限制DDL操作(四)

最新推荐文章于 2020-11-14 08:09:01 发布
最新推荐文章于 2020-11-14 08:09:01 发布
阅读量146 收藏
点赞数
文章标签: 数据库

出于安全性或避免影响性能的考虑,在产品数据库中有时候会禁止或者在一定时间段内限制DDL语句的发生。Oracle也提高了很多方法来实现这个功能,这个简单介绍一下。

这篇介绍VAULT组件的COMMAND RULE功能。

限制DDL操作(一):http://yangtingkun.itpub.net/post/468/479244

限制DDL操作(二):http://yangtingkun.itpub.net/post/468/479277

限制DDL操作(三):http://yangtingkun.itpub.net/post/468/479290

 

 

前面介绍的三种方法各有各的有缺点。如果数据库安装了VAULT组件,那么限制DDL语句将是很简单的功能。

Oracle VaultCOMMAND RULE功能,可以在不同的粒度上控制DDL语句的访问。

SQL> CONN TEST/TEST
Connected.
SQL> CREATE TABLE T (ID NUMBER);

Table created.

SQL> CREATE TABLE T1 (ID NUMBER);

Table created.

SQL> DROP TABLE T1 PURGE;

Table dropped.

SQL> CONN DVOWNER
Enter password:
Connected.
SQL> SELECT *
  2  FROM V$OPTION
  3  WHERE PARAMETER = 'Oracle Database Vault';

PARAMETER                                VALUE
---------------------------------------- ------------------------------
Oracle Database Vault                    TRUE

SQL> EXEC DBMS_MACADM.CREATE_COMMAND_RULE('DROP TABLE', 'Disabled', 'TEST', '%', 'Y')

PL/SQL procedure successfully completed.

SQL> CONN TEST/TEST
Connected.
SQL> DROP TABLE T;
DROP TABLE T
*
ERROR at line 1:
ORA-00604: error occurred at recursive SQL level 1
ORA-47400: Command Rule violation for drop table on TEST.T
ORA-06512: at "DVSYS.AUTHORIZE_EVENT", line 55
ORA-06512: at line 31

通过建立了一个DROP TABLECOMMAND RULE,并将这个RULE添加到Disabled这个RULE SET中,就禁止了TEST用户下对所有对象的DROP TABLE语句。

这个粒度完全可以控制到对象级,比如修改一下COMMAND RULE,将DROP TABLE的限制改变为限制删除T表,而其他表允许删除:

SQL> CONN DVOWNER
Enter password:
Connected.
SQL> EXEC DBMS_MACADM.DELETE_COMMAND_RULE('DROP TABLE', 'TEST', '%')

PL/SQL procedure successfully completed.

SQL> EXEC DBMS_MACADM.CREATE_COMMAND_RULE('DROP TABLE', 'Disabled', 'TEST', 'T', 'Y')

PL/SQL procedure successfully completed.

SQL> CONN TEST/TEST
Connected.
SQL> DROP TABLE T PURGE;
DROP TABLE T PURGE
*
ERROR at line 1:
ORA-00604: error occurred at recursive SQL level 1
ORA-47400: Command Rule violation for drop table on TEST.T
ORA-06512: at "DVSYS.AUTHORIZE_EVENT", line 55
ORA-06512: at line 31


SQL> CREATE TABLE T2 (ID NUMBER);

Table created.

SQL> DROP TABLE T2;

Table dropped.

使用这个方法,不仅仅可以限制DDL语句,包括DMLSELECTALTER SYSTEMALTER SESSION、甚至CONNECT都是可以限制或允许的。

这种方法无疑是最灵活的,而且设置也不困难,一个过程调用足以。唯一的缺点是必须VAULT组件的支持。

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/4227/viewspace-561551/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/4227/viewspace-561551/

ckawt40802
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle密码复杂度设置(Oracle_Password_Complexity)
初入此门
04-27 3257
一、Oracle_Password_Complexity:     SQL> alter system set resource_limit = true;     SQL> @ $ORACLE_HOME/RDBMS/ADMIN/utlpwdmg.sql → [verify_function|verify_function_11G]     SQL> alter profile
使用DBV的命令规则和规则集强化数据库安全
cssg91583的博客
01-09 241
几个场景示例: 1. 指定时间维护数据库 2. 指定不能直接使用DML命令,而必须调用指定存储过程 3. 指定必须使用密码认证方式(而不是OS认证)连接数据库 4. 指定必须从指定客户端IP连接数据库 5. 将做指定动...
一次command rule restricted session的测试
wgz7747147820的博客
11-14 105
首先我们创建一个rule,一个rule set,然后将rule添加到rule set,这个rule set随后可以用来首先禁止运行alter system disable restricted session 的目的,只能alter system enable restricted session,但是不能disable 。虽然没啥实际使用价值,做个测试吧 15:50:59 SQL> exec dbms_macadm.create_rule_set(rule_set_name=>'can n
如何配置database vault
wgz7747147820的博客
09-21 788
首先创建两个用户,一个作为database vault用户,另外一个作为备份用户 SQL> create user c##dv_cloud_admin identified by cdb21ls; User created. SQL> create user c##dv_cloud_admin_backup identified by cdb21ls; User created. config dv SQL> exec configure_dv(dvowner_uname=>
Oracle数据库安装使用报错:ORA-01031和ORA-47410
Mr_Van的博客
09-18 1186
来记录一下今天写bug的时候遇到的一个问题吧!关于使用Oracle遇到的一些个问题。ORA-01031:权限不足ORA-47410:领域违规。 关于使用Oracle遇到的一些个问题。 ORA-01031:权限不足 我的Oracle是装在本地Windows上的,大家不要参考错了。由于开发任务需要,需要使用Oracle,故在本地安装Oracle,MD由于装了个最新的19C,网上全是11g,一些细节配...
第4课+MaxCompute+DDL操作.docx
最新发布
10-06
总的来说,MaxCompute的DDL操作提供了丰富的功能,允许用户根据需求灵活地创建、管理和操作数据表。理解这些操作对于高效地使用MaxCompute进行大数据处理至关重要。在实际应用中,还需要根据业务需求和性能优化策略...
MySQL数据定义语言DDL的基础语句
09-08
在使用MySQL DDL时,应根据业务需求谨慎操作,因为一些操作如删除表或列可能会导致数据丢失。同时,理解各种约束的用途和实现方式对于构建高效、安全的数据库至关重要。通过实践和实验,你可以更熟练地掌握MySQL DDL...
SQL Server 2008中的代码安全(二) DDL触发器与登录触发器
09-11
DDL触发器允许开发者在数据库级别执行自定义的审计功能,限制特定操作,或执行其他管理任务。例如,你可以创建一个DDL触发器来记录每次创建、修改或删除索引的动作,从而监控数据库的变化。 以下是一个DDL触发器的...
sybase 12.5不能运行ddl文件
09-25
检查服务器的配置参数,如最大内存使用、日志文件大小等,确保它们设置得合理且不会限制DDL操作。 8. **错误日志分析**:查看Sybase的错误日志,它会提供关于为何DDL语句无法执行的详细信息。根据错误日志,你可以...
SQL Server误区30日谈 第4天 DDL触发器就是INSTEAD OF触发器
09-10
在处理DDL操作时,更好的策略可能是限制用户直接执行DDL语句的权限。可以通过GRANT或DENY权限来控制,或者只允许通过预定义的存储过程执行DDL操作。这样可以提供更细粒度的控制,并降低误操作的风险。 DDL触发器的...
例解 Oracle Database Vault
长安诗社社长@-梁瀚文- https://github.com/HevnChin https://gitee.com/HevnChin
09-13 934
                                                                    中华女子学院计算机系 刘志斌<br />   <br />在作者的试用过程中,Vault正确实现了本文中所有示例,运行稳定。Vault的GUI管理员工具非常容易使用,同样可以完成本文中所有示例,并且操作简单。因此,Vault是可以在运营数据库系统中使用的。<br />数据库的安全性越来越受到重视,而其中主要的威胁往往来自内部,如何进行有效的内部控制,多年来一直没有很好的解
Oracle Database 12c Security - 10. Oracle Database Vault
In-Memory Computing Technology
09-01 584
Database Vault,简称DBV,2005年发布。 HISTORY OF PRIVILEGED ACCOUNTS Oracle数据库中的SYS用户相当于Linux中的root用户。另一个有DBA权限的用户是SYSTEM。 Separation of duty (SoD),拥有所有权限会导致做坏事,甚至可以删除审计记录。后者可使用外部审计。也就是说,虽不能防止其行为,但可记录其痕迹。 SYS as SYSDBA (Super User 0) 尽管我们可以使用SYS登录,但SYS实际是schema, 拥
【问题记录】ORA-28002/ORA-28000 解决11g 密码过期、密码输错锁住用户问题--修改 default profile
Sharon--start focusing on Oracle
01-07 1413
一、ORA-28002: the password will expire within 7 days 11G中默认用户密码每三个月(180天)需要修改一次。profile中定义了该属性值。以下步骤就是将该属性值设为unlimited,即密码永不过期。 1、查看用户使用的profile SQL> select username,profile from dba_users;   U
数据库实验数据库实验.doc
06-05
"数据库实验——SQLServer2005数据库综合实验报告" 本次实验主要围绕SQLServer2005数据库管理系统展开,旨在让学生深入理解和掌握数据库的基本操作和安全性管理。实验内容包括数据定义语言(DDL)的使用、用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值