Oracle数据库的安全与管理8426.pptx

《Oracle数据库的安全与管理8426.pptx》由会员分享，可在线阅读，更多相关《Oracle数据库的安全与管理8426.pptx（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 用户管理 环境文件管理 权限管理 角色管理 常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理主要内容主要内容建立新的数据库用户建立新的数据库用户修改和删除存在的数据库用户修改和删除存在的数据库用户监控存在的数据库用户的有关信息监控存在的数据库用户的有关信息帐户锁表空间限额临时表空间 缺省表空间角色权限资源限定安全域用户和安全用户和安全直接权限认证机制表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式数据库模式建立用户的核对表建立用户的核对表1.1.选择用户名和认证机制选择用户名和认证机制2.2.确定用户需要存储对象的表空间确定

2、用户需要存储对象的表空间3.3.确定每一个表空间的限额确定每一个表空间的限额4.4.指定缺省表空间和临时表空间指定缺省表空间和临时表空间5.5.建立用户建立用户6.6.给用户授予权限和角色给用户授予权限和角色建立一个新用户建立一个新用户:指导原则指导原则初始选择一个标准口令初始选择一个标准口令使用使用EXPIREEXPIRE关键字强制用户重新设置其口关键字强制用户重新设置其口令令始终要指定临时表空间始终要指定临时表空间一般不限制用户的定额一般不限制用户的定额;要谨慎使用要谨慎使用QUOTA QUOTA UNLIMITEDUNLIMITED训练用户训练用户:连接连接修改口令修改口令控制帐户锁和口

3、令控制帐户锁和口令ALTER USER peterIDENTIFIED BY hisgrandpaPASSWORD EXPIRE;修改用户的表空间定额修改用户的表空间定额ALTER USER peterQUOTA 0 ON data01;删除用户删除用户如果模式中包含对象，则需要使用如果模式中包含对象，则需要使用CASCADECASCADE子句子句DROP USER peter;DROP USER peter CASCADE;监控用户监控用户DBA_USERSUSERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABL

4、ESPACETEMPORARY_TABLESPACEDBA_TS_QUOTASUSERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS 用户管理 环境文件管理 权限管理 角色管理 常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理主要内容主要内容建立环境文件并分配给用户建立环境文件并分配给用户利用环境文件控制资源的使用利用环境文件控制资源的使用修改和删除环境文件修改和删除环境文件使用环境文件管理口令使用环境文件管理口令获得环境文件获得环境文件,指定的限制指定的限制,和口令管理和口令管理环境文件环境文件命名的资源和口令限制

5、的集合命名的资源和口令限制的集合通过通过CREATE/ALTER USERCREATE/ALTER USER命命令分配给用户令分配给用户可以启用或禁用可以启用或禁用可以涉及可以涉及DEFAULTDEFAULT环境文环境文件件可以在会话层或调用层限制可以在会话层或调用层限制系统资源系统资源帐户锁安全域资源限制直接权限临时表空间缺省表空间表空间定额验证机制角色权限使用环境文件管理资源使用环境文件管理资源1.1.创建环境文件创建环境文件2.2.为用户分配资源文件为用户分配资源文件3.3.启用资源限制启用资源限制创建环境文件创建环境文件:资源限制资源限制CREATE PROFILE developer

6、_prof LIMITSESSIONS_PER_USER 2CPU_PER_SESSION 10000IDLE_TIME 60CONNECT_TIME 480;ResourceCPU_PER_SESSION SESSIONS_PER_USERCONNECT_TIME IDLE_TIME LOGICAL_READS_PER _SESSIONPRIVATE_SGA DescriptionTotal CPU time measured in hundredths of secondsNumber of concurrent sessions allowed for each usernameElap

7、sed connect time measured in minutesPeriods of inactive time measured in minutesNumber of data blocks(physical and logical reads)Private space in the SGA measured in bytes(for MTS only)在会话层设置资源限制在会话层设置资源限制 资源CPU_PER_CALLLOGICAL_READS_PER _CALL说明CPU time per call in hundredths of secondsNumber of dat

8、a blocks在调用层设置资源限制在调用层设置资源限制为用户分配资源文件为用户分配资源文件CREATE USER user3 IDENTIFIED BY user3DEFAULT TABLESPACE data01TEMPORARY TABLESPACE tempQUOTA unlimited ON data01 PROFILE developer_prof;ALTER USER scott PROFILE developer_prof;启用资源限制启用资源限制将初始化参数将初始化参数RESOURCE_LIMITRESOURCE_LIMIT设置成设置成TRUETRUE或或使用带有启用参数的使

9、用带有启用参数的ALTER SYSTEMALTER SYSTEM命命令强制资源限制令强制资源限制ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;修改环境文件修改环境文件ALTER PROFILE default LIMITSESSIONS_PER_USER 5CPU_PER_CALL 3600IDLE_TIME 30;删除环境文件删除环境文件DROP PROFILE developer_prof;DROP PROFILE developer_prof CASCADE;查看资源限制查看资源限制 DBA_USERS-profile-usernameDBA_PROFILES

10、-profile-resource_name-resource_type(KERNEL)-limit口令管理口令管理用户 用户口令到期 口令到期和时效 和时效口令确认 口令确认口令历史 口令历史帐户锁 帐户锁建立环境 建立环境文件 文件启用口令管理启用口令管理使用环境文件并分配给用户来建立口令管使用环境文件并分配给用户来建立口令管理理使用使用CREATE USERCREATE USER或或ALTER USERALTER USER加锁加锁,解锁解锁,和期满帐户和期满帐户既使实例的既使实例的RESOURCE_LIMITRESOURCE_LIMIT的设置是的设置是FALSE,FALSE,口令限制仍始

11、终被强制口令限制仍始终被强制 创建环境文件创建环境文件:口令设置口令设置CREATE PROFILE grace_5 LIMIT FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LIFE_TIME 30 PASSWORD_REUSE_TIME 30 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_GRACE_TIME 5;口令设置口令设置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIME PASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescripti

12、onNumber of failed login attempts before lockout of the accountNumber of days for which the account remains locked upon password expirationLifetime of the password in days after which the password expiresGrace period in days for changing the password after the first successful login after the passwo

13、rd has expired口令设置口令设置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumber of days before a password can be reusedMaximum number of times a password can be reusedPL/SQL function that makes a password complexity check before a password is assigned用户提供的口令函数用户提供的口令函数函

14、数必须使用模式函数必须使用模式SYSSYS创建创建,并且具有以并且具有以下规范下规范:function_name(userid_parameter IN VARCHAR2(30),password_parameter IN VARCHAR2(30),old_password_parameter IN VARCHAR2(30)RETURN BOOLEAN口令确认函数口令确认函数 VERIFY_FUNCTIONVERIFY_FUNCTION长度最少四个字符长度最少四个字符口令不能和用户名相同口令不能和用户名相同口令至少有一个字母口令至少有一个字母,一个数字一个数字,和一和一个特殊字符个特殊字符本次

15、的口令与上一次的口令应当至少本次的口令与上一次的口令应当至少有三个字符不同有三个字符不同Password Password verification verification查看口令的有关信息查看口令的有关信息DBA_USERSDBA_USERSprofileprofileusernameusernameaccount_statusaccount_statuslock_datelock_dateexpiry_dateexpiry_dateDBA_PROFILESDBA_PROFILESprofileprofileresource_nameresource_nameresource_type(P

16、ASSWORD)resource_type(PASSWORD)limitlimit 用户管理 环境文件管理 权限管理 角色管理 常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理主要内容主要内容鉴别系统和对象权限鉴别系统和对象权限权限的授予与回收权限的授予与回收操作系统或口令文件认证的控制操作系统或口令文件认证的控制管理权限管理权限 两种类型的权限两种类型的权限:系统系统:使得用户可以执行数据库中特殊的使得用户可以执行数据库中特殊的操作操作对象对象:使得用户可以访问和操作特定的对使得用户可以访问和操作特定的对象象系统权限系统权限约有约有8080个系统权限个系统权限权限中

17、权限中ANYANY关键字意味着用户具有每关键字意味着用户具有每一个模式的权限一个模式的权限GRANTGRANT命令可以为一个或一组用户添命令可以为一个或一组用户添加权限加权限REVOKEREVOKE命令删除权限命令删除权限系统权限系统权限:例子例子类别 例子 INDEX CREATE ANY INDEXALTER ANY INDEXDROP ANY INDEX TABLE CREATE TABLECREATE ANY TABLEALTER ANY TABLEDROP ANY TABLESELECT ANY TABLEUPDATE ANY TABLEDELETE ANY TABLESESSION

18、 CREATE SESSIONALTER SESSIONRESTRICTED SESSIONTABLESPACE CREATE TABLESPACEALTER TABLESPACEDROP TABLESPACEUNLIMITED TABLESPACE授予系统权限授予系统权限GRANT CREATE SESSION,CREATE TABLE TO user1;GRANT CREATE SESSION TO scott WITH ADMIN OPTION;SYSDBASYSDBA和和SYSOPERSYSOPER权限权限类别 例子 SYSOPER STARTUPSHUTDOWN ALTER DATA

19、BASE OPEN|MOUNT ALTER DATABASE BACKUP CONTROLFILEALTER TABLESPACE BEGIN/END BACKUP RECOVER DATABASE,ALTER DATABASE ARCHIVELOGRESTRICTED SESSION SYSDBA SYSOPER privileges WITH ADMIN OPTIONCREATE DATABASERECOVER DATABASE UNTIL 显示系统权限显示系统权限DBA_SYS_PRIVS DBA_SYS_PRIVS GRANTEE GRANTEE PRIVILEGE PRIVILEGE

20、 ADMIN OPTION ADMIN OPTIONSESSION_PRIVS SESSION_PRIVS PRIVILEGE PRIVILEGE数据库层 数据库层 会话层 会话层系统权限限制系统权限限制O7_DICTIONARY_ACCESSIBILITY=O7_DICTIONARY_ACCESSIBILITY=TRUETRUE回复至回复至Oracle7Oracle7的工作特点的工作特点取消带有取消带有ANYANY关键字的系统权限限制关键字的系统权限限制缺省为缺省为TRUETRUE回收系统权限回收系统权限REVOKE CREATE TABLE FROM user1;REVOKE CREATE

21、 SESSION FROM scott;USER 1USER 1SCOTTSCOTT回收使用回收使用WITH ADMIN OPTIONWITH ADMIN OPTION的系统权限的系统权限DBADBA授予授予回收回收USER 1USER 1SCOTTSCOTTDBADBA结果结果回收使用回收使用WITH ADMIN OPTIONWITH ADMIN OPTION的系统权限的系统权限DBADBAUSER 1USER 1SCOTTSCOTT对象权限对象权限对象权限 表 视图 序号发生器 过程ALTER DELETE EXECUTE INDEX INSERT REFERENCES SELECT UP

22、DATE 授予对象权限授予对象权限GRANT EXECUTE ON dbms_pipe TO public;GRANT UPDATE(ename,sal)ON emp TO user1 WITH GRANT OPTION;DBA_TAB_PRIVS显示对象权限显示对象权限DBA_COL_PRIVSGRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLEGRANTEEOWNERTABLE_NAMECOLUMN_NAME GRANTORPRIVILEGEGRANTABLE回收对象权限回收对象权限REVOKE execute ON dbms_pipe FROM

23、scott;授予授予回收回收回收使用回收使用WITH GRANT WITH GRANT OPTIONOPTION的对象权限的对象权限SCOTTSCOTTSCOTTSCOTTUSER 1USER 1USER 1USER 1USER 2USER 2USER 2USER 2结果结果回收使用回收使用WITH GRANT WITH GRANT OPTIONOPTION的对象权限的对象权限SCOTTSCOTTUSER 1USER 1USER 2USER 2 用户管理 环境文件管理 权限管理 角色管理 常用工具的使用OracleOracle数据库的安全与管理数据库的安全与管理主要内容主要内容创建和修改角色创

24、建和修改角色控制角色的可用性控制角色的可用性删除角色删除角色使用预定义的角色使用预定义的角色从数据字典中获得角色的有关信息从数据字典中获得角色的有关信息角色角色用户用户权限权限角色角色更新EMP插入EMP 查询EMP创建表 创建会话HR_CLERK HR_MGRA AB BC C角色的好处角色的好处 减少权限的授予减少权限的授予 动态地管理权限动态地管理权限 选择性的权限可用性选择性的权限可用性 通过通过OSOS授予授予 非连带回收非连带回收 改善性能改善性能创建角色创建角色CREATE ROLE sales_clerk;CREATE ROLE hr_clerkIDENTIFIED BY bonus;CREATE ROLE hr_managerIDENTIFIED EXTERNALLY;