Oracle数据库的安全与管理.pptx

《Oracle数据库的安全与管理.pptx》由会员分享，可在线阅读，更多相关《Oracle数据库的安全与管理.pptx（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、主要内容主要内容建立新的数据库用户建立新的数据库用户修改和删除存在的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息监控存在的数据库用户的有关信息第1页/共66页帐户锁表空间限额临时表空间 缺省表空间角色权限资源限定安全域用户和安全用户和安全直接权限认证机制第2页/共66页表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式数据库模式第3页/共66页建立用户的核对表建立用户的核对表1.1.选择用户名和认证机制选择用户名和认证机制2.2.确定用户需要存储对象的表空间确定用户需要存储对象的表空间3.3.确定每一个表空间的限额确定每一个表空间的

2、限额4.4.指定缺省表空间和临时表空间指定缺省表空间和临时表空间5.5.建立用户建立用户6.6.给用户授予权限和角色给用户授予权限和角色第4页/共66页建立一个新用户建立一个新用户:指导原则指导原则初始选择一个标准口令初始选择一个标准口令使用使用EXPIREEXPIRE关键字强制用户重新设置其口关键字强制用户重新设置其口令令始终要指定临时表空间始终要指定临时表空间一般不限制用户的定额一般不限制用户的定额;要谨慎使用要谨慎使用QUOTA UNLIMITEDQUOTA UNLIMITED训练用户训练用户:连接连接修改口令修改口令第5页/共66页控制帐户锁和口令控制帐户锁和口令ALTER USER

3、peterIDENTIFIED BY hisgrandpaPASSWORD EXPIRE;第6页/共66页修改用户的表空间定额修改用户的表空间定额ALTER USER peterQUOTA 0 ON data01;第7页/共66页删除用户删除用户如果模式中包含对象，则需要使用如果模式中包含对象，则需要使用CASCADECASCADE子句子句DROP USER peter;DROP USER peter CASCADE;第8页/共66页监控用户监控用户DBA_USERSUSERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_

4、TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTASUSERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS第9页/共66页用户管理环境文件管理权限管理角色管理常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理第10页/共66页主要内容主要内容建立环境文件并分配给用户建立环境文件并分配给用户利用环境文件控制资源的使用利用环境文件控制资源的使用修改和删除环境文件修改和删除环境文件使用环境文件管理口令使用环境文件管理口令获得环境文件获得环境文件,指定的限制指定的限制,和口令管理和口令管理第1

5、1页/共66页环境文件环境文件命名的资源和口令限制的集合命名的资源和口令限制的集合通过通过CREATE/ALTER USERCREATE/ALTER USER命命令分配给用户令分配给用户可以启用或禁用可以启用或禁用可以涉及可以涉及DEFAULTDEFAULT环境文环境文件件可以在会话层或调用层限制可以在会话层或调用层限制系统资源系统资源帐户锁安全域资源限制直接权限临时表空间缺省表空间表空间定额验证机制角色权限第12页/共66页使用环境文件管理资源使用环境文件管理资源1.1.创建环境文件创建环境文件2.2.为用户分配资源文件为用户分配资源文件3.3.启用资源限制启用资源限制第13页/共66页创建

6、环境文件创建环境文件:资源限制资源限制CREATE PROFILE developer_prof LIMITSESSIONS_PER_USER 2CPU_PER_SESSION 10000IDLE_TIME 60CONNECT_TIME 480;第14页/共66页ResourceCPU_PER_SESSION SESSIONS_PER_USERCONNECT_TIME IDLE_TIME LOGICAL_READS_PER _SESSIONPRIVATE_SGA DescriptionTotal CPU time measured in hundredths of secondsNumber

7、of concurrent sessions allowed for each usernameElapsed connect time measured in minutesPeriods of inactive time measured in minutesNumber of data blocks(physical and logical reads)Private space in the SGA measured in bytes(for MTS only)在会话层设置资源限制在会话层设置资源限制 第15页/共66页资源CPU_PER_CALLLOGICAL_READS_PER _

8、CALL说明CPU time per call in hundredths of secondsNumber of data blocks在调用层设置资源限制在调用层设置资源限制第16页/共66页为用户分配资源文件为用户分配资源文件CREATE USER user3 IDENTIFIED BY user3DEFAULT TABLESPACE data01TEMPORARY TABLESPACE tempQUOTA unlimited ON data01 PROFILE developer_prof;ALTER USER scott PROFILE developer_prof;第17页/共66

9、页启用资源限制启用资源限制将初始化参数将初始化参数RESOURCE_LIMITRESOURCE_LIMIT设置成设置成TRUETRUE或或使用带有启用参数的使用带有启用参数的ALTER SYSTEMALTER SYSTEM命令强制资源限制命令强制资源限制ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;第18页/共66页修改环境文件修改环境文件ALTER PROFILE default LIMITSESSIONS_PER_USER 5CPU_PER_CALL 3600IDLE_TIME 30;第19页/共66页删除环境文件删除环境文件DROP PROFILE devel

10、oper_prof;DROP PROFILE developer_prof CASCADE;第20页/共66页查看资源限制查看资源限制 DBA_USERS-profile-usernameDBA_PROFILES-profile-resource_name-resource_type (KERNEL)-limit第21页/共66页口令管理口令管理用户用户口令到期口令到期和时效和时效口令确认口令确认口令历史口令历史帐户锁帐户锁建立环境建立环境文件文件第22页/共66页启用口令管理启用口令管理使用环境文件并分配给用户来建立口令管理使用环境文件并分配给用户来建立口令管理使用使用CREATE USER

11、CREATE USER或或ALTER USERALTER USER加锁加锁,解锁解锁,和期满帐户和期满帐户既使实例的既使实例的RESOURCE_LIMITRESOURCE_LIMIT的设置是的设置是FALSE,FALSE,口令限制仍始终被口令限制仍始终被强制强制第23页/共66页 创建环境文件创建环境文件:口令设置口令设置CREATE PROFILE grace_5 LIMIT FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LIFE_TIME 30 PASSWORD_REUSE_TIME 30 PASSWORD_VERIFY_FUNCTION verify_function

12、 PASSWORD_GRACE_TIME 5;第24页/共66页口令设置口令设置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIME PASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescriptionNumber of failed login attempts before lockout of the accountNumber of days for which the account remains locked upon password expirationLifetime of the password i

13、n days after which the password expiresGrace period in days for changing the password after the first successful login after the password has expired第25页/共66页口令设置口令设置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumber of days before a password can be reusedMaximum

14、 number of times a password can be reusedPL/SQL function that makes a password complexity check before a password is assigned第26页/共66页用户提供的口令函数用户提供的口令函数函数必须使用模式函数必须使用模式SYSSYS创建创建,并且具有以下规范并且具有以下规范:function_name(userid_parameter IN VARCHAR2(30),password_parameter IN VARCHAR2(30),old_password_parameter

15、 IN VARCHAR2(30)RETURN BOOLEAN第27页/共66页口令确认函数口令确认函数 VERIFY_FUNCTIONVERIFY_FUNCTION长度最少四个字符长度最少四个字符口令不能和用户名相同口令不能和用户名相同口令至少有一个字母口令至少有一个字母,一个数字一个数字,和一个特殊字符和一个特殊字符本次的口令与上一次的口令应当至少有三个字符不同本次的口令与上一次的口令应当至少有三个字符不同Password Password verificationverification第28页/共66页查看口令的有关信息查看口令的有关信息DBA_USERSDBA_USERSprofile

16、profileusernameusernameaccount_statusaccount_statuslock_datelock_dateexpiry_dateexpiry_dateDBA_PROFILESDBA_PROFILESprofileprofileresource_nameresource_nameresource_type(PASSWORD)resource_type(PASSWORD)limitlimit第29页/共66页用户管理环境文件管理权限管理角色管理常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理第30页/共66页主要内容主要内容鉴别系统和对象权

17、限鉴别系统和对象权限权限的授予与回收权限的授予与回收操作系统或口令文件认证的控制操作系统或口令文件认证的控制第31页/共66页管理权限管理权限 两种类型的权限两种类型的权限:系统系统:使得用户可以执行数据库中特殊的使得用户可以执行数据库中特殊的操作操作 对象对象:使得用户可以访问和操作特定的对使得用户可以访问和操作特定的对象象第32页/共66页系统权限系统权限约有约有8080个系统权限个系统权限权限中权限中ANYANY关键字意味着用户具有每一个模式的权限关键字意味着用户具有每一个模式的权限GRANTGRANT命令可以为一个或一组用户添加权限命令可以为一个或一组用户添加权限REVOKEREVOK

18、E命令删除权限命令删除权限第33页/共66页系统权限系统权限:例子例子类别例子 INDEXCREATE ANY INDEXALTER ANY INDEXDROP ANY INDEX TABLE CREATE TABLECREATE ANY TABLEALTER ANY TABLEDROP ANY TABLESELECT ANY TABLEUPDATE ANY TABLEDELETE ANY TABLESESSIONCREATE SESSIONALTER SESSIONRESTRICTED SESSIONTABLESPACECREATE TABLESPACEALTER TABLESPACEDRO

19、P TABLESPACEUNLIMITED TABLESPACE第34页/共66页授予系统权限授予系统权限GRANT CREATE SESSION,CREATE TABLE TO user1;GRANT CREATE SESSION TO scott WITH ADMIN OPTION;第35页/共66页SYSDBASYSDBA和和SYSOPERSYSOPER权限权限类别例子 SYSOPER STARTUPSHUTDOWN ALTER DATABASE OPEN|MOUNT ALTER DATABASE BACKUP CONTROLFILEALTER TABLESPACE BEGIN/END

20、BACKUP RECOVER DATABASE,ALTER DATABASE ARCHIVELOGRESTRICTED SESSION SYSDBASYSOPER privileges WITH ADMIN OPTIONCREATE DATABASERECOVER DATABASE UNTIL 第36页/共66页显示系统权限显示系统权限DBA_SYS_PRIVSDBA_SYS_PRIVS GRANTEEGRANTEE PRIVILEGEPRIVILEGE ADMIN OPTIONADMIN OPTIONSESSION_PRIVSSESSION_PRIVS PRIVILEGEPRIVILEGE数

21、据库层数据库层会话层会话层第37页/共66页系统权限限制系统权限限制O7_DICTIONARY_ACCESSIBILITY=TRUEO7_DICTIONARY_ACCESSIBILITY=TRUE回复至回复至Oracle7Oracle7的工作特点的工作特点取消带有取消带有ANYANY关键字的系统权限限制关键字的系统权限限制缺省为缺省为TRUETRUE第38页/共66页回收系统权限回收系统权限REVOKE CREATE TABLE FROM user1;REVOKE CREATE SESSION FROM scott;第39页/共66页USER 1USER 1SCOTTSCOTT回收使用回收使用

22、WITH ADMIN OPTIONWITH ADMIN OPTION的系统权限的系统权限DBADBA授予授予回收回收USER 1USER 1SCOTTSCOTTDBADBA第40页/共66页结果结果回收使用回收使用WITH ADMIN OPTIONWITH ADMIN OPTION的系统权限的系统权限DBADBAUSER 1USER 1SCOTTSCOTT第41页/共66页对象权限对象权限对象权限表视图序号发生器 过程ALTER DELETE EXECUTE INDEX INSERT REFERENCES SELECT UPDATE 第42页/共66页授予对象权限授予对象权限GRANT EXE

23、CUTE ON dbms_pipe TO public;GRANT UPDATE(ename,sal)ON emp TO user1 WITH GRANT OPTION;第43页/共66页DBA_TAB_PRIVS显示对象权限显示对象权限DBA_COL_PRIVSGRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLEGRANTEEOWNERTABLE_NAMECOLUMN_NAME GRANTORPRIVILEGEGRANTABLE第44页/共66页回收对象权限回收对象权限REVOKE execute ON dbms_pipe FROM scott;第4

24、5页/共66页授予授予回收回收回收使用回收使用WITH GRANT WITH GRANT OPTIONOPTION的对象权限的对象权限SCOTTSCOTTSCOTTSCOTTUSER 1USER 1USER 1USER 1USER 2USER 2USER 2USER 2第46页/共66页结果结果回收使用回收使用WITH GRANT OPTIONWITH GRANT OPTION的对象权限的对象权限SCOTTSCOTTUSER 1USER 1USER 2USER 2第47页/共66页用户管理环境文件管理权限管理角色管理常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理第4

25、8页/共66页主要内容主要内容创建和修改角色创建和修改角色控制角色的可用性控制角色的可用性删除角色删除角色使用预定义的角色使用预定义的角色从数据字典中获得角色的有关信息从数据字典中获得角色的有关信息第49页/共66页角色角色用户用户权限权限角色角色更新EMP插入EMP查询EMP创建表创建会话HR_CLERKHR_MGRA AB BC C第50页/共66页角色的好处角色的好处 减少权限的授予减少权限的授予 动态地管理权限动态地管理权限 选择性的权限可用性选择性的权限可用性 通过通过OSOS授予授予 非连带回收非连带回收 改善性能改善性能第51页/共66页创建角色创建角色CREATE ROLE s

26、ales_clerk;CREATE ROLE hr_clerkIDENTIFIED BY bonus;CREATE ROLE hr_managerIDENTIFIED EXTERNALLY;第52页/共66页使用预定义角色使用预定义角色 角色名称说明CONNECT These two roles are providedRESOURCE for backward compatibility.DBA All system privileges WITHADMIN OPTIONEXP_FULL_DATABASEPrivileges to export the DBIMP_FULL_DATABASE

27、Privileges to import the DB DELETE_CATALOG_ROLEDELETE privileges onDD tablesEXECUTE_CATALOG_ROLEEXECUTE privilege onDD packagesSELECT_CATALOG_ROLESELECT privilege on DD tables 第53页/共66页修改角色修改角色ALTER ROLE hr_clerkIDENTIFIED EXTERNALLY;ALTER ROLE hr_managerNOT IDENTIFIED;ALTER ROLE sales_clerk IDENTIF

28、IED BY commission;第54页/共66页分配角色分配角色GRANT hr_clerk,TO hr_manager;GRANT sales_clerk TO scott;GRANT hr_manager TO scottWITH ADMIN OPTION;第55页/共66页设立缺省角色设立缺省角色ALTER USER scottDEFAULT ROLE hr_clerk,sales_clerk;ALTER USER scott DEFAULT ROLE ALL;ALTER USER scott DEFAULT ROLE ALL EXCEPT hr_clerk;ALTER USER

29、scott DEFAULT ROLE NONE;第56页/共66页启用和禁用角色启用和禁用角色禁用角色可以将角色从用户处临时回收禁用角色可以将角色从用户处临时回收启用角色可以作为临时的授予启用角色可以作为临时的授予SET ROLESET ROLE命令可以启用和禁用角色命令可以启用和禁用角色缺省角色在用户登录时启用缺省角色在用户登录时启用启用角色时可能需要口令启用角色时可能需要口令第57页/共66页启用和禁用角色启用和禁用角色:例子例子SET ROLE hr_clerk;SET ROLE sales_clerk IDENTIFIED BY commission;SET ROLE ALL EXCE

30、PT sales_clerk;SET ROLE NONE;第58页/共66页删除用户的角色删除用户的角色REVOKE hr_manager FROM PUBLIC;REVOKE sales_clerk FROM scott;第59页/共66页删除角色删除角色DROP ROLE hr_manager;第60页/共66页BENEFITSPAYROLLHR_MANAGERHR_CLERKPAY_CLERK用户角色用户角色应用角色应用角色应用权限应用权限创建角色的指导方针创建角色的指导方针用户用户Payroll权限Benefits权限第61页/共66页使用口令和缺省角色的指导原则使用口令和缺省角色的指

31、导原则PAY_CLERKPAY_CLERK_RO缺省角色非缺省保护的口令查询权限插入,更新,删除和查询权限第62页/共66页显示角色信息显示角色信息角色视图说明DBA_ROLESAll roles which exist in the databaseDBA_ROLE_PRIVSRoles granted to users and rolesROLE_ROLE_PRIVSRoles which are granted to roles DBA_SYS_PRIVSSystem privileges granted to users and roles ROLE_SYS_PRIVSSystem p

32、rivileges granted to rolesROLE_TAB_PRIVSTable privileges granted to rolesSESSION_ROLESRoles which the user currently has enabled.第63页/共66页用户管理环境文件管理权限管理角色管理常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理第64页/共66页主要内容主要内容实例管理程序实例管理程序 -Instance Manager-Instance Manager模式管理程序模式管理程序 -Schema Manager-Schema Manager安全管理程序安全管理程序 -Security Manager-Security Manager存储管理程序存储管理程序 -Storage Manager-Storage Manager备份管理程序备份管理程序 -Backup Manager-Backup Manager网络配置程序网络配置程序 -Net Easy Configuration-Net Easy Configuration第65页/共66页谢谢您的观看！第66页/共66页