在12c中,oracle引入了DBMS_PRIVILEGE_CAPTURE包,可以使用该包来记录授予给用户的系统和对象权限,然后基于这些信息你就可以判断这些权限在一段时间之内是否被用到。这样,你就可以收回那些未被使用的权限,从而对用户的权限分配进行更精确的控制,使其符合权限最小化原则,以便提升系统的安全性。
我们来看一个简单的例子
首先打开12c中sqlplus的一个小工具hist:
跟以前版本相比,sqlplus中终于不再是只缓存上一条sql了。但是这个hist默认是不开启的,也就是说,需要你自行设置。
ok,进入正文。
在创建权限分析任务时,首先需要确定要分析的对象。这里有四种对象可选:
1,G_DATABASE 分析所有的权限使用情况,sys用户使用的权限除外。
2,G_ROLE 分析指定角色的使用情况。这里的角色只限于对其进行授权操作的角色。
3,G_CONTEXT 分析满足指定条件的权限使用,该条件在DBMS_PRIVILEGE_CAPTURE.create_capture中的condition参数项中设置。要注意condition中的布尔表达式只能包含sys_context函数。其他函数均无法使用。
4,G_ROLE_AND_CONTEXT 为上述第2和第3种的合并使用。也就是对满足条件的role进行权限分析。
先创建一个权限分析策略:
查看此时数据库中已创建的capture:
然后启用该capture:
接下来,做一些与权限相关的操作:
差不多了,就可以禁用该capture了:
然后生成分析结果:
分析结果的存放位置,主要有以下内容:
DBA_USED_PUBPRIVS
DBA_USED_OBJPRIVS
DBA_USED_SYSPRIVS
DBA_USED_PRIVS
DBA_USED_OBJPRIVS_PATH
DBA_USED_SYSPRIVS_PATH
DBA_UNUSED_OBJPRIVS
DBA_UNUSED_SYSPRIVS
DBA_UNUSED_PRIVS
DBA_UNUSED_OBJPRIVS_PATH
DBA_UNUSED_SYSPRIVS_PATH
--注意这里分为used和unused两类。
此时,我们做一个简单的查询:
这里你可以看到很详细的信息,注意其中的PATH列。
此外,也可以查询DBA_UNUSED_SYSPRIVS_PATH字典表。
最后,删除该capture: