活用户的某些角色激活用户的某些角色ALTER USER user1 DEFAULT ROLE CONNECT,DBA;激活用户的所有角色激活用户的所有角色ALTER USER

26、user1 DEFAULT ROLE ALL;激活除了某个角色外的其他所有角色激活除了某个角色外的其他所有角色ALTER USER user1 DEFAULT ROLE ALL EXCEPT DBA;Oracle 数据库基础教程2007查询角色信息查询角色信息pDBA_ROLES：包含数据库中所有角色及其描述。：包含数据库中所有角色及其描述。pDBA_ROLE_PRIVS：包含为数据库中所有用户和角色授予的角：包含为数据库中所有用户和角色授予的角色信息。色信息。pUSER_ROLE_PRIVS：包含为当前用户授予的角色信息。：包含为当前用户授予的角色信息。pROLE_ROLE_PRIVS：为角

27、色授予的角色信息。：为角色授予的角色信息。pROLE_SYS_PRIVS：为角色授予的系统权限信息。：为角色授予的系统权限信息。pROLE_TAB_PRIVS：为角色授予的对象权限信息。：为角色授予的对象权限信息。pSESSION_PRIVS：当前会话所具有的系统权限信息。：当前会话所具有的系统权限信息。pSESSION_ROLES：当前会话所具有的角色信息：当前会话所具有的角色信息。Oracle 数据库基础教程2007p概要文件的作用限制用户对数据库和系统资源的使用以及进行用户限制用户对数据库和系统资源的使用以及进行用户口令管理口令管理p资源限制级别会话级限制会话级限制调用级限制调用级限制p

28、资源限制类型CPU使用时间使用时间逻辑读逻辑读每个用户的并发会话数每个用户的并发会话数用户连接数据库的空闲时间用户连接数据库的空闲时间用户连接数据库的时间用户连接数据库的时间私有私有SQL区和区和PL/SQL区的使用区的使用11.5概要文件管理概要文件管理Oracle 数据库基础教程2007p启用或停用资源限制在数据库启动前启用或停用资源限制在数据库启动前启用或停用资源限制 将数据库初始化参数文件中的参数RESOURCE_LIMIT的值设置为TRUE或FALSE在数据库启动后启用或停用资源限制在数据库启动后启用或停用资源限制使用ALTER SYSTEM语句修改RESOURCE_LIMIT参数值

29、为TRUE或FALSE Oracle 数据库基础教程2007概要文件中参数概要文件中参数p资源限制参数nCPU_PER_SESSIONnCPU_PER_CALLnCONNECT_TIMEnIDLE_TIMEnSESSIONS_PER_USERnLOGICAL_READS_PER_SESSION nLOGICAL_READS_PER_CALLnPRIVATE_SGAnCOMPOSITE_LIMITOracle 数据库基础教程2007p口令管理参数nFAILED_LOGIN_ATTEMPTSnPASSWORD_LOCK_TIMEnPASSWORD_GRACE_TIME nPASSWORD_LIFE

30、_TIMEnPASSWORD_REUSE_MAXnPASSWORD_REUSE_TIMEnPASSWORD_VERIFY_FUNCTIONOracle 数据库基础教程2007概要文件管理概要文件管理p创建概要文件n语法结构语法结构 CREATE PROFILE profile_name LIMIT resource_parameters|password_parameters;n示例示例 CREATE PROFILE res_profile LIMIT SESSIONS_PER_USER 4 CONNECT_TIME 60 IDLE_TIME 20 PRIVATE_SGA 100K CPU_P

31、ER_CALL 1000;Oracle 数据库基础教程2007p将概要文件分配给用户nCREATE USER user5 IDENTIFIED BY user4 PROFILE res_profile;nALTER USER user5 PROFILE pwd_profile;p修改概要文件n语法结构语法结构 ALTER PROFILE profile_name LIMIT resource_parameters|password_parameters;n示例示例 ALTER PROFILE pwd_profile LIMIT PASSWORD_LIFE_TIME 10;Oracle 数据库基

32、础教程2007p删除概要文件n语法结构：语法结构：DROP PROFILE profile_name CASCADE;n示例：示例：DROP PROFILE pwd_profile CASCADE;p查询概要文件nUSER_PASSWORD_LIMITSnUSER_RESOURCE_LIMITSnDBA_PROFILES Oracle 数据库基础教程200711.6利用利用OEM进行安全管理进行安全管理 p利用 OEM创建一个用户，并给用户授权p利用 OEM创建一个角色，并给角色授权p利用 OEM创建一个概要文件，并将概要文件指定给用户p利用角色为用户授权Oracle 数据库基础教程200711.7小结小结p数据库的安全性p用户管理p权限管理p角色管理p概要文件管理p利用OEM进行安全管理