细粒度权限控制 linux,FGAC(细粒度访问控制)/VPD

最新推荐文章于 2023-06-06 16:33:27 发布
最新推荐文章于 2023-06-06 16:33:27 发布
阅读量270 收藏
点赞数
文章标签: 细粒度权限控制 linux

FGAC/VPD可以从安全方面限制用户在行级别的访问权限,对于安全性考虑的应用有很大帮助。

另外,在一些特别特殊的情况下,可以通过它改写用户SQL的谓词(where condition)。

这里step by step做一个例子,以供以后参考。

SQL> show user

USER is "HR"

SQL> create table testfgac as select * from dba_tables;

Table created.

1.建立一个context用来保存希望保存的属性。

SQL>grant administer database trigger,create any trigger,create session,resource,create any procedure to hr

这里用USERNAME来代表当前用户是否是定义的“DB_OWNER”

SQL> create context syscontext using context_package;

Context created.

SQL> create or replace procedure context_package

( username in varchar2)

as

begin

dbms_session.set_context (

'SYSCONTEXT',

'USERNAME',

username

);

end;

Procedure created.

2.在sys用户下建立一个login trigger,如果当前用户是'hr',那么设立它的username是hr.SQL> create or replace trigger context_trig

after logon on database

declare

username varchar2(50);

begin

select decode(sys_context('USERENV','SESSION_USER'),'HR',

'DB_OWNER','NOT_DB_OWNER')

into username from dual;

context_package(username);

exception

when NO_DATA_FOUND then

null;

when OTHERS then

raise;

end;

Trigger created.

3.查看login trigger生效没有SQL>  show user

USER is "SYS"

SQL>  select sys_context('SYSCONTEXT','username') myrole from dual;

MYROLE

--------------------

NOT_DB_OWNER

SQL> conn hr/hr

Connected.

SQL>  select sys_context('SYSCONTEXT','username') myrole from dual;

MYROLE

--------------------

DB_OWNER

4.最重要的一步,建立一个function用来作为返回你想修改的谓词。本例a是对hr用户返回空谓词,对其它用户返回'LAST_ANALYZED<=sysdate-1';本例b是对用户返回owner='session_user'串。

a,SQL>  create or replace function return_secure

(my_owner in varchar2,

my_obj in varchar2)

return varchar2

as

ret varchar2(2000);

begin

select decode(sys_context('SYSCONTEXT','username'),'DB_OWNER',null,'LAST_ANALYZED<=sysdate-1') into ret from dual;

return ret;

end;

Function created.

b,SQL>  create or replace function return_sec

(my_owner in varchar2,

my_obj in varchar2)

return varchar2

as

ret varchar2(2000);

begin

select 'owner='||chr(39)||sys_context('USERENV','SESSION_USER')||chr(39) into ret from dual;

return ret;

end;

Function created.

5.在sys用户下,加上policy,对dml语句和select都生效SQL>  begin

dbms_rls.add_policy (

OBJECT_SCHEMA => 'HR',

object_name => 'TESTFGAC',

policy_name => 'my_p',

policy_function => 'RETURN_SECURE',

statement_types => 'INSERT, UPDATE, DELETE, SELECT',

update_check    => TRUE

);

end;

/

PL/SQL procedure successfully completed.

SQL>  begin

dbms_rls.drop_policy (

OBJECT_SCHEMA => 'HR',

object_name => 'TESTFGAC',

policy_name => 'my_p');

end;

/

begin

dbms_rls.add_policy (

OBJECT_SCHEMA => 'HR',

object_name => 'TESTFGAC',

policy_name => 'my_p',

policy_function => 'RETURN_SEC',

statement_types => 'INSERT, UPDATE, DELETE, SELECT',

update_check    => TRUE

);

end;

/

6.测试SQL> conn hr/hr

Connected.

SQL> select sys_context('SYSCONTEXT','username') username from dual;

USERNAME

------------------------

DB_OWNER

SQL> select count(*) from HR.TESTFGAC;

COUNT(*)

----------

1043

SQL> conn scott/tiger

Connected.

SQL> select count(*) from hr.TESTFGAC;

COUNT(*)

----------

934

斯仁至矣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle中细粒度访问控制的工作方式
03-03
细粒度访问控制也就是虚拟专用数据库 (VPD) ,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对...
论文研究-Oracle VPD-细粒度权限设计方案 .pdf
08-15
Oracle VPD-细粒度权限设计方案,翟慧鑫,邹仕洪,数据资源共享已经成为大家协同工作的基本要求,传统的数据库访问控制模式已经不能很好的保护数据安全,因此更细粒度访问控制
oracle行列级权限控制VPD
最新发布
m0_51192710的博客
06-06 1485
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;
oracle FGAC细粒度访问控制)介绍
老徐的博客只有干货
01-02 5285
在ORACLE中,RLS有时也叫做虚拟私有数据库(VPD)或者细粒度访问控制FGAC)。 RLS由8i引进,利用这一特性我们可以对表定义安全策略(并且指明对表的操作类型),实现对用户可以看到或者修改的数据进行限制。 这个功能大部分通过内置包DBMS_RLS实现。下面通过一个实例说明,详细情况请查阅官方文档: -----------------------------------------
数据库的细粒度访问控制
执着之道
08-30 1707
  背景 根据控制对象的粗细程度,访问控制可分为粗粒度和细粒度两种 通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度的访问控制,而细粒度控制则是把安全控制细化到数据库的行级或列级。 我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序...
redis之相思而不得见-细粒度访问控制列表ACL
happytree001的博客
11-26 1472
# 一、简介 对于早期的redis,在安全访问控制方面非常的弱,使用默认配置的话,能访问redis服务的任何人都能连接上服务,进行数据的操作,简直就是在裸奔一样; 在redis2.2之前的版本最多也只能通过requirepass配置一个密码,任何知道密码的人也可以连接上redis进行删库跑路 ???? ,并且redis6之前的传输都是基于TCP明文传输的,直接抓个包就看到密码了,无密码可言; 为了防止一些人对redis操作非常危险的命令,比如删库命令flushall等,在redis2.2.0开始可以通过re
linux安全-自主访问控制
jianjian的博客
03-30 1647
在计算机安全领域,访问发起者被称为主体,访问动作就是具体的操作,被访问者被称为客体。比如,进程A 读文件 a,进程 A 是主体,读是操作,文件 a 是客体。Linux的主体只能是进程;操作只有读、写或者执行;客体可以是目录和文件{包括管道、设备、IPC(进程间通信)、socket(套接字)、key(密钥)}。备注:目录的执行是进入,文件的执行是运行,只有普通文件可以执行,管道等文件是不可以执行的。 自主访问控制的自主是指使用计算机的人可以决定访问策略,比如规定某文件只能读不能写,制造出一种“只读”文件,防止
ORACLE中一个基于角色访问控制VPD设计方案.pdf
10-10
VPD的优势在于它可以提供细粒度访问控制,防止敏感数据泄露。其工作原理是通过在SQL查询中插入与用户会话相关的信息(如用户ID、部门等),这些信息作为额外的过滤条件,使得每个用户看到的数据只限于他们有权访问...
vpd列级权限控制举例
07-15
VPD(Virtual Private Database,虚拟私有数据库)是 Oracle 数据安全的一种策略,它提供列级权限控制,能够实现更细粒度的数据隔离。在本例中,我们将探讨如何使用 VPD 实现列级权限控制。 首先,我们需要理解 VPD...
oracle 权限控制
08-28
本文档主要探讨了如何在Oracle环境中实施权限控制,包括对历史SQL语句的保存、登录IP地址的限制以及通过DBMS_RLS包实现细粒度访问控制。 1. **保存和备份历史SQL语句** 为了监控和审计用户对数据库的访问,可以...
细粒度访问控制
05-29
细粒度访问控制经典文章,基于风险访问控制细粒度访问控制,增加系统的可访问性和安全性
使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例.zip
04-07
使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例
SpringBoot使用AOP进行细粒度权限管理
weixin_62320071的博客
12-19 706
使用面向切面编程AOP,以高效并且优雅的处理复杂权限管理。
FGAC(细粒度访问控制)/VPD
congbeili7411的博客
04-15 224
FGAC/VPD可以从安全方面限制用户在行级别的访问权限,对于安全性考虑的应用有很大帮助。 另外,在一些特别特殊的情况下,可以通过它改写用户SQL的谓词(where condition)。 这里step by step做一个...
FGAC
sslovetuzi的专栏
07-29 155
http://code.google.com/p/cheep-worker oracle性能诊断艺术 SQL沉思录 入侵检测
ORACLE FGAC(细粒度权限控制)(转载)
cnmcsdn8786的博客
07-09 218
ORACLE FGAC(细粒度权限控制)http://www.itpub.net/thread-1037232-1-1.html 细粒度访问控制 (FGAC)。FGAC,也称为行级安全性,是一种可以根据数据内容限制访问的方法。...
Oracle FGAC与FGA的区别
Firefoxboy的空军基地
10-03 1529
导读: 先看一下FGAC:Oracles Fine Grained Access Control (FGAC) provides a row-level security mechanism thats built-in to the Oracle database engine. FGAC allows you to granularly specify the exact inf
ORACLE FGAC(细粒度权限控制)
coabmixr238253的博客
07-17 296
ORACLE FGAC(细粒度权限控制)http://www.itpub.net/thread-1037232-1-1.html细粒度访问控制 (FGAC)。FGAC,也称为行级安全性,是一种可以根据数据内容限制访问的...
mysql实现vpd_VPD(Virtual Private Database) 简单演示
05-27
VPD(Virtual Private Database)是一种安全机制,可以在数据库层面对用户进行细粒度的数据访问控制。MySQL 5.5及以上版本引入了一个名为“database-level security”的概念,允许用户在数据库层面定义安全策略。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值