《安全数据字典》PPT课件.ppt

《《安全数据字典》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《安全数据字典》PPT课件.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 安全管理安全管理&数据字典数据字典 Oracle的安全体系结构u按照系统的职能范围不同，可将Oracle的安全体系结构分成三个部分；（1）数据库内部的管理：主要包括用户标识/口令；角色与权限等。（2）资源管理：主要通过系统概要文件限制连接会话等。（3）网络数据通讯管理：主要采用口令文件、数据加密等Oracle高级安全技术实施。登陆u登陆：登陆：uconn scott/tigeruconn sys/change_on_install as sysdba u查看用户查看用户ushow useruselect user from dual;Sqlconn scott/tiger as sysdba

2、Sqlselect user from dual;USER-SYS原因在于oracle数据库与操作系统有一个紧密的集成，当你以Adminstrator登陆操作系统时，就能以sysdba的角色登陆创建用户u在管理工具中创建用户；u在sqlplus中创建：CREATEUSERuserIDENTIFIEDBYpassword|EXTERNALLYDEFAULTTABLESPACEtablespaceTEMPORARYTABLESPACEtablespaceQUOTAintegerK|M|UNLIMITEDONtablespaceQUOTAintegerK|M|UNLIMITEDONtablespac

3、e.PASSWORDEXPIREACCOUNTLOCK|UNLOCKPROFILEprofile|DEFAULT创建用户例u创建ttuserSQLcreateuserttuserprofileDEFAULTidentifiedbyttuser123accountunlockSQLconnttuser/ttuser123ERROR：ORA-01017:invalidusername/password;logondeniedSQLconnscott/tigerassysdba;已连接。SQLgrantconnecttottuser;授权成功。SQLconnttuser/ttuser123已连接。修

4、改用户u修改用户的默认表空间uALTERUSERTESTDEFAULTTABLESPACEUSERS;u修改用户口令uALTERUSERTESTIDENTIFIEDBYTT123;u锁定帐户uALTERUSERTESTACCOUNTLOCK;u解锁帐户uALTERUSERTESTACCOUNTUNLOCK;删除帐户u删除数据库用户的方法有两种：u一是在SQL*Plus中以system或sys连接数据库并执行SQL语句dropuser命令来删除；u另一种方法是在控制台的安全管理器中直接删除。删除用户时，系统要求连同该用户所拥有的数据库对象一起删除掉。删除用户的命令格式为：uSQLdropuser

5、cascade;u若不加cascade选项，如删除test用户时，则系统提示：ora-01922:必须指定cascade以便删除test。该命令是无法恢复的，查看用户信息u作为DBA，可访问数据字典视图dba_users来查询所有用户的信息。每个用户可访问视图user_users，列 名定 义username用户登录数据库的名字user_idOracle唯一的用户标识号password加密的口令account_status当使用口令超期函数时，关于帐户的状态。lock_date超期函数锁定帐户的日期expiry_date如果设置了超期参数，口令将超期的日期。default_tablespace

6、为用户指定的默认表空间temporary_tablespace为用户的操作，如检索或排序等，指定的默认临时工作表空间。created用户在数据库内创建的日期profile指定给用户的概要文件initial_rsrc_consumer_group初始指定的用户组external_name外部用户的名字权限uOracle中的权限分为系统权限和对象权限。u系统权限可使用户在系统范围内完成特定的操作，或在一个特定对象类型上完成特定操作。例如，createtable或insertanytable都是系统权限。在使用具有any的权限时应小心。u对象权限则是用户在某个被指定用户所属的对象上能完成特定的操作。

7、该对象可以是表、视图、序列、过程、函数、包、同义词、快照、类型、java源和java类等。权限u权限是执行某种类型的sql语句、操作其他用户的对象和执行特定操作的权力；u常见的权限：u创建表；u从另一个用户的表中操作数据；u执行另一个用户的存储过程；u赋予权力的两种方式：u显示的将权限授予用户；u把某种权限授予给角色，再为用户添加这个角色；u授权：grantu取消权限：revoke对象权限u方案对象权限是对特定方案对象执行操作的权力，这些方案对象包括：u表u视图u序列u过程u函数u包表安全u可在表和视图上赋予DELETE、SELECT、UPDATE、INSERT权限；uAll表示以上所有的权限

8、SQL conn ttuser/ttuser123已连接。已连接。SQL select*from scott.emp;select*from scott.emp *ERROR 位于第位于第 1 行行:ORA-00942:表或视图不存在表或视图不存在SQL conn scott/tiger;已连接。已连接。SQL grant all on emp to ttuser;授权成功。授权成功。SQL conn ttuser/ttuser123已连接。已连接。SQL select ename from scott.emp where empno=7369;表安全uGrantselectonscott.e

9、mptotestwhitgrantoption;uGrantinsertonscott.emptotestwhitgrantoption;uGrantdeleteonscott.emptotestwhitgrantoption;uGrantupdateonscott.emptotestwhitgrantoption;级联授权：Test用户就可以给其他用户进行grant select on的授权了 把过程执行的权限赋给把过程执行的权限赋给test Grant EXECUTE on 过程名过程名 to test whit grant option;系统授权u系统授权uGrantcreateuser

10、totest;uGrantdropusertotest;uGrantcreateusertotestwithadminoption;u解除权限：uRevokeselectonscott.empfromtestwith admin optionwith admin option与与with with grant optiongrant option的区别的区别撤消带有撤消带有with admin optionwith admin option的系统权限的系统权限 with admin optionwith admin option与与with with grant optiongrant opt

11、ion的区别的区别撤消带有撤消带有with grant optionwith grant option的对象权限的对象权限 USER 2SCOTTUSER 13、结果结果USER 2SCOTTUSER 1USER 2SCOTTUSER 12 2、撤消撤消1 1、授权授权特殊的帐户和权限 SYS 所有有关数据库数据字典的基本表和视图都存储在sys模式下。这些基本表和视图对Oracle的操作是十分重要的。为维护数据字典的完整性，sys模式下的表只能由Oracle来管理。任何其他用户或数据库管理员不能修改数据字典。如果要改变数据字典的存储参数，只能由拥有sysdba系统权限的用户sys完成。特殊的帐

12、户和权限 system也是在创建数据库时自动创建并被授予DBA角色。system被用于创建显示管理信息的表和视图，以及由Oracle工具使用的内部表和视图。用户表不能创建在system模式下。DBA角色所谓角色就是相关权限的集合。DBA角色是系统预先定义并与数据库一道创建的。该角色包含大部分的系统权限，DBA只能在启动数据库之后执行管理操作，但不能启动和关闭数据库。因此，该角色应该授予专职数据库管理员。DBA角色并不包含sysdba或sysoper系统权限，这两个系统权限是管理员完成数据库管理的特殊权限，如创建数据库，实例启动和停止等。sysdba与sysoper的区别 系统权限可实现的操作s

13、ysdbacreate database。完成启动startup和关闭shutdown操作。alter database：打开open，安装mount，备份backup或改变字符集。create spfile。archivelog和recovery。包括restricted session权限。该系统权限允许用户以sys用户连接数据库。sysoper完成启动startup和关闭shutdown操作。create spfile。alter database open/mount/backup。archivelog和recovery，不能执行不完全恢复；包括restricted session 权

14、限。不具备dba角色的任何权限。该权限允许用户完成基本的操作任务，但是却没有查看用户数据的权利。角色u角色是相关权限集合的一个命名组；uCreaterolemyrole;uGrantselectonscott.emptomyrole;uGrantselectonscott.depttomyrole;uGrantmyroletotest;概要文件u概要文家被用来控制用户对系统和数据库资源的使用；u例如：生成一个myprofile，规定用户登陆密码最多只能错三次；u实验.createprofilepro_testlimitFAILED_LOGIN_ATTEMPTS3;u数据字典是Oracle数据库

15、系统的信息核心，它是一组提供有关数据库信息的表和视图的集合。这些表和视图是只读的。数据字典是随数据库的建立而建立的。为及时准确反映数据库的状态，数据字典中内容是随数据库执行特定动作时自动更新的。同时，数据库依赖于数据字典来记录、校验和管理正在进行的操作。Oracle用户SYS拥有系统中数据字典Data Dictionary。数据字典是存在所属数据库的系统表空间SYSTEM Tabalspace内。每个用户在该数据库中的所有操作都会被记录下来。什么是数据字典数据字典提供的信息u数据库用户名称；u为用户授予的权限和角色；u模式对象的名称，如tables,views,indexes,procedur

16、es,functions,packages，triggers等。u完整性约束的具体信息；u每个字段的默认值；u数据库空间的使用情况；u对象与用户的严格管理（适用于高度机密管理）；u其他一般数据库信息。数据字典分数据字典分为哪几类？为哪几类？静态数据字典静态数据字典静态表静态表动态数据字典动态数据字典视图视图SYSSYS用户用户呈现形式呈现形式用途用途主要存放通过CREATE创建的永久数据库对象是一组主要以以下几个形式开头的表：ALL_、DBA_、USER_。表的名字基本都是该字典所存储对象类型的缩写静态数据字典静态数据字典只要数据库打开被使用，这些虚拟表中的数据会随时反映数据库的运行状况而不断

17、更新。动态动态数据字典数据字典动态数据字典都是以动态数据字典都是以V$V$开头开头存放在存放在OracleOracle数据库中的数据库中的虚拟表中。虚拟表中。呈现形式呈现形式作用作用数据字典datadictionary有三个主要用途：uOracle通过存取数据字典以便获得有关用户模式对象以及存储结构等信息。u当系统执行了DDL语句后，Oracle便及时修改数据字典。.u任何用户能够以只读的形式使用数据字典来获取数据库信息。通过数据字典可以做什么？通过数据字典可以做什么？怎样使用数据字典？怎样使用数据字典？数据字典视图为所有用户充当着参考书作用。用户使用SQL语句存取数据字典。有些数据字典视图对

18、所有Oracle用户是可存取的。而其他的数据字典视图仅供数据库管理员使用。在数据库打开期间，数据字典是可用的，它驻留在SYSTEM表空间上，并总是处于在线状态。三种前缀的数据字典视图三种前缀的数据字典视图前缀前缀应用范围应用范围USERUSER_ _任何用户都可读取的视图，其内容随用户不同而 不同，它只提供当前用户模式下的对象信息(what is in the users schema)例如：下列查询返回在你当前模式下所有对象。SELECT object_name,object_type FROM USER_OBJECTS;ALL_ALL_所有用户都可读取的用户视图；它提供与用户有关的的对象信

19、息(what the user can access)例如：下列查询返回你有权访问的 所有对象。SELECT owner,object_name,object_type FROM ALL_OBJECTS;DBA_DBA_提供了只有数据库管理员才可读取的视图，包括所有用户视图中的对象信息(what is in all users schemas)例如：SELECT owner,object_name,object_type FROM SYS.DBA_OBJECTS;The table named DUAL is a small table in the data dictionary that

20、Oracle and user-written programs can reference to guarantee a known result.This table has one column called DUMMY and one row containing the value X.主要用于表达式计算,函数及变量的求值等例如:Select sysdate from dual;DUALDUAL表表u在运行期间，Oracle 维持着一组用以记录当前数据库活动的虚表，这些表被称为动态性能表。用户不能存取这些表。但数据库管理员能够在这些表上查询并创建视图，并授予存取权限给其他读取这些视图

21、的用户。uSYS拥有动态性能表，这些表的名字都是以V_$V_$开头.在这些表上创建的视图的同义词是以 V$V$开头.动态性能表 查看当前用户的缺省表空间查看当前用户的缺省表空间 SQLselect username,default_tablespace from user_users;查看当前用户的角色查看当前用户的角色 SQLselect*from user_role_privs;查看当前用户的系统权限和表级权限查看当前用户的系统权限和表级权限 SQLselect*from user_sys_privs;SQLselect*from user_tab_privs;SQL select*fro

22、m dba_data_files;SQL select*from dba_tablespaces;/表空间 SQL select tablespace_name,sum(bytes),sum(blocks)from dba_free_space group by tablespace_name;/空闲表空间 SQL select*from dba_data_files where tablespace_name=TEST;/表空间对应的数据文件 SQL select*from dba_segments where tablespace_name=INDEXS;查询用户模式对象所使用过的或正在使

23、用空间大小SQL select name,type,source_size,code_size from user_object_size;查询表空间查询表空间 查询数据库对象查询数据库对象select*from dba_objects;可根据拥有者查询下列对象类型：CLUSTER、DATABASE LINK、FUNCTION、INDEX、LIBRARY、PACKAGE、PACKAGE BODY、PROCEDURE、SEQUENCE、SYNONYM、TABLE、TRIGGER、TYPE、UNDEFINED、VIEW。如：select*from dba_objectswhere OBJECT_T

24、YPE=TABLE and OWNER=SCOTT;SQLselect*fromdba_tables;查看用户下所有的表SQLselect*fromuser_tables;查看名称包含log字符的表SQLselectobject_name,object_idfromuser_objectswhereinstr(object_name,LOG)0;查看某表的创建时间SQLselectobject_name,createdfromuser_objectswhereobject_name=upper(&table_name);查看某表的大小SQLselectsum(bytes)/(1024*1024

25、)assize(M)fromuser_segmentswheresegment_name=upper(&table_name);查询表查询表select*fromdba_indexes;/索引，包括主键索引select*fromall_indexes;select*fromdba_ind_columns;/索引列selecti.index_name,i.uniqueness,c.column_namefromuser_indexesi,user_ind_columnscwherei.index_name=c.index_nameandi.table_name=EMP;/联接使用查看索引个数和类

26、别SQLselectindex_name,index_type,table_namefromuser_indexesorderbytable_name;查询索引查询索引select*fromdba_sequences;select*fromall_sequences;查询序列查询序列查询视图查询视图select*fromdba_views;select*fromall_views;查看视图的名称SQLselectview_namefromuser_views;查看创建视图的select语句SQLselectview_name,textfromuser_views;SQLsetlong2000;

27、查询同义词查询同义词SQLselect*fromdba_synonymswheretable_owner=SCOTT;SQLselect*fromALL_synonyms;wheretable_owner=SYSTEM;SQLselect*fromdba_trigers;存储过程，函数从dba_objects查找。其文本：SQLselecttextfromuser_source；wherename=BOOK_SP_EXAMPLE;oracle总是将存储过程，函数等放在SYSTEM表空间。查询触发器查询触发器 查看函数和过程的状态查看函数和过程的状态 SQLselectobject_name,s

28、tatusfromuser_objectswhereobject_type=FUNCTION;SQLselectobject_name,statusfromuser_objectswhereobject_type=PROCEDURE;查看函数和过程的源代码SQLselecttextfromall_sourcewhereowner=userandname=upper(&plsql_name);（1）约束是和表关联的，可在createtable或altertabletable_nameadd/drop/modify来建立、修改、删除约束。可以临时禁止约束，如：SQLaltertablebook_e

29、xampleSQLdisableconstraintbook_example_1;SQLaltertablebook_exampleSQLenableconstraintbook_example_1;（2）主键和外键被称为表约束，而notnull和unique之类的约束被称为列约束。通常将主键和外键作为单独的命名约束放在字段列表下面，而列约束可放在列定义的同一行，这样更具有可读性。查询约束查询约束（3）列约束可从表定义看出，即describe;表约束即主键和外键，可从dba_constraints和dba_cons_columns查。select*fromuser_constraintswhe

30、retable_name=EMP;SQLselectowner,CONSTRAINT_NAME,TABLE_NAMEfromuser_constraintswhereconstraint_type=Rorderbytable_name;（4）定义约束可以无名（系统自动生成约束名）和自己定义约束名（特别是主键、外键）如：createtablebook_example(identifiernumbernotnull);createtablebook_example(identifiernumberconstranitbook_example_1notnull);查看某表的约束条件SQLselect

31、constraint_name,constraint_type,search_condition,r_constraint_namefromuser_constraintswheretable_name=upper(&table_name);SQLselectconstraint_name,c.constraint_type,cc.column_namefromuser_constraintsc,user_cons_columnsccwherec.owner=upper(&table_owner)andc.table_name=upper(&table_name)andc.owner=cc.o

32、wnerandc.constraint_name=cc.constraint_nameorderbycc.position;如果知道自己要查的对如果知道自己要查的对象类型，但却不知道数象类型，但却不知道数据字典的具体名称时，据字典的具体名称时，应怎样查找相应的数据应怎样查找相应的数据字典？字典？dictionary全部数据字典表的名称和解释，它有一个同义词dictdict_columns全部数据字典表里字段名称和解释在数据字典中，有两个特殊的表：如果想查询跟索引索引有关的数据字典时，可以用下面这条SQL语句:SQLselect*fromdictionarywhereinstr(comments

33、,index)0;如果想查询跟表表有关的数据字典时，可以用下面这条SQL语句:select*fromdictionarywhereinstr(comments,table)0;查询其他类型的数据字典时，将对象名称修改即可。方法：方法：将table替换成相应的对象类型即可。依次类推依次类推使用下列格式：selectcolumn_name,commentsfromdict_columnswheretable_name=datadictionary_tablename;如果知道相关数据字典表如果知道相关数据字典表（视图）的名称，却不知道（视图）的名称，却不知道该表（视图）每个字段的含义，该表（视图）每个字段的含义，怎么办？怎么办？如果我们想知道user_indexes表各字段名称的详细含义表各字段名称的详细含义，可以用下面这条SQL语句:selectcolumn_name,commentsfromdict_columnswheretable_name=USER_INDEXES;