细粒度访问控制-VPD

最新推荐文章于 2024-03-24 22:05:56 发布
最新推荐文章于 2024-03-24 22:05:56 发布
阅读量277 收藏
点赞数

1、创建测试环境
conn sys/password as sysdba
create user HJP identified by password default tablespace users temporary tablespace temp;
create user JDS identified by password default tablespace users temporary tablespace temp;
create user BBK identified by password default tablespace users temporary tablespace temp;
create user ZYM identified by password default tablespace users temporary tablespace temp;
grant connect,resource to HJP;
grant connect,resource to JDS;
grant connect,resource to BBK;
grant connect,resource to ZYM;

create user huang identified by password default tablespace users temporary tablespace temp;
grant connect to huang;
grant resource to huang;
grant execute on dbms_rls to huang;
--grant create any trigger to huang;
--grant ADMINISTER database trigger to huang;
--grant create session to huang with admin option;
commit;

conn scott/password
insert into emp(empno,ename,sal,deptno) values(8000,'HJP',5000,20);
insert into emp(empno,ename,sal,deptno) values(8001,'JDS',5000,30);
insert into emp(empno,ename,sal,deptno) values(8002,'BBK',5000,40);
insert into emp(empno,ename,sal,deptno) values(8003,'ZYM',5000,10);
commit;

create table people as select ename username,job,sal salary,deptno from emp;
grant select,update,insert,delete on scott.people to huang;
grant select,update,insert,delete on scott.people to HJP;
grant select,update,insert,delete on scott.people to JDS;
grant select,update,insert,delete on scott.people to BBK;
grant select,update,insert,delete on scott.people to ZYM;
commit;


2、创建数据表和应用上下文
conn huang/password
create table lookup_user as select username,deptno from scott.people;
create context people_ctx using huang.people_ctx_mgr;
--drop context people_ctx;

*************************************************************************************
create or replace package people_ctx_mgr
as
 procedure set_deptno;
 procedure clear_deptno;
end;
/
*************************************************************************************
create or replace package body people_ctx_mgr
as
procedure set_deptno
as
 l_deptno number;
begin
 select deptno into l_deptno from lookup_user
  where username=sys_context('userenv','session_user');
 dbms_session.set_context
  (namespace => 'people_ctx',attribute => 'deptno',value => l_deptno);
end set_deptno;
procedure clear_deptno
as
begin
 dbms_session.clear_context
  (namespace => 'people_ctx',attribute => 'deptno');
end clear_deptno;
end people_ctx_mgr;
/
*************************************************************************************
--drop package people_ctx_mgr;


3、创建登录触发器
conn sys/password as sysdba
********************************************
create or replace trigger set_user_deptno
 after logon on database
begin
 huang.people_ctx_mgr.set_deptno;
end;
/
********************************************
--drop trigger set_user_deptno;


4、测试应用上下文
conn scott/password 
select sys_context('people_ctx','deptno') deptno from dual; 


5、创建策略函数dept_only
conn huang/password
******************************************************************
create or replace function dept_only
 (p_schema in varchar2 default null,
  p_object in varchar2 default null)
  return varchar2
as
begin
 return 'deptno = sys_context(''people_ctx'',''deptno'')';
 --return 'deptno = '||sys_context('people_ctx','deptno');
 --返回值,需要重新分析SQL语句
exception
 when others then
  return '1=0';
end;
/
******************************************************************
--drop function dept_only;


6、查询策略函数
select dept_only from dual;


7、创建插入、更新策略people_iu
conn huang/password
*******************************************************
begin
 dbms_rls.add_policy
  (object_schema => 'SCOTT',
   object_name => 'people',
   policy_name => 'people_iu',
   function_schema => 'huang',
   policy_function => 'dept_only',
   statement_types => 'insert,update',
   update_check => TRUE);
end;
/
*******************************************************


8、删除策略people_iu
/*********************************************
begin
 dbms_rls.drop_policy
  (object_schema => 'SCOTT',
   object_name => 'people',
   policy_name => 'people_iu');
end;
/
*********************************************/


9、创建策略函数user_only
conn huang/password
***********************************************************************
create or replace function user_only
 (p_schema in varchar2 default null,
  p_object in varchar2 default null)
  return varchar2
as
begin
 return 'username = sys_context(''userenv'',''session_user'')';
exception
 when others then
  return '1=0';
end;
/
***********************************************************************
--drop function user_only;


10、创建删除策略people_del
conn huang/password
*************************************************
begin
 dbms_rls.add_policy
  (object_schema => 'SCOTT',
   object_name => 'people',
   policy_name => 'people_del',
   function_schema => 'huang',
   policy_function => 'user_only',
   statement_types => 'delete');
end;
/
*************************************************


11、删除策略people_del
/**********************************************
begin
 dbms_rls.drop_policy
  (object_schema => 'SCOTT',
   object_name => 'people',
   policy_name => 'people_del');
end;
/
**********************************************/


12、查询策略
select * from dba_policies;
select * from v$vpd_policy(v$sql);


13、RLS策略的免除访问,对数据库的备份和恢复非常必要
grant exempt access policy to system;
--revoke exempt access policy from system;


14、审核免除访问策略
audit exempt access policy by access;
******************************************************************************************
begin
 for i in (select * from dba_audit_trail) loop
  dbms_output.put_line('---------------------------------------');
  dbms_output.put_line('Who: '|| i.username);
  dbms_output.put_line('What: '||i.action_name||' on '||i.owner||'.'||i.obj_name);
  dbms_output.put_line('When: '||to_char(i.timestamp,'yyyy-mm-dd HH24:MI'));
  dbms_output.put_line('How: '||i.sql_text);
  dbms_output.put_line('Using: '||i.priv_used);
 end loop;
end;
/
******************************************************************************************

 


列敏感的VPD

创建列敏感的策略(当salary列被查询时激活VPD策略,仅返回符合salary列的行)
**************************************************
begin
 dbms_rls.add_policy
  (object_schema => 'SCOTT',
   object_name => 'people',
   policy_name => 'people_sal',
   function_schema => 'huang',
   policy_function => 'user_only',
   statement_types => 'select',
   sec_relevant_cols => 'SALARY');
end;
/
**************************************************

使用sec_relevant_cols_opt返回所有的行,不符合salary列的返回null,仅适用于选择语句
**************************************************************
begin
 dbms_rls.add_policy
  (object_schema => 'SCOTT',
   object_name => 'people',
   policy_name => 'people_sal',
   function_schema => 'huang',
   policy_function => 'user_only',
   statement_types => 'select',
   sec_relevant_cols => 'SALARY',
   sec_relevant_cols_opt => dbms_rls.all_rows);
end;
/
**************************************************************

 


1、建立应用上下文
conn sys/password as sysdba;
create or replace context empenv using scott.set_deptno;

2、设置应用上下文属性
create or replace procedure set_deptno
is
 id number;
begin
 if sys_context('userenv','session_user')='HJP' then
  dbms_session.set_context('empenv','deptno',10);
 end if;
 if sys_context('userenv','session_user')='JDS' then
  dbms_session.set_context('empenv','deptno',20);
 end if;
end;
/

3、建立登陆触发器
conn sys/password as sysdba;
create or replace trigger login_trig after logon on database call scott.set_deptno
/

4、建立策略函数
create or replace function emp_policy(p1 varchar2,p2 varchar2) return varchar2
is
 d_predicate varchar2(2000);
begin
 if user not in ('SCOTT') then
  d_predicate:='deptno=sys_context(''empenv'',''deptno'')';
  return d_predicate;
 end if;
 return '1=1';
end;
/

5、增加策略
conn sys/password as sysdba;
exec dbms_rls.add_policy('scott','emp','emp_policy','scott','emp_policy','select,update,delete')

exec dbms_rls.drop_policy('scott','emp','emp_policy') --删除策略

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/17012874/viewspace-693804/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/17012874/viewspace-693804/

ckrsktoni24621798
关注
存储过程的细粒度访问控制
wjianwei666的专栏
06-28 42
存储过程本身通常必须提供复杂的访问控制作为其实现的一部分,以确保调用有效,即使底层数据本身受到细粒度访问控制的保护。大多数企业数据库都提供了细粒度的安全机制,确保只有经过授权的用户才能对数据进行访问和修改,而且可以控制到具体的行和列级别。这些都是简单的示例,但可以让人们了解:使用可编程数据库代理保护存储过程相当简单,如果不能(或不想)更改存储过程,那么它尤其有用。用户可以执行给定的存储过程,也可以不执行。一旦执行了存储过程,它可能会返回一些数据,这些数据可能是单独的值,也可能是一个或多个结果集。
Oracle中细粒度访问控制的工作方式
03-03
细粒度访问控制也就是虚拟专用数据库 (VPD) ,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对...
粗粒度与细粒度权限控制
weixin_30678349的博客
09-11 796
1.1 什么是粗粒度和细粒度权限 粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。 粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。 部门管理员可以访问用户信息页面包括 页面中所有按钮。 细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接...
数据库的细粒度访问控制
iteye_7304的博客
07-20 1489
背景 根据控制对象的粗细程度,访问控制可分为粗粒度和细粒度两种通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度的访问控制,而细粒度控制则是把安全控制细化到数据库的行级或列级。 我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序进行修改,有...
10基于访问权限控制和细粒度控制的方式访问资源
最新发布
欢迎阅读我的博客
03-24 1035
10基于访问权限控制和细粒度控制的方式访问资源
数据库细粒度访问
yangnuowei88的专栏
08-05 801
1,介绍 DBMS_RLS用于实现细粒度访问控制,Virtual Private Database (VPD)基于该功能实现,只在企业版中支持。 2,实现 基于动态谓词实现,即在解析SQL时动态增加安全规则。 (1)可以控制的操作:index,select,insert,update,delete --index? --select in join? --select->trigge
oracle FGAC(细粒度访问控制)介绍
老徐的博客只有干货
01-02 5325
在ORACLE中,RLS有时也叫做虚拟私有数据库(VPD)或者细粒度访问控制(FGAC)。 RLS由8i引进,利用这一特性我们可以对表定义安全策略(并且指明对表的操作类型),实现对用户可以看到或者修改的数据进行限制。 这个功能大部分通过内置包DBMS_RLS实现。下面通过一个实例说明,详细情况请查阅官方文档: -----------------------------------------
ORACLE中一个基于角色访问控制VPD设计方案.pdf
10-10
VPD的优势在于它可以提供细粒度访问控制,防止敏感数据泄露。其工作原理是通过在SQL查询中插入与用户会话相关的信息(如用户ID、部门等),这些信息作为额外的过滤条件,使得每个用户看到的数据只限于他们有权访问...
vpd列级权限控制举例
07-15
VPD(Virtual Private Database,虚拟私有数据库)是 Oracle 数据安全的一种策略,它提供列级权限控制,能够实现更细粒度的数据隔离。在本例中,我们将探讨如何使用 VPD 实现列级权限控制。 首先,我们需要理解 VPD...
Oracle_VPD:在Oracle VPD中下载
02-14
Oracle VPD,全称为Virtual Private Database(虚拟私有数据库),是Oracle数据库的一种安全特性,它允许数据库管理员在数据库级别实施细粒度访问控制VPD技术通过在SQL语句中动态插入额外的条件,实现了数据级别...
ORACLE安全加固篇
Cairo960918的博客
09-08 4262
oracle合规性设置,oracle安全加固
Oracle Database 12c Security - 7. Controlled Data Access with Virtual Private Database
In-Memory Computing Technology
09-01 338
Virtual Private Database (VPD) INTRODUCTION TO VIRTUAL PRIVATE DATABASE VPD使用Row-Level Security (RLS) package DBMS_RLS实现。 VPD的范围是当前数据库。 How VPD Works 通过创建VPD policy,VPD支持DML和SELECT,不支持DDL。 VPD返回VARCHAR2 predicate,并附着在where条件中。这样用户只能看到自己相关的数据。 VPD policy只能用
测试VPD的policy group
wgz7747147820的博客
01-20 271
首先创建一个测试表,插入一些测试数据 23:49:47 SQL> create table t_policy_group_1(group_a_col1 varchar2(20),group_a_col2 varchar2(20),group_b_col1 varchar2(20),group_b_col2 varchar2(20)); Table created. Elapsed: 00:00:00.05 23:50:41 SQL> insert into t_policy_group_1
redis之相思而不得见-细粒度访问控制列表ACL
happytree001的博客
11-26 1505
# 一、简介 对于早期的redis,在安全访问控制方面非常的弱,使用默认配置的话,能访问redis服务的任何人都能连接上服务,进行数据的操作,简直就是在裸奔一样; 在redis2.2之前的版本最多也只能通过requirepass配置一个密码,任何知道密码的人也可以连接上redis进行删库跑路 ???? ,并且redis6之前的传输都是基于TCP明文传输的,直接抓个包就看到密码了,无密码可言; 为了防止一些人对redis操作非常危险的命令,比如删库命令flushall等,在redis2.2.0开始可以通过re
oracle访问控制策略查看,ORACLE 安全访问策略VPD与ORA-28132
weixin_39601743的博客
04-03 516
今天下午,开发同事反馈,某地市的医保oracle数据库执行存储过程报错,报错信息是ORA-28132:ERRORIS:ORA-28132:MERGEINTO语法不支持安全策略相关的sql语句如下:MERGE/*+parallel(4)*/INTODW_BILLBUSING(SELECTT1.HIS_ID,SUM(T1.DETAIL_DEDUCT_AMOUNT)AMOUNT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值