Oracle数据库的安全与管理

•用户管理•环境文件管理•权限管理•角色管理•常用工具的使用Oracle数据库的安全与管理主要内容•建立新的数据库用户•修改和删除存在的数据库用户•监控存在的数据库用户的有关信息帐户锁表空间限额临时表空间缺省表空间角色权限资源限定安全域用户和安全直接权限认证机制表-触发器-约束索引视图序号发生器存储程序单元同义词用户定义的数据类型数据库链接数据库模式建立用户的核对表1.选择用户名和认证机制2.确定用户需要存储对象的表空间3.确定每一个表空间的限额4.指定缺省表空间和临时表空间5.建立用户6.给用户授予权限和角色建立一个新用户:指导原则•初始选择一个标准口令•使用EXPIRE关键字强制用户重新设置其口令•始终要指定临时表空间•一般不限制用户的定额;要谨慎使用QUOTAUNLIMITED•训练用户:–连接–修改口令控制帐户锁和口令ALTERUSERpeterIDENTIFIEDBYhisgrandpaPASSWORDEXPIRE;修改用户的表空间定额ALTERUSERpeterQUOTA0ONdata01;删除用户如果模式中包含对象，则需要使用CASCADE子句DROPUSERpeter;DROPUSERpeterCASCADE;监控用户DBA_USERSUSERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACEDBA_TS_QUOTASUSERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS•用户管理•环境文件管理•权限管理•角色管理•常用工具的使用Oracle数据库的安全与管理主要内容–建立环境文件并分配给用户–利用环境文件控制资源的使用–修改和删除环境文件–使用环境文件管理口令–获得环境文件,指定的限制,和口令管理环境文件–命名的资源和口令限制的集合–通过CREATE/ALTERUSER命令分配给用户–可以启用或禁用–可以涉及DEFAULT环境文件–可以在会话层或调用层限制系统资源帐户锁安全域资源限制直接权限临时表空间缺省表空间表空间定额验证机制角色权限使用环境文件管理资源1.创建环境文件2.为用户分配资源文件3.启用资源限制创建环境文件:资源限制CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;ResourceCPU_PER_SESSIONSESSIONS_PER_USERCONNECT_TIMEIDLE_TIMELOGICAL_READS_PER_SESSIONPRIVATE_SGADescriptionTotalCPUtimemeasuredinhundredthsofsecondsNumberofconcurrentsessionsallowedforeachusernameElapsedconnecttimemeasuredinminutesPeriodsofinactivetimemeasuredinminutesNumberofdatablocks(physicalandlogicalreads)PrivatespaceintheSGAmeasuredinbytes(forMTSonly)在会话层设置资源限制资源CPU_PER_CALLLOGICAL_READS_PER_CALL说明CPUtimepercallinhundredthsofsecondsNumberofdatablocks在调用层设置资源限制为用户分配资源文件CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEdata01TEMPORARYTABLESPACEtempQUOTAunlimitedONdata01PROFILEdeveloper_prof;ALTERUSERscottPROFILEdeveloper_prof;启用资源限制–将初始化参数RESOURCE_LIMIT设置成TRUE或–使用带有启用参数的ALTERSYSTEM命令强制资源限制ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;修改环境文件ALTERPROFILEdefaultLIMITSESSIONS_PER_USER5CPU_PER_CALL3600IDLE_TIME30;删除环境文件DROPPROFILEdeveloper_prof;DROPPROFILEdeveloper_profCASCADE;查看资源限制DBA_USERS-profile-usernameDBA_PROFILES-profile-resource_name-resource_type(KERNEL)-limit口令管理用户口令到期和时效口令确认口令历史帐户锁建立环境文件启用口令管理–使用环境文件并分配给用户来建立口令管理–使用CREATEUSER或ALTERUSER加锁,解锁,和期满帐户–既使实例的RESOURCE_LIMIT的设置是FALSE,口令限制仍始终被强制创建环境文件:口令设置CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;口令设置ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIMEPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEDescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpirationLifetimeofthepasswordindaysafterwhichthepasswordexpiresGraceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired口令设置ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAXPASSWORD_VERIFY_FUNCTIONDescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereusedPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned用户提供的口令函数•函数必须使用模式SYS创建,并且具有以下规范:function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30))RETURNBOOLEAN口令确认函数VERIFY_FUNCTION–长度最少四个字符–口令不能和用户名相同–口令至少有一个字母,一个数字,和一个特殊字符–本次的口令与上一次的口令应当至少有三个字符不同Passwordverification查看口令的有关信息–DBA_USERS•profile•username•account_status•lock_date•expiry_date–DBA_PROFILES•profile•resource_name•resource_type(PASSWORD)•limit•用户管理•环境文件管理•权限管理•角色管理•常用工具的使用Oracle数据库的安全与管理主要内容–鉴别系统和对象权限–权限的授予与回收–操作系统或口令文件认证的控制管理权限两种类型的权限:•系统:使得用户可以执行数据库中特殊的操作•对象:使得用户可以访问和操作特定的对象系统权限•约有80个系统权限•权限中ANY关键字意味着用户具有每一个模式的权限•GRANT命令可以为一个或一组用户添加权限•REVOKE命令删除权限系统权限:例子类别例子INDEXCREATEANYINDEXALTERANYINDEXDROPANYINDEXTABLECREATETABLECREATEANYTABLEALTERANYTABLEDROPANYTABLESELECTANYTABLEUPDATEANYTABLEDELETEANYTABLESESSIONCREATESESSIONALTERSESSIONRESTRICTEDSESSIONTABLESPACECREATETABLESPACEALTERTABLESPACEDROPTABLESPACEUNLIMITEDTABLESPACE授予系统权限GRANTCREATESESSION,CREATETABLETOuser1;GRANTCREATESESSIONTOscottWITHADMINOPTION;SYSDBA和SYSOPER权限类别例子SYSOPERSTARTUPSHUTDOWNALTERDATABASEOPEN|MOUNTALTERDATABASEBACKUPCONTROLFILEALTERTABLESPACEBEGIN/ENDBACKUPRECOVERDATABASE,ALTERDATABASEARCHIVELOGRESTRICTEDSESSIONSYSDBASYSOPERprivilegesWITHADMINOPTIONCREATEDATABASERECOVERDATABASEUNTIL显示系统权限DBA_SYS_PRIVS•GRANTEE•PRIVILEGE•ADMINOPTIONSESSION_PRIVS•PRIVILEGE数据库层会话层系统权限限制•O7_DICTIONARY_ACCESSIBILITY=TRUE–回复至Oracle7的工作特点–取消带有ANY关键字的系统权限限制–缺省为TRUE回收系统权限REVOKECREATETABLEFROMuser1;REVOKECREATESESSIONFROMscott;USER1SCOTT回收使用WITHADMINOPTION的系统权限DBA授予回收USER1SCOTTDBA结果回收使用WITHADMINOPTION的系统权限DBAUSER1SCOTT对象权限对象权限表视图序号发生器过程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE授予对象权限GRANTEXECUTEONdbms_pipeTOpublic;GRANTUPDATE(ename,sal)ONempTOuser1WITHGRANTOPTION;DBA_TAB_PRIVS显示对象权限DBA_COL_PRIVSGRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLEGRANTEEOWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRANTABLE回收对象权限REVOKEexecuteONdbms_pipeFROMscott;授予回收回收使用WITHGRANTOPTION的对象权限SCOTTSCOTTUSER1USER1USER2USER2结果回收使用WITHGRANTOPTION的对象权限SCOTTUSER1USER2•用户管理•环境文件管理•权限管理•角色管理•常用工具的使用Oracle数据库的安全与管理主要内容–创建和修改角色–控制角色的可用性–删除角色