SQL server登录名,用户,角色 sql安全管理 数据库安全

最新推荐文章于 2024-03-13 11:07:31 发布
最新推荐文章于 2024-03-13 11:07:31 发布
阅读量3.2k 收藏 23
点赞数 5
分类专栏: SQL 文章标签: 数据库安全 SQL安全管理 sql登录名 sql用户 sql角色
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ThinPikachu/article/details/102795649
版权

安全性是所有数据库管理系统的一个重要特征。理解安全性问题是理解数据库管理系统安全性机制的前提。
下面结合Microsoft SQL Server 2008系统的安全特征,分析安全性问题和安全性机制之间的关系。

数据库安全控制的一般方法

身份验证

  • 最常用的”用户名/密码”
  • 高级的采用生物特征,如:指纹、虹膜

访问控制

  • 目的是防止非法用户进入系统以及合法用户对系统资源的非法利用
  • 对用户访问数据库各种对象的权限的控制,通过用户分类和数据分类实现。

文件操作控制

  • 对操作系统用户管理和权限进行合理分配,防止操作系统用户非法进入数据库系统,合理设置数据库文件的访问权限,防止文件被未授权修改

数据加密存储

  • 将明文变成密

登录到系统

  • 第一个安全性问题:当用户登录数据库系统时,如何确保只有合法的用户才能登录到系统中?这是一个最基本的安全性问题,也是数据库管理系统提供的基本功能。

在Microsoft SQL Server 2008系统中,通过身份验证模式和主体解决这个问题。

身份验证模式是Microsoft SQL Server 2008系统验证客户端和服务器之间连接的方式。Microsoft SQL Server 2008系统提供了两种身份验证模式:Windows身份验证模式和混合模式。

  • 在Windows身份验证模式中,用户通过Microsoft Windows用户账户连接时,SQL Server使用Windows操作系统中的信息验证账户名和密码。Windows身份验证模式使用Kerberos安全协议,通过强密码的复杂性验证提供密码策略强制、账户锁定支持、支持密码过期等。
  • 在混合模式中,当客户端连接到服务器时,既可能采取Windows身份验证,也可能采取SQL Server身份验证。当设置为混合模式时,允许用户使用Windows身份验证SQL Server身份验证进行连接。

这里要引入主体的概念

主体是可以请求系统资源的个体、组合过程。例如,数据库用户是一种主体,可以按照自己的权限在数据库中执行操作和使用相应的数据。主体是可以请求系统资源的个体、组合过程。例如,数据库用户是一种主体,可以按照自己的权限在数据库中执行操作和使用相应的数据。

而在Microsoft SQL Server 2008系统有多种不同的主体,不同主体之间的关系是典型的层次结构关系,位于不同层次上的主体其在系统中影响的范围也不同。位于层次比较高的主体,其作用范围比较大;位于层次比较低的主体,其作用范围比较小。

  • 第二个安全性问题:当用户登录到系统中,他可以执行哪些操作、使用哪些对象和资源?

这也是一个基本的安全问题,在Microsoft SQL Server 2008系统中,通过安全对象和权限设置来解决这个问题。

主体和安全对象的结构示意图

  • 第三个安全性问题:数据库中的对象由谁所有?如果是由用户所有,那么当用户被删除时,其所拥有的对象怎么办,难道数据库对象可以成为没有所有者的“孤儿”吗?

在MS SQL Server 2008系统中,这个问题是通过用户和架构分离来解决的。

数据库对象、架构和用户之间的关系

三个认证过程与用户来源

三个认证过程包括:

  • 系统登录—用户登录到 SQL Server
  • 数据库访问—访问用户数据库、系统数据库
  • 数据操作—对表、视图、存储过程的操作

一个用户要对某一个数据库进行操作 ,必须同时满足两个条件:

  • 能连接到SQL Server服务器(连接权)
  • 有执行该操作的权限(访问权、操作权)
  • 首先要求能够合法地登录到SQL Server上,其具体表现就是合法的登录账户(用户名/密码),解决了“连接权”
  • 其次要验证是不是特定数据库的合法用户,就需要检查刚才的登录名有没有在数据库中加以映射,解决了“访问权”
  • 最后要验证刚才的用户是否对数据库的特定对象具有操作的权限,解决了“操作权”

例:学校大门—Windows; 实验楼—SQL Server
      实验室—数据库;   做实验—具体操作

管理登录名

  • 管理登录名包括创建登录名、设置密码策略、查看登录名信息及修改和删除登录名等。
  • sa是一个默认的SQL Server登录名,拥有操作SQL Server系统的所有权限。该登录名不能被删除。当采用混合模式安装SQL Server系统之后,应该为sa指定一个密码。

创建登录名

  • 在SQL Server 2008系统中,许多操作都既可以通过T-SQL语句完成,也可以通过SQL Server Management Studio(SSMS)工具来完成。
  • 在创建登录名时,既可以通过将Windows登录名映射到SQL Server系统中,也可以创建SQL Server登录名。

维护登录名

  • 登录名创建之后,可以根据需要修改登录名的名称、密码、密码策略、默认的数据库等信息,可以禁用或启用该登录名,甚至可以删除不需要的登录名。

管理数据库用户

  • 数据库用户是数据库级的主体,是登录名在数据库中的映射,是在数据库中执行操作和活动的行动者。
  • 在SQL Server 2008系统中,数据库用户不能直接拥有表、视图等数据库对象,而是通过架构拥有这些对象。数据库用户管理包括创建用户、查看用户信息、修改用户、删除用户等操作。(进入实验楼的不一定都有进入实验室的权限,如守卫楼的阿姨等)

sa登录

  • sa登录是系统管理员的登录。在以前的SQL Server版本中不存在角色,sa登录具有所有可能的关于系统管理工作的权限。从SQL Server 2005开始,sa登录保持了向后兼容性。sa登录永远是固定服务器角色syadmin中的成员,并且不能从该角色中删除。

创建用户

  • 可以使用CREATE USER语句在指定的数据库中创建用户。
  • 由于用户是登录名在数据库中的映射,因此在创建用户时需要指定登录名。

维护用户

  • 可以使用ALTER USER语句修改用户。修改用户包括两个方面,第一,可以修改用户名;第二可以修改用户的默认架构。
  • 修改用户名与删除、重建用户是不同的。修改用户名仅仅是名称的改变,不是用户与登录名对应关系的改变,也不是用户与架构关系的变化。

修改和删除

  • 如果用户不再需要了,可以使用DROP USER语句删除数据库中的用户。
  • 也可以使用ALTER USER语句修改指定用户的默认架构,这时可以使用WITH DEFAULT_ SCHEMA子句。

数据库角色

  • 数据库角色是数据库级别的主体,也是数据库用户的集合。数据库用户可以作为数据库角色的成员,继承数据库角色的权限。数据库管理人员可以通过管理角色的权限来管理数据库用户的权限。
  • Microsoft SQL Server 2008系统提供了一些固定数据库角色和public特殊角色

每个教师都要有浏览全校学生的权限,但有的教师(如辅导员)可以修改学生个人信息与查看学生成绩,而另一些教师(如专业课教师)可以查看学生个人信息与修改学生成绩,怎样分别给他们授权?
(建立两种权限角色:一个“浏览成绩+修改个人信息”,一个“浏览个人信息+修改成绩”,将每个教师赋予特定的角色标志)

固定数据库角色

  • 就像固定服务器角色一样,固定数据库角色也具有了预先定义好的权限。使用固定数据库角色可以大大简化数据库角色权限管理工作。
  • SQL Server 2008系统提供了9个固定数据库角色。
  • 固定数据库角色都有预先定义好的权限,不能为这些角色增加或删除权限。

public角色

  • 除了前面介绍的固定数据库角色之外,SQL Server系统成功安装之后,还有一个特殊的角色,这就是public角色。
  • public角色有两大特点:
    • 初始状态时没有权限;
    • 所有的数据库用户都是它的成员。
  • 虽然初始状态下public角色没有任何权限,但是可以为该角色授予权限。

管理权限

  • 权限是执行操作、访问数据的通行证。只有拥有了针对某种安全对象的指定权限,才能对该对象执行相应的操作。
  • 在SQL Server 2008系统中,不同的对象有不同的权限。
  • 为了更好地理解权限管理的内容,下面介绍权限的类型、常用对象的权限、隐含的权限、授予权限、收回权限、否认权限等几方面内容。

权限的类型

  • 在SQL Server 2008系统中,不同的分类方式可以把权限分成不同的类型。如果依据权限是否预先定义,可以把权限分为预先定义的权限和预先未定义的权限。
  • 预先定义的权限是指那些系统安装之后,不必通过授予权限即拥有的权限。
  • 预先未定义的权限是指那些需要经过授权或继承才能得到的权限。

对象权限

  • 如果按照权限是否与特定的对象有关,可以把权限分为针对所有对象的权限和针对特殊对象的权限。
  • 针对所有对象的权限表示这种权限可以针对SQL Server系统中所有的对象,例如,CONTROL权限是所有对象都有的权限。
  • 针对特殊对象的权限是指某些权限只能在指定的对象上起作用,例如INSERT可以是表的权限,但是不能是存储过程的权限,而EXECUTE可以是存储过程的权限,但是不能是表的权限。下面,详细讨论这两种权限类型。
  • 在SQL Server 2008系统中,针对所有对象的权限包括CONTROL、ALTER、ALTER ANY、TAKE OWNERSHIP、INPERSONATE、CREATE、VIEW DEFINITION等。

常用对象的权限

  • 在使用GRANT语句、REVOKE语句、DENY语句执行权限管理操作时,经常使用ALL关键字表示指定安全对象的常用权限。
  • 不同的安全对象往往具有不同的权限。
  • 需要注意的是:SQL Server 2008 只提供自主存储控制语句,其安全性达到TCSEC标准的C1级;不提供强制存储控制语句,所以不能达到B1级。

授予权限

  • 在SQL Server 2008系统中,可以使用GRANT语句将安全对象的权限授予指定的安全主体。这些可以使用GRANT语句授权的安全对象包括应用程序角色、程序集、非对称密钥、证书、约定、数据库、端点、全文目录、函数、消息类型、对象、队列、角色、路由、架构、服务器、服务、存储过程、对称密钥、系统对象、表、类型、用户、视图和XML架构集合等。
  • GRANT语句的语法是比较复杂的,不同的安全对象有不同的权限,因此也有不同的授权方式。

收回权限

  • 如果希望从某个安全主体处收回权限,可以使用REVOKE语句。
  • REVOKE语句是与GRANT语句相对应的,可以把通过GRANT语句授予给安全主体的权限收回。
  • 也就是说,使用REVOKE语句可以删除通过GRANT语句授予给安全主体的权限。

否认权限

  • 安全主体可以通过两种方式获得权限:
    • 通过作为角色成员继承角色的权限(祖上的遗产)
    • 直接使用GRANT语句为其授予权限 (个人自己奋斗)
  • 使用REVOKE语句只能删除安全主体通过GRANT得到的权限,要想彻底删除安全主体的特定权限必须使用DENY语句。
  • DENY语句的语法形式与REVOKE语句非常类似。

SQL Server 2008内置的加密机制

  • SQL Server 2008系统不是简单地提供一些加密函数,而是把成熟的数据安全技术引进到数据库中,形成了一个清晰的内置加密层次结构。
  • 加密是一种保护数据的机制,它通过将原始数据打乱,达到只有经过授权的人员才能访问和读取数据、未授权人不能识别或读取数据的目的,从而增强了数据的保密性。

对称加密机制和非对称加密机制示意图

 

瘦弱的皮卡丘
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DBTransfer - SQL Server数据库迁移免费小工具
05-05
本免费小工具适用于迁移SQLServer数据库(从低版本到高版本,或者从A服务器到B服务器)。只要提前做好配置和准备,不管用户库的数据量有多大,每次迁移需要停止业务的时间都可以控制在5分钟之内(操作熟练的话,2分钟足够)。 1. 源服务器和目标服务器之间可以有高速LAN(这时用共享文件夹),也可以没有LAN 相通(这时用移动硬盘)。 2. 源服务器上的登录名,密码都会自动被迁移到目标服务器上,而且登录名到每个用户库 的映射关系也会被自动迁移。 总之,迁移结束后,目标服务器就可以像源服务器那样马上直接使用,不需要做任何改动。
SQL Server 2008 数据库中创建只读用户的方法
12-15
SQL Server 2008中,为了保护数据库的安全,需要给不同的使用者开通不同的访问用户,那么如何简单的控制用户的权限呢?下面我们就创建一个只读用户,给大家学习使用。 SQL Server 2008 Microsoft SQLServer Management Studio 1、首先打开【Microsoft SQLServer Management Studio】,用管理员账户登录。这里我选的服务器是【local】,账户是【windows身份验证】,如果是连接远程的服务器,输入远程服务器地址即可。 2、找到【安全性】,打开,可以看到【登录名】,在上面右键。 3、选择【新建登录名
SQL-server-2005-登录名角色用户角色、架构.doc
08-12
简述microsoft-sql-server登录名角色用户、架构之间的关系
SQLServer无法打开用户默认数据库 登录失败错误4064的解决方法
12-15
无法打开用户默认数据库,登录失败,其原因是登录帐户的默认数据库被删除。     解决办法是使用管理员帐户修改此登录帐户的默认数据库。     1、使用管理员帐号登入企业管理器,在“对象资源管理器”中,展开“安全性”——“登录名”,右键该帐户点击“属性”     2、在“登录属性”的对话框中,第一个“常规”选项卡界面的右边更改默认的数据库。     如果出问题的就是你的管理员帐户,你无法登入企业管理器里修改,可以使用以下命令,     SQL Server 2000用户打开CMD命令提示符,使用以下命令:          SQL帐户登录方式:isql -U”密码” -P”jtydl” -d
SQL Server客户端登录名与数据库用户关联
01-19
数据库迁移之后,在新的SQL Server客户端工具设置关联时,往往会报错:   用户、组或角色 'XXX' 在当前数据库中已存在。   解决方法:   首先介绍一下sql server中“登录”与“用户”的区别,“登录”用于用户身份验证,而数据库“用户”帐户用于数据库访问和权限验证。登录通过安全识别符 (SID) 与用户关联。   将数据库恢复到其他服务器时,数据库中包含一组用户和权限,但此时数据库服务器没有与这一组用户关联的登录名。这种情况被称为存在“孤立用户”。此时不能通过新建登录或者是对同名登录授予对应数据库的“用户”权限来解决登录问题,因为SQL Server会报出“错误15
SQL Server基本操作
qq_43211632的博客
03-14 3958
1、启动SQL Server数据库服务有以下三种方式 ①后台启动服务   “我的电脑”,右键单击——>管理——>服务和应用程序——>双击“服务”,这里会显示系统中所有服务。找到SQL Server (MSSOLSERVER)这个服务,此时我们就可以选择启动此服务 ②SQL Server配置管理器启动服务   开始——>全部程序——>Microsoft SQL Ser...
SQL Server 2000数据库添加用户名和密码
热门推荐
一只写bug的程序猿的博客
08-16 1万+
SQL Server 2000数据库添加用户名和密码 1. 打开Microsoft SQL Server 2000的企业管理器,在左侧的“控制台根目录”窗口中,打开“安全性”文件夹,在“登录”上面单击鼠标右键,点击“新建登录”命令。如下图所示: 2. 打开“SQL Server 登录属性”对话框。如下图所示: 3. 在“常规”选项卡中: 名称:输入一个登录
SQL Server口令密码对照表
蓝色的雨
10-21 2528
SQL Server口令密码对照表SQL Server在1433端口传输的数据大部分是明文的,这包括IP地址,连接用户名,成功和失败消息 这样一来,就很容易使用嗅探器嗅探在这个网段内SQL Server的相关信息,得到用户名和IP后,就 差口令了,其实SQL的口令加密是十分脆弱的,昨天我用了半小时,整理了一份口令字符对照表,在 分析SQL Server加密口令的时候,同时发现了SQL Server
如何将SQLServer 2000链接服务器的密码破解为明文
08-23 1万+
MSSQL有一个LINKSERVER的功能——链接服务器,每字符加密为4位,不用管加密算法,可以撞出来。 查看我的版本号 然后就执行下面的代码首先查看我的连接 代码语句:Exec sp_helpserver  现在看到数据库里面有6个连接现在我要新建立一个linkserver连接名字为dhlinkserver 第一步,先建立一个linkserver
sqlserver学习笔记(二)—— 创建登录名用户
weixin_30871293的博客
08-24 1715
(重要参考:51自学网——SQL Server数据库教程) 登录名用户名的区别: 1.登录名是指可以使用新建的登录名和密码登录数据库这个程序软件,但不能打开或展开用户自己创建的数据库; 2.用户名是在登录名基础上,为用户自己创建的数据库新加的可查看用户,但要进行增查改删操作仍然需要为该用户添加使用权限。用户名可以与登录名相同,也可以不同。一个数据库可以拥有多个用户,一...
SQLServer 数据库变成单个用户后无法访问问题的解决方法
12-15
解决办法是: 运行下面SQL 代码如下:USE master;  GO  DECLARE @SQL VARCHAR(MAX);  SET @SQL=”  SELECT @SQL=@SQL+’; KILL ‘+RTRIM(SPID)  FROM master..sysprocesses  WHERE dbid=DB_ID(‘数据库名’);  EXEC(@SQL); ALTER DATABASE 数据库名 SET MULTI_USER; 您可能感兴趣的文章:MySQL server has gone away 问题的解决方法MySQL提示:The
MySQL题目集锦
最新发布
weixin_63553716的博客
03-13 1623
我的答案:2分正确答案:答案解析:无A. 存储过程B. 视图C. 触发器D. 索引我的答案:C:触发器;正确答案:C:触发器;2分我的答案:2分正确答案:DEFAULT答案解析:无我的答案:0分(1) 隔离级别正确答案:答案解析:无我的答案:2分(1) 参照完整性正确答案:(1) 参照完整性;答案解析:无。
sa账号密码在那个表里面
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-10 710
sa账号密码在那个表里面,syslogins in master db, 不过是加密的,看不出是什么的。 SA管理帐户是放在视图下的、master数据库-视图-sys.sql_logins
自学黑客(网络安全),一般人我劝你还是算了吧(自学网络安全学习路线--第七章 数据库安全)【建议收藏】
智慧云工具箱的博客
06-27 130
数据库系统的安全机制主要有:存取管理存取管理是一套防止未授权用户访问数据库的方法、机制,目的在于控制数据的存取,并防止非授权用户对数据库的访问。安全管理安全管理指采取何种安全机制实现数据库操作管理权限分配,通常分为集中控制、分散控制两种方式。数据库加密数据库加密主要包括:库内加密(以一条记录或记录的字段值为操作单位进行加密)、库外加密(以包含数据库结构和内容的整个数据库为操作单位进行加密)、硬件加密。存取管理存取管理技术包括用户身份认证技术和存取控制技术两方面。
SQL Server 数据库之管理数据库用户
程序员小白的博客
03-23 3205
管理数据库用户1. 概述2. 在SSMS创建数据库用户 1. 概述 数据库用户用户名与登录名SQL Server 中两个容易混淆的概念; 登录名是范问 SQL Server 的通行证,是服务器级别的对象,登录到 SQL Server 之后还要创建数据库用户才能访问数据库资源; 创建数据用户的过程实际上就是建立登录名和数据用户之间映射关系的过程,一个登录名能为多个数据库用户,这种映射关系为同一服务器上不同数据库的权限管理带来更多便利; 2. 在SSMS创建数据库用户 创建数据库用户的方法如下: **数
sqlserver登录名用户名的区别和联系-先存着-后续研究
FightingITPanda的博客
08-31 2763
总括:登录名可以理解为进入整个大楼的钥匙,用户名可以理解为一个房间的钥匙,这里所说的大楼就是sql server服务器,而房间就是这个sql server服务器中的具体的库,要注意登录名是存在于master数据库的syslogins表中,用户名是在各个具体的库下建立的(也就是要先进入各个库), 最关键的是:一个登录名可以和多个不同库下的用户做映射,但是在同一个库下只能和一个用户做映射,并且一个用户...
sql服务器密码如何显示,如何查看sql数据库密码
weixin_34036423的博客
08-13 8516
如何查看sql数据库密码 内容精选换一换tempdb是系统数据库,是一个全局资源,可供连接到 SQL Server 实例或 SQL 数据库的所有用户使用 。它是一个临时数据库,无法永久保存数据,作用是给实例中的各种请求处理中间数据,分为主数据文件(.mdf)、次要数据文件(.ndf)和日志文件(.ldf)。当服务重启的时候,tempdb会被重新创建。tempdb数据库如果在设计华为云帮助中心,为用...
SQL Sever用户名和登录名的区别
ntr851217的博客
10-11 1187
SQL Server 中,用户登录名是两个不同的概念,它们有不同的作用和权限。
sql server 登录名用户名的区别
qq_41251196的博客
05-10 2730
登录名sql_1,已经有了bookset的用户user_01,现在 在bookset数据库新建user_0101 报错: 登录名sql_1,已经有了bookset的用户user_01,现在 在student数据库新建user_0101成功 1)也就是一个登录名下,可以有不同个数据库用户,一个数据库只能对应一个用户 2)一个用户,可以对应不同个登录名 登录名相当于是大楼(服务器)的身份验证,用户名相当于是房间(数据库)钥匙,假设房子(数据库)a有钥匙序号u1,u2,u3共3把,房子(数据库)b有钥匙序号u1
sql server安全管理
09-06
SQL Server安全管理是指对SQL Server数据库的安全性进行管理和保护的过程。在SQL Server中,有一些重要的安全管理措施和策略可以帮助确保数据库的安全性。 首先,一个重要的安全措施是对登录账号进行管理。在SQL Server中,默认的登录账号sa具有系统管理员权限,并能执行所有操作。因此,对于这个登录账号,需要采取适当的措施来限制其使用,并确保只有授权的人员能够访问。 其次,合理的登录方式也是SQL Server安全管理的重要任务。数据库管理员(DBA)应该设计和管理合理的登录方式,以限制用户的访问权限并确保数据的安全性。这可以包括限制用户的访问权限、设置密码策略、实施多因素身份验证等措施来提高数据库的安全性。 此外,SQL Server还提供了其他一些安全功能,例如数据加密、访问控制、审计等,以帮助保护数据库的安全性。这些功能可以根据具体的需求进行配置和管理,以确保数据库中的敏感数据得到保护。 总结起来,SQL Server安全管理包括对登录账号进行管理、设计和管理合理的登录方式,以及使用其他安全功能来保护数据库的安全性。通过合理的安全管理措施,可以降低数据库受到未授权访问和数据泄露的风险,保护数据的完整性和机密性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [SQL Server数据库安全管理](https://blog.csdn.net/iteye_2604/article/details/81640542)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [SQL Server安全管理](https://blog.csdn.net/A__loser/article/details/78843210)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值