《oracle用户管理.ppt》由会员分享,可在线阅读,更多相关《oracle用户管理.ppt(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ORACLEORACLE安全管理安全管理OracleOracle数据安全性分类数据安全性分类 系统安全性系统安全性系统安全性系统安全性:系统级数据库存取和使用控制,:系统级数据库存取和使用控制,:系统级数据库存取和使用控制,:系统级数据库存取和使用控制,如口令机制,表空间,磁盘配额等如口令机制,表空间,磁盘配额等如口令机制,表空间,磁盘配额等如口令机制,表空间,磁盘配额等 数据安全性数据安全性数据安全性数据安全性:实体级数据库存取和使用控制,:实体级数据库存取和使用控制,:实体级数据库存取和使用控制,:实体级数据库存取和使用控制,如可以访问的对象以及可以进行的操作(查如可以访问的对象以及可以进
2、行的操作(查如可以访问的对象以及可以进行的操作(查如可以访问的对象以及可以进行的操作(查询,更新等)询,更新等)询,更新等)询,更新等)Oracle Oracle 帐户帐户 SYSSYSSYSSYS:具有:具有:具有:具有dbadbadbadba角色的管理帐户,角色的管理帐户,角色的管理帐户,角色的管理帐户,syssyssyssys方案中的任方案中的任方案中的任方案中的任何表和视图不能由任何其他数据库管理员操作何表和视图不能由任何其他数据库管理员操作何表和视图不能由任何其他数据库管理员操作何表和视图不能由任何其他数据库管理员操作 SYSTEM/managerSYSTEM/managerSYST
3、EM/managerSYSTEM/manager:执行管理任务:执行管理任务:执行管理任务:执行管理任务 SYSMANSYSMANSYSMANSYSMAN:企业管理器执行数据库管理的帐户:企业管理器执行数据库管理的帐户:企业管理器执行数据库管理的帐户:企业管理器执行数据库管理的帐户其他账户 DBSNMP/DBSNMPDBSNMP/DBSNMPDBSNMP/DBSNMPDBSNMP/DBSNMP:企业管理器的管理代理人组:企业管理器的管理代理人组:企业管理器的管理代理人组:企业管理器的管理代理人组件使用的帐户,用于监视和管理数据库件使用的帐户,用于监视和管理数据库件使用的帐户,用于监视和管理数据
4、库件使用的帐户,用于监视和管理数据库 DMSYS/DMSYSDMSYS/DMSYSDMSYS/DMSYSDMSYS/DMSYS:执行数据挖掘的帐户:执行数据挖掘的帐户:执行数据挖掘的帐户:执行数据挖掘的帐户 OLAPSYS/MANAGEROLAPSYS/MANAGEROLAPSYS/MANAGEROLAPSYS/MANAGER:用于创建:用于创建:用于创建:用于创建OLAPOLAPOLAPOLAP元数据结构元数据结构元数据结构元数据结构的帐户,拥有的帐户,拥有的帐户,拥有的帐户,拥有OLAP catalogOLAP catalogOLAP catalogOLAP catalog用户属性用户属性
5、 身份验证方式:身份验证方式:身份验证方式:身份验证方式:l l数据库身份验证数据库身份验证数据库身份验证数据库身份验证l l操作系统身份验证操作系统身份验证操作系统身份验证操作系统身份验证 默认表空间:默认表空间:默认表空间:默认表空间:临时表空间临时表空间临时表空间临时表空间 表空间配额表空间配额表空间配额表空间配额 概要文件概要文件概要文件概要文件 帐户状态帐户状态帐户状态帐户状态SQL select username,default_ SQL select username,default_ tablespace,temporary_tablespace tablespace,temp
6、orary_tablespace from dba_users;from dba_users;SQL select*from dba_ts_quotas;SQL select*from dba_ts_quotas;SQL select username,SQL select username,account_status,expiry_date from account_status,expiry_date from dba_users;dba_users;与用户相关的数据字典与用户相关的数据字典 DBA_USERSDBA_USERS DBA_TS_QUOTASDBA_TS_QUOTAS创建用
7、户创建用户 CREATE USER CREATE USER 用户名用户名用户名用户名 IDENTIFIED BY IDENTIFIED BY 口令口令口令口令 DEFUAULT TABLESPACE DEFUAULT TABLESPACE 默认表空间名默认表空间名默认表空间名默认表空间名 TEMPORARY TABLESPACE TEMPORARY TABLESPACE 临时表空间名临时表空间名临时表空间名临时表空间名QUOTA QUOTA 数值数值数值数值K/M|UNLIMITED ON K/M|UNLIMITED ON 表空间名表空间名表空间名表空间名PROFILE PROFILE 概要文
8、件名概要文件名概要文件名概要文件名ACCOUNT LOCK|ACCOUNT UNLOCKACCOUNT LOCK|ACCOUNT UNLOCKALTER USER ALTER USER 其它选项跟其它选项跟其它选项跟其它选项跟createcreate格式相同格式相同格式相同格式相同授予用户系统权限授予用户系统权限授予用户授予用户授予用户授予用户blueblueblueblue系统权限系统权限系统权限系统权限 GRANT CREATE SESSION TO BLUEGRANT CREATE SESSION TO BLUE授予用户授予用户授予用户授予用户blueblueblueblue系统权限,并
9、允许授予其它用户系统权限,并允许授予其它用户系统权限,并允许授予其它用户系统权限,并允许授予其它用户 GRANT CREATE SESSION TO BLUE GRANT CREATE SESSION TO BLUE WITH ADMIN WITH ADMIN OPTIONOPTION收回权限收回权限收回权限收回权限 REVOKE CREATE SESSION FROM BLUEREVOKE CREATE SESSION FROM BLUE授予用户对象权限授予用户对象权限对象权限的授予和回收对象权限的授予和回收Grant execute on dbms_output to blueGrant
10、execute on dbms_output to blueGrant update on emi.teachers to blue with Grant update on emi.teachers to blue with grant optiongrant optionRevoke select on emi.orders from blueRevoke select on emi.orders from blue与权限相关的数据字典与权限相关的数据字典 dba_sys_privsdba_sys_privs:授予用户和角色的系统权限:授予用户和角色的系统权限:授予用户和角色的系统权限:授
11、予用户和角色的系统权限 session_privssession_privs:用户当前能获得的权限:用户当前能获得的权限:用户当前能获得的权限:用户当前能获得的权限 dba_tab_privsdba_tab_privs:所有数据库对象的授权情况:所有数据库对象的授权情况:所有数据库对象的授权情况:所有数据库对象的授权情况 dba_col_privsdba_col_privs:所有用户或角色的列权限信息:所有用户或角色的列权限信息:所有用户或角色的列权限信息:所有用户或角色的列权限信息 select*from dictionary where table_name select*from dic
12、tionary where table_name like%PRIVS%like%PRIVS%删除用户删除用户DROP USER user_name CASCADEDROP USER user_name CASCADE 角色角色管理角色管理创建角色创建角色 create role role1create role role1;create role role2 identified by 1234create role role2 identified by 1234授予角色权限授予角色权限 grant create table to rolegrant create table to rol
13、e 收回角色的权限收回角色的权限 REVOKE REVOKE ALL PRIVILEGES/CREATE TABLEALL PRIVILEGES/CREATE TABLE FROM ROLE2FROM ROLE2角色管理角色管理将角色授予用户将角色授予用户将角色授予用户将角色授予用户 GRANT ROLE1 TO SCOTTGRANT ROLE1 TO SCOTTGRANT ROLE1 TO SCOTTGRANT ROLE1 TO SCOTT GRANT ROLE2 TO SCOTT GRANT ROLE2 TO SCOTT GRANT ROLE2 TO SCOTT GRANT ROLE2 T
14、O SCOTT 将角色授予角色将角色授予角色将角色授予角色将角色授予角色 GRANT ROLE2 TO ROLE1GRANT ROLE2 TO ROLE1GRANT ROLE2 TO ROLE1GRANT ROLE2 TO ROLE1撤销角色撤销角色撤销角色撤销角色 REVOKE ROLE1REVOKE ROLE1REVOKE ROLE1REVOKE ROLE1,ROLE2 FROM SCOTTROLE2 FROM SCOTTROLE2 FROM SCOTTROLE2 FROM SCOTT角色管理角色管理设置用户默认角色设置用户默认角色设置用户默认角色设置用户默认角色 ALTER USER S
15、COTT DEFAULT ROLE ROLE1ALTER USER SCOTT DEFAULT ROLE ROLE1ALTER USER SCOTT DEFAULT ROLE ROLE1ALTER USER SCOTT DEFAULT ROLE ROLE1;控制角色使用控制角色使用控制角色使用控制角色使用 SET ROLE ALL SET ROLE ALL SET ROLE ALL SET ROLE ALL 允许所有的角色允许所有的角色允许所有的角色允许所有的角色 SET ROLE NONE SET ROLE NONE SET ROLE NONE SET ROLE NONE 禁止所有角色禁止所
16、有角色禁止所有角色禁止所有角色 SET ROLE RESOURCE SET ROLE RESOURCE SET ROLE RESOURCE SET ROLE RESOURCE 设置当前角色为设置当前角色为设置当前角色为设置当前角色为RESOURCERESOURCERESOURCERESOURCE SET ROLE ALL EXCEPT ROLE1 SET ROLE ALL EXCEPT ROLE1 SET ROLE ALL EXCEPT ROLE1 SET ROLE ALL EXCEPT ROLE1,ROLE2 ROLE2 ROLE2 ROLE2 删除角色删除角色删除角色删除角色 drop r
17、ole role1drop role role1drop role role1drop role role1角色管理角色管理dba_roles dba_roles user_role_privs,dba_role_privsuser_role_privs,dba_role_privsuser_sys_privs,dba_sys_privsuser_sys_privs,dba_sys_privscolum_privilegescolum_privilegesrole_role_privs,role_sys_privs,role_role_privs,role_sys_privs,role_tab
18、_privsrole_tab_privssession_privs,session_rolessession_privs,session_roles 跟角色相关的数据字典跟角色相关的数据字典跟角色相关的数据字典跟角色相关的数据字典用户与角色和权限的关系用户与角色和权限的关系数据库管理员的安全策略数据库管理员的安全策略l l负责数据库的一切对象及其访问权限,数据库性能负责数据库的一切对象及其访问权限,数据库性能负责数据库的一切对象及其访问权限,数据库性能负责数据库的一切对象及其访问权限,数据库性能的优化,以及数据库的升级,备份和恢复等等的优化,以及数据库的升级,备份和恢复等等的优化,以及数据库的
19、升级,备份和恢复等等的优化,以及数据库的升级,备份和恢复等等l l数据库几个默认数据库几个默认数据库几个默认数据库几个默认DBADBADBADBA:sys sys sys sys 和和和和systemsystemsystemsysteml l定期修改密码,注意密码设置的复杂性定期修改密码,注意密码设置的复杂性定期修改密码,注意密码设置的复杂性定期修改密码,注意密码设置的复杂性应用开发者的安全策略应用开发者的安全策略l l需要授予创建他们工作所需对象的权限,如需要授予创建他们工作所需对象的权限,如需要授予创建他们工作所需对象的权限,如需要授予创建他们工作所需对象的权限,如CREATE TABLE
20、CREATE TABLECREATE TABLECREATE TABLE,CREATE PROCEDURECREATE PROCEDURECREATE PROCEDURECREATE PROCEDURE,CREATE INDEXCREATE INDEXCREATE INDEXCREATE INDEX,CREATE VIEWCREATE VIEWCREATE VIEWCREATE VIEW等等等等l l对于对于对于对于CREATE ANY CREATE ANY CREATE ANY CREATE ANY 系统权限一般不授予开发人员系统权限一般不授予开发人员系统权限一般不授予开发人员系统权限一般不
21、授予开发人员l lRESOURCE RESOURCE RESOURCE RESOURCE 角色是为应用开发者提供的默认角色,但需要扩充角色是为应用开发者提供的默认角色,但需要扩充角色是为应用开发者提供的默认角色,但需要扩充角色是为应用开发者提供的默认角色,但需要扩充最终用户的安全策略最终用户的安全策略l l必须拥有必须拥有必须拥有必须拥有create session create session create session create session 系统权限,系统权限,系统权限,系统权限,connectconnectconnectconnect角色就是为最终角色就是为最终角色就是为最终角
22、色就是为最终用户连接数据库而设的用户连接数据库而设的用户连接数据库而设的用户连接数据库而设的l l对最终用户分组(会计组,出纳组),然后为每个组创建不同对最终用户分组(会计组,出纳组),然后为每个组创建不同对最终用户分组(会计组,出纳组),然后为每个组创建不同对最终用户分组(会计组,出纳组),然后为每个组创建不同的角色,然后为每个角色赋予必要的权限或应用角色,再将这的角色,然后为每个角色赋予必要的权限或应用角色,再将这的角色,然后为每个角色赋予必要的权限或应用角色,再将这的角色,然后为每个角色赋予必要的权限或应用角色,再将这些角色赋予相应的用户组些角色赋予相应的用户组些角色赋予相应的用户组些角
23、色赋予相应的用户组l l对于个别用户需要特殊的权限,可以单独再追加对于个别用户需要特殊的权限,可以单独再追加对于个别用户需要特殊的权限,可以单独再追加对于个别用户需要特殊的权限,可以单独再追加数据库安全综述数据库安全综述 Oracle Oracle Oracle Oracle 口令管理策略是由口令管理策略是由口令管理策略是由口令管理策略是由dbadbadbadba和安全员通过用户的概要和安全员通过用户的概要和安全员通过用户的概要和安全员通过用户的概要文件来控制文件来控制文件来控制文件来控制 帐户锁定帐户锁定帐户锁定帐户锁定CREATE PROFILE prof LIMITCREATE PROF
24、ILE prof LIMITFAILED_LOGIN_ATTEMPTS 4 /FAILED_LOGIN_ATTEMPTS 4 /密码尝试次数密码尝试次数密码尝试次数密码尝试次数4 4次次次次PASSWORD_LOCK_TIME 30;PASSWORD_LOCK_TIME 30;分配用户概要文件分配用户概要文件分配用户概要文件分配用户概要文件ALTER USER blue PROFILE prof;ALTER USER blue PROFILE prof;注:概要文件创建及分配由注:概要文件创建及分配由注:概要文件创建及分配由注:概要文件创建及分配由dbadba完成完成完成完成数据库安全综述数据
25、库安全综述 口令管理的策略口令管理的策略口令管理的策略口令管理的策略 口令期限和到期口令期限和到期口令期限和到期口令期限和到期 create profile pp2 limit create profile pp2 limit failed_login_attempts 2 failed_login_attempts 2 password_lock_time 1/24 password_lock_time 1/24 password_life_time 90 password_life_time 90 password_grace_time 3 password_grace_time 3数据库
26、安全综述数据库安全综述 口令管理的策略口令管理的策略口令管理的策略口令管理的策略 口令历史口令历史口令历史口令历史CTEATE PROFILE PROF LIMITCTEATE PROFILE PROF LIMITPASSWORD_REUSE_TIME 60 PASSWORD_REUSE_TIME 60/60/60/60/60天内不能重用该口天内不能重用该口天内不能重用该口天内不能重用该口 令令令令PASSWORD_REUSE_MAX 3 PASSWORD_REUSE_MAX 3/再次使用当前口令,用再次使用当前口令,用再次使用当前口令,用再次使用当前口令,用 户必须修改口令户必须修改口令户必
27、须修改口令户必须修改口令3 3 3 3次次次次数据库安全综述数据库安全综述 资源配置资源配置资源配置资源配置 Oracle Oracle Oracle Oracle 资源配置是由资源配置是由资源配置是由资源配置是由dbadbadbadba概要文件来控制概要文件来控制概要文件来控制概要文件来控制 create profile app_user limitcreate profile app_user limit sessions_per_user unlimited sessions_per_user unlimited cpu_per_session unlimited cpu_per_session unlimited cpu_per_call 3000 cpu_per_call 3000 connect_time 45 connect_time 45 logical_reads_per_session default logical_reads_per_session default logical_reads_per_call 1000 logical_reads_per_call 1000 private_sga 15k;private_sga 15k;