oracle 权限 策略,Oracle学习笔记(14)权限管理(

最新推荐文章于 2024-03-05 17:52:34 发布
最新推荐文章于 2024-03-05 17:52:34 发布
阅读量571 收藏
点赞数
文章标签: oracle 权限 策略

权限管理

1、Oracle两类型的用户权限:

System 使用户在数据库中完成部分行为

Object 使用户接触和操作一个特定的数据对象。只有owner(Object Schema才能授权)

2、系统权限(100多种)

其中,create table和create any table 的区别

any关键字指示用户在权限中可以操作任何schema. grant授权,revoke 取消权限

窗口1:

sql>create user testuser1

identified by kxf_001 default tablespace users

quota 10m on users;

sql>grant create table to testuser1; //此权限只能给到自己创建一个表,而不能操作多张表

窗口2:

sql>conn testuser1/kxf_001; //无法连接到Oracle

窗口1:

sql>grant create session to testuser1; //授权create session

窗口2:

sql>conn testuser1/kxf_001

sql>create table test1(id int) tablespace users; //创建表

sql>create table kong.tt1(id int) tablespace users; //权限不足

窗口1:

sql>grant create any table to testuser1; //将“可以创建任何表”的权限给testuser1

窗口2:

sql>create table kong.tt1(id int) tablespace users; //创建成功

窗口1:

sql>revoke create any table from testuser1; //撤销testuser1的权限create any table

INDEX:CREATE ANY INDEX \ ALTER ANY INDEX \ DROP ANY INDEX

TABLE:CREATE TABLE \ CREATE ANY TABLE\ALTER ANY TABLE\DROP ANY TABLE\ SELECT ANY TABLE\ UPDATE ANY TABLE \ DELETE ANY TABLE

SESSION:CREATE SESSION\ ALTER SESSION\ RESTRICTED SESSION

TABLESPACE:CREATE TABLESPACE\ ALTER TABLESPACE\ DROP TABLESPACE \ UNLIMITED TABLESPACE(无限空间资源的使用)

【注意】没有create index权限。如:

grant system_privs,[....] to [user/role/public],[....] with admin option

其中,with admin option 可以把权限授予第三个人

sql>grant create index to testuser1; //缺少或无效权限

sql>truncate table kong.sales; sql>grant truncate table to testuser1; //授予testuser1truncate table权限。

sql>grant truncate any table to testuser1;

sql>grant drop any table to testuser1;

sql>grant create table,create session,create view to kong,testuser1; //授予多个用户多个权限。

sql>grant create table to public; //授权create table给系统中所有用户

sql>create role testrole1 //创建角色1

sql>create role testrole2; //创建角色2

sql>grant create table to testrole2; //为角色2添加create table权限。

sql>create user testuser2 identified by kxf_001;

sql>conn testuser1/xkf_001;

sql>grant create table to testuser2; //权限不足,只允许testuser2创建表

窗口2:

sql>conn sys/admin1 as sysdba

sql>grant create table to testuser1 with admin option; //授权create table给testuser1带上管理权限。

窗口1:

sql>grant create table to testuser2; //授权成功

3、系统权限(System Privileges)

SYSDBA\SYSOPER 权限集合(特殊):实现database的管理和操作

SYSOPER:startup、shutdown、alter database open|mount、alter database backup controlfile to(数据库完整修复) 、recover database、alter database archivelog

SYSDBA:sysoper privileges with admin option、create database、alter database begin/end backup、restricted session、recover database until

注意:sysoper不能建立数据库,不能完成数据库的部分修复,没有受限(restricted)模式的权限,不具有备份权限。而sysdba具有sysoper所有的权限,同时带上了admin选项。

sql>grant sysdba to kong; //为kong用户授予管理员sysdba的权限

sql>select * from v$pwfile_users; //sysdba有权利查数据字典

sql>grant sysoper to kong with admin option //为kong授予sysoper权限并带上admin选项,其实kong已经是sysdba,而sysdba具有sysoper的所有权限带上了admin选项。

O7_DICTIONARY_ACCESSIBILITY 参数:数据字典表能不能存储或被改变。

sql>grant select any table to testuser1;

sql>select * from sys.aud$; //查询系统审计表

sql>show parameter O7 //O7_DICTIONARY_ACCESSIBILITY value=false

sql>show user //testuser1

sql>select * from sys.aud$; //审计记录表(不能)

sql>alter system set o7_dictionary_accessibility=true ;//设计对任意表操作的用户能不能访问到系统表的资料,一般来说系统默认将这个参数值设置为false,即系统审计记录表不对普通用户开放。

sql>startup force //强制重启,让数据库打开

窗口2:

sql>conn testuser1/kxf_001; //已经连接

sql>select * from sys.aud$; //审计记录表(可以访问)

窗口1:

sql>revoke create table,create any table from testuser1;//系统权限未授予testuser1

sql>show user //"sys"

sql>revoke create table from testuser1; //撤销create table权限成功

sql>revoke create any table from testuser1; //系统权限create any table未授予testuser1;

sql>grant create session to testuser2; //授予会话权限给testuser2

sql>alter user testuser2 quota 10m on users; //在表空间users上给testuser2分配10m限额资源。

sql>conn testuser2/kxf_001

sql>create table tt1(id int) tablespace users; //此时,testuser2仍然还有创建表的权限,在撤销基于admin传递出的权限时,它是不会级联的。

注意:对象权限带上admin option选项授予出去时是会级联的。

4、对象权限(Object Privileges)

ALTER(Table\Sequence\Procedure)、DELETE(Table\View)、EXECUTE(Procedure)、INDEX(Table\View)、INSERT(Table\View)、PEFERENCES(Table)、SELECT(Table\View\Sequence)、UPDATE(Table\View)

grant [object_privs(column,...)],[....]on object_name to user/role/public,....with grant option

其中with grant option可以将权限授予第三个人。默认owner可以授权第三个人。

GRANT EXECUTE ON dbms_output TO jeff; //授予执行某个存储过程的权限

GRANT UPDATE ON emi.customers TO jeff WITH GRANT OPTION;

窗口1:

sql>show user //"SYS"

sql>select * from kong.authors;

窗口2:

sql>conn sys/admin1 as sysdba

sql>set wrap off

sql>set linesize 800

sql>select * from kong.authors;

sql>grant select,update on kong.authors to testuser1; //默认不可以将权限授予第三个人

sql>conn kong/kxf_001

sql>grant select,update on kong.authors to testuser1; //授权成功

sql>grant select,update on kong.authors to sys with grant option; //sys也可以享有grant授予权限。

sql>conn sys/admin1 as sysdba

sql>grant select,update on kong.authors to testuser1; //授权成功

sql>conn kong/kxf_001

sql>grant select on authors(au_id,au_lname) to testuser1; //授予testuser1查询authors,缺少无效权限

取消权限:

REVOKE SELECT on emi.orders FROM jeff;

sql>revoke select on authors from testuser1;

注意:with grant option 取消权限应该是级联的。

sql>grant select on authors to testuser1 with grant option

sql>conn testuser1/kxf_001

sql>select * from kong.authors;

sql>grant select on kong.authors to testuser2; //testuser1也可以将这个权限授出给testuser2

sql>conn testuser2/kxf_001

sql>select * from kong.authors; //testuser2也可以使用这个权限

sql>conn kong/kxf_001

sql>revoke select on authors from testuser1; //取消testuser1的select权限。

sql>conn kong/kxf_001

sql>revoke select on authors from sys;// 取消sys的select 权限

sql>conn testuser2/kxf_001

sql>select * from kong.authors; //此时,无法访问testuser2的select 权限。

5、获取权限信息:

DBA_SYS_PRIVS dba系统权限

SESSION_PRIVS 会话权限

DBA_TAB_PRIVS

DBA_COL_PRIVS

sql>conn sys/admin1 as sysdba

sql>select * from dba_sys_privs ;//dba授了哪些权限给哪些人

sql>conn testuser2/kxf_001

sql>select * from session_privs; //当前开的session里用户拥有什么权限

sql>conn kong/kxf_001

sql>select * from user_tab_privs; //授予了哪些对象权限给哪些用户

sql>conn sys/admin1 as sysdba

sql>select * from dba_col_privs; // 授予了哪些栏位权限给哪些用户

6、审计Auditing

审计规则:审计用户、语句或对象;语句执行是否成功;

审计策略:默认审计(实例启动或关闭、Administrator权限)、Database审计(由DBA进行enable,不可以基于column值的记录)、Value-based基于值或应用程序审计:使用触发器。

Database审计(默认关闭):

启动database审计 >设定Audit option选项(表 AUDIT TABLE\触发器 AUDIT create any trigger\select选项 AUDIT SELECT ON emi.orders\进一步审计给予栏位的值则使用DBMS_FGA package) >一旦用户发出相应的command就会生成相关的审计记录,该审计记录可以记录在OS中也可以记录在Database中或默认(audit_trail=none)audit create table

select/update/insert[on object]

by session/by access

whenever successful/not successful //可选,只记录成功或失败的,若不指定,则全部记录

其中:by session 发出相同command,只记录一次

by access 每发出一次command,记录一次

sql>show parameter audit_trail 跟踪记录 // value=db/os/none

sql>audit select on kong.authors by session; //启动kong.authors表的审计,只审计select动作。

sql>audit create table; //审计create table动作

sql>audit update on kong.authors whenever not successful; //只记录不成功的update审计

sql>desc dbms_fga;

a.取消审计:noaudit

sql>noaudit select on kong.authors;

b.查看审计选项:ALL_DEF_AUDIT_OPTS 所有缺省的审计选项

DBA_STMT_AUDIT_OPTS 所有语句的审计选项

DBA_PRIV_AUDIT_OPTS 所有权限的审计选项

DBA_OBJ_AUDIT_OPTS 所有数据对象的审计选项

sql>select * from all_def_audit_opts;

sql>select * from dba_stmt_audit_opts;

sql>select * from dba_obj_audit_opts;

c.如何获取审计记录:DBA_AUDIT_TRAIL、DBA_AUDIT_EXISTS、DBA_AUDIT_OBJECT、DBA_AUDIT_SESSION、DBA_AUDIT_STATEMENT

sql>audit select on kong.authors /; sql>conn kong/kxf_001

sql>select * from authors;

sql>conn sys/admin1 as sysdba

sql>select * from dba_audit_trail; //对authors的审计操作都记录在该dba_audit_trail中。

sql>select * from dba_audit_object;

sql>select * from dba_audit_session;

xiao fei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle学习笔记(用户管理、数据库的备份和恢复)
04-06
Oracle学习笔记(用户管理、数据库的备份和恢复),有具体的代码案例
oracle truncate 其他用户下的表需要的权限
wenhuiqiao的专栏
12-16 1万+
truncate其他用户下的表,仅仅grant all on table_x to user_y 权限是不够的,因为表权限中没有truncate权限; 所以只能授予用户truncate any table 系统权限,才能成功的truncate 其他用户下的表.
ORACLE 给用户授权truncate table 的实现方案
把握自己。
01-26 1万+
1,对其它用户下的表执行trundate table操作 开发说在用dwetl下执行调用shop用户下的表的时候提示没有权限操作,google了查了下,发现oracle账户没法直接赋予对某个表的truncate权限,那要怎么来实现呢?  在shop用户下面,准备测试数据 SQL> create table Z_TRUNCATE_T(ID number); Table created.
执行grant create any table to test; 报错,授权者没有此授权权限
最新发布
zxj519911的博客
03-05 398
该参数是动态参数,不需要重启数据库,执行后立即生效。达梦默认禁止授予和回收DDL相关的ANY系统权限
Oracle 角色及权限
flyleave
09-26 260
每个Oracle用户都有一个名字和口令,并拥有一些由其创建的表、视图和其他资源。Oracle角色(role)就是一组权限(privilege)(或者是每个用户根据其状态和条件所需的访问类型)。用户可以给角色授予或赋予指定的权限,然后将角色赋给相应的用户。一个用户也可以直接给其他用户授权。 数据库系统权限(Database System Privilege)允许用户执行特定的命令集。例...
Oracle建立表空间和用户
热门推荐
冷雨夜的专栏
09-20 48万+
Oracle建立表空间和用户 建立表空间和用户的步骤: 用户 建立:create user 用户名 identified by "密码"; 授权:grant create session to 用户名; grant create table to 用户名; grant create tablespace t
Oracle学习笔记(四)
12-16
例:create user user_1 indentified by pwd_1 alter user user_1 identified by pwd_2 2、给用户授予权限 grant privilege[,privilege] to user [,user|role,public…] 一些系统权限: create session/table/...
oracle基础笔记整理
07-31
Oracle基础学习笔记,开窗排序函数,权限管理,递归查询,存储函数触发器游标等等
oracle学习笔记
05-25
这是我学习oracle写下的笔记,还是比较详细的,有很具体详细的例子,主要是在oracle11g中scott用户中自带的emp表和dept表为基础的。适当初学者看,希望对你有帮助,个人水平所限,可能有错误,欢迎指正
ORACLE学习笔记-新建用户及建表篇
12-15
/*授权connect,resource给用户sa*/ grant connect,resource to sa; 说明:CONNECT角色: –是授予最终用户的典型权利,最基本的 。  ESOURCE 角色: –是授予开发人员的 /*查询所有的用户*/ select * from all_...
oracle创建用户,授权connect,resource后无法建表
wanggang130532的博客
09-18 1094
oracle创建用户后,授权很重要,grantconnect,resourcetodemo后,如果你觉得可以了,那就错了。
oracle grant select any table,select any table的测试
weixin_42359255的博客
04-16 7040
近期,生产的测试系统需要读取实际数据,为了区分用户,做了如下select any Table系统权限的测试--1.用户test有表T1TEST@ORA10G>desc tName Null? Type---------------------------------...
MySQL权限管理
不再疯要傻
11-25 1万+
用户和权限管理: 语法 grant 权限 on 数据库.数据表 to '用户' @ '主机名'; 例:给 xiaogang 分配所有的权限 grant all on *.* to 'xiaogang'@'%'; 这个时候 xiaogang 就拥有了 所有权限了   权限列表 权限 说明 举例 usage 连接(登陆)权
oracle给表赋清空权限,Oracle数据库之oracle赋某表truncate权限
weixin_39931390的博客
04-03 1428
本文主要向大家介绍了Oracle数据库之oracle赋某表truncate权限,通过具体的内容向大家展现,希望对大家学习Oracle数据库有所帮助。一、ins用户下创建存储过程二、mobapp用户下赋权:执行存储过程的权限三、odso_insert用户下执行存储过程,即可truncate表查看odso_insert用户拥有的权限createorreplaceprocedurep_trun_...
Oracle drop table 和 truncate table对grant授权的影响
csdn's blog
08-01 1万+
1、以sys登陆,建表赋予权限,准备测试表z2 [oracle@crl ~]$ rlwrap sqlplus / as sysdba SQL*Plus: Release 11.2.0.4.0 Production on Tue May 16 14:59:27 2017 Copyright (c) 1982, 2013, Oracle. All rights reserved. Conne...
oracle 创建表有几种方法,oracle002:给用户创建表,及增删改查的授权
weixin_39963096的博客
04-02 520
一,授权创建表:1, 创建用户在sys超级角色管理员下创建一个用户:create user zll identified by zll;创建完了之后可以拿这个账号密码登陆 然后发现输入账号密码登陆不上。这是因为还没有给用户授权让它登陆。grant create session to zll;2,创建表授权之后发现可以登陆进去,发现建表又是权限不足 再给她授权grant create table t...
Oracle 学习笔记二 Create table
weixin_33910137的博客
03-07 74
1.创建用户 create user hfy identified by hfy; 2.在该用户下建表 建表必须满足权限和表空间; 首先连接sys账户,grant create session to hfy;//授予对话权限 grant create table to hfy;//授予建表权限 分配表空间: sys:alter user hfy quota 5m system(use...
oracle权限相关
陈苏漾的IT生涯
11-18 541
  create session   create table   unlimited tablespace   connect   resource   dba   管理用户   create user zhangsan;//在管理员帐户下,创建用户zhangsan   alert user scott identified by tiger;//修改密码   四,授予权限   1、默认的普通用户scott默认未解锁,不能进行那个使用,新建的用户也没有任何权限,必须授予权限 ...
oracle数据库学习笔记
08-18
- *1* *2* *3* [Oracle 学习笔记](https://blog.csdn.net/qq_39326472/article/details/87912125)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值