oracle数据库vip和priv,Oracle 用户授权需谨慎

最新推荐文章于 2024-01-03 16:18:54 发布
最新推荐文章于 2024-01-03 16:18:54 发布
阅读量533 收藏
点赞数
文章标签: oracle数据库vip和priv

看到 有人提问关于授权的问题. 不由得想多说几句. Oracle 9i 以及以下版本的数据库,默认的数据库角色有些不太合理的地方. DBA 管理的过程中,如果不太注意的话,可能会带来麻烦或者潜在的隐忧. 比如最常见的 CONNECT 角色.

User => FOO has been granted the following privileges

====================================================================

ROLE => CONNECT which contains =>

SYS PRIV => ALTER SESSION grantable => NO

SYS PRIV => CREATE CLUSTER grantable => NO

SYS PRIV => CREATE DATABASE LINK grantable => NO

SYS PRIV => CREATE SEQUENCE grantable => NO

SYS PRIV => CREATE SESSION grantable => NO

SYS PRIV => CREATE SYNONYM grantable => NO

SYS PRIV => CREATE TABLE grantable => NO

SYS PRIV => CREATE VIEW grantable => NO

这里面的 ALTER SESSION 就是一个问题. 恶意的用户很容易利用这个权限给系统带来麻烦.举两个例子,一个是 修改当前 Session 的 cursor_sharing 参数值为 FORCE ,然后提交可触发 Oracle Bug 的查询(cursor_sharing 在 FORCE 模式下 Bug 很多) , 很容易让数据库崩溃. 或者恶意用户提交 alter session set hash_area_size ... 的修改语句, 给自己设定一个超大的 HASH_AREA_SIZE , 再提交一定的查询,也会给系统性能造成很糟糕的影响.

这个 CONNECT 角色在 Oracle 10g 中已经修改了,只有 create session 的权限.

再来一个角色的问题. 比如 REOURCE 角色, 包含的权限如下所示:

User => FOO has been granted the following privileges

====================================================================

ROLE => RESOURCE which contains =>

SYS PRIV => CREATE CLUSTER grantable => NO

SYS PRIV => CREATE INDEXTYPE grantable => NO

SYS PRIV => CREATE OPERATOR grantable => NO

SYS PRIV => CREATE PROCEDURE grantable => NO

SYS PRIV => CREATE SEQUENCE grantable => NO

SYS PRIV => CREATE TABLE grantable => NO

SYS PRIV => CREATE TRIGGER grantable => NO

SYS PRIV => CREATE TYPE grantable => NO

SYS PRIV => UNLIMITED TABLESPACE grantable => NO

注意是包含 UNLIMITED TABLESPACE 权限的(实际上是隐含的一个权限,Oracle为什么这样做,没有明确的文档说明,在 10g 中为了向后兼容,也是这样的.), 恶意用户利用这个造成麻烦很容易:在 SYSTEM 建立一个足够大的表即可让数据库宕机.

posted on 2006-09-07 10:07 七匹狼 阅读(382) 评论(0)  编辑  收藏 所属分类: oracle

神自污渍
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
100天精通Oracle-实战系列(第33天)RHEL 7 安装 Oracle 12CR2 RAC 数据库
LuciferLiu_DBA
04-01 2944
100天精通Oracle-实战系列(第33天)RHEL 7 安装 Oracle 12CR2 RAC 数据库
Oracle 数据库操作
TokyoCatZ的博客
10-13 627
1.创建数据库文件: create tablespace [database_name] logging datafile 'F:\oracle\database_name.dbf' size 500m autoextend on next 500m maxsize 10240m extent management local; 2.创建数据库临时文件: create temporary tab...
11g RAC 修改PUBLIC-IP、VIPPRIV-IP、SCAN-IP
DATA
11-11 2997
1.      IP修改规划     hostname 修改前 修改后 Public-ip Node1 192.168.150.11 192.168.114.11 Node2 192.168.150.12 192.168.114.12 VIP
oracle数据库vippriv,ORACLE RAC VIP飘到priv IP上的问题解决
weixin_30114649的博客
04-06 234
前几天在安装RAC的时候遇到的问题,完全相同的环境,装了几次了,都没问题,最后一次的时候网卡选的不是ent0,在运行VIPCA的时候,把public(ent9)和private(ent11)俩块网卡都选了,然后有一台机器的vip就老是飘到priv-ip上,郁闷了一晚上。以后还是规规矩矩的使用ent0做public吧Make sure there is a recent copy of the OC...
oracle rac vip什么用,理解RAC数据库vip地址的作用
羽之大公公的博客
12-23 2121
公用网卡配置VIP地址,当集群中有节点宕机之后,目的是使应用能够无缝的,快速的使用rac数据库的任何一个节点(除宕机节点),这样提高了数据库的可用性(HA),保证了业务的正常运行。 为什么会提高可用性(HA)? 数据流逻辑上应用层对应用层,传输层对传输层等. 但实际上数据流是上下传送的. 客户端访问数据库服务器是典型的C/S架构,正常的数据流从客户端的应用层>传输层>网络层>物理层,到数据库服务器的物理层>网络层>传输层>应用层,数据流成功完成。 客户端提交的数
Oracle VIP说明
weixin_30892037的博客
07-31 1852
本篇文档,描述说明VIP的作用 1.VIP全称virtual ip 虚拟IP 2.Oracle为啥要搞个VIP 3.两节点RAC,集群单个节点故障关闭后,VIP漂移否继续对外提供服务 一、模拟RAC节点1故障后,应用通过物理ip和vip连接测试 TCP协议是一种面向连接的可靠的传输层协议,它保证了数据的可靠传输,对于一些出错,超时丢包等问题TCP设计的超时与重传机制。其...
数据库高可用场景下,VIP(虚拟IP)的作用
热门推荐
小白的进化史
09-12 1万+
高可用性HA(High Availability)指的是通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性。HA系统是目前企业防止核心计算机系统因故障停机的最有效手段。 实现HA的方式,一般采用两台机器同时完成一项功能,比如数据库服务器,平常只有一台机器对外提供服务,另一台机器作为热备,当这台机器出现故障时,自动动态切换到另一台热备的机器。
Oracle数据库 数据库调优
小曹同学的博客
11-11 2091
文章目录一、数据库调优的目标二、确定调优目标的方式1. 用户的反馈2. 日志分析3. 服务器资源使用资源4. 数据库内部状况监控三、数据库的调优维度1. 选择合适的DBMS2. 优化表设计3. 优化逻辑查询4. 优化物理查询5. 使用 Redis 或 Memcached6. 库级优化四、SQL语句优化 一、数据库调优的目标 简单来说,数据库调优的目的就是要让数据库运行得更快,也就是说响应的时间更快,吞吐量更大。 不过随着用户量的不断增加,以及应用程序复杂度的提升,我们很难用“更快”去定义数据库调优的目标,因
数据库oracle审计,Oracle数据库审计策略
weixin_39897449的博客
04-02 1568
Oracle数据库审计策略Oracle数据库默认是关闭审计的,一旦开启了会对oracle数据库的性能产生影响。Oracle默认安装后审计策略设置默认情况下,审计策略是关闭的,而且审计记录存储的模式也未选择。所以默认情况下,某用户对某表做了某操作都是不做任何记录的。audit_sys_operations 值只有TRUE和FALSE两个之分。但是audit_trail值有如下情况:(1)audit_...
Oracle数据库用户权限模型:理解和管理用户权限的权威指南
Oracle数据库用户权限模型是一种基于角色和权限的访问控制系统。它允许管理员定义和授予权限,以控制用户数据库对象和操作的访问。用户权限模型包括以下关键概念: - **用户:**数据库中具有唯一标识符和密码的...
CBM;CHKD ;VIP三种常用数据库的比较分析
08-19
 随着数据库技术的不断成熟与发展,全文数据库、摘要 题录数据库、引文数据库等日益受到人们的重视。这些数据 库突破了时空的限制,又具有文献集中、专业性强、文献资源 质量高等优点,因而得到了用户的认可。以下就常用的三种 数据库即《中国生物医学文献数据库》(简称CBM) 、《中国医 院知识仓库》(简称CHKD) 、《中文科技期刊全文数据库》(简 称VIP 或维普) 进行分析与比较。
oracle rac vip什么用,Oracle VIP说明
weixin_42480540的博客
04-04 1364
本篇文档,描述说明VIP的作用1.VIP全称virtual ip 虚拟IP2.Oracle为啥要搞个VIP3.两节点RAC,集群单个节点故障关闭后,VIP漂移否继续对外提供服务一、模拟RAC节点1故障后,应用通过物理ip和vip连接测试TCP协议是一种面向连接的可靠的传输层协议,它保证了数据的可靠传输,对于一些出错,超时丢包等问题TCP设计的超时与重传机制。其基本原理:在发送一个数据之后,就开启...
oracle添加vip,Oracle vip修改
weixin_39715460的博客
04-08 735
关于修改vip,由于安装阶段将,vip,没有设置成于public同一网段导致,RAC重启一段时间后,vip服务资源offline[oracle@node1~]$crs_stat-tNameTypeTargetStateHost-----------------------------------------------------...
Oracle Rac 11G VIP测试
最新发布
liuxinglei13的专栏
01-03 1220
VIP 可以在两个物理机之间漂移,而且关闭其中的一个节点(这里是节点1),在另外一个节点(这里是节点2)配置相应的监听,是可以监听节点1 VIP数据库连接的。节点1正常后又可以正常连接节点1的VIP连接数据库。生产上我们连节点1,节点1挂了,我们可以正常连接到节点2. 而且重新启动节点1就会正常。但是如果节点2挂了,而我们又有应用必须连接节点2,这就需要我们手工在节点1配置VIP2的监听。启动节点2后 VIP2飘回到节点2,但是节点2Listener无法启动,需要去掉VIP1的监听才可以正常启。
第五章---引入VIP后的数据库架构
炫的博客
09-26 2292
引入虚拟IP后的数据库架构,读写压力仍然大 如何解决读压力问题 推荐Redis,读写分离,读分摊,缓存服务器 读的话,实时性强的话====快的话要在主库 方法二:数据 库中间层完成读写分离 负载均衡同时完成—————————-降低50-70% 读负载均衡—–数据中间层 安装lvs管理工具
oracle rac---vip的理解
qq_39111199的博客
03-18 2605
1、rac中vip不需要单独一张网卡,会绑定在public网卡上; 2、当某个节点发生故障时,vip会漂移到其他节点; 3、每个节点的Listener会同时在public网卡的public IP和VIP两个地址上监听; 注意:当连接rac不能正常使用是,需排查一下public ip和vip的1521端口是否都允许访问 ...
Oracle数据库管理--集群IP管理(netwrok,vip,scan vip asmnet)分析汇总
oradbm的博客
06-16 1393
对于网络的管理可以采用oifcfg和srvctl命令进行管理。
oracle 对象查询
vip_ljq的专栏
06-01 830
---dba_  所有   user_  当前 select * from dba_tables where owner = '';   select * from user_tables;      select * from dba_source where owner = '' and type not in( 'PROCEDURE','FUNCTION');    select ...
Oracle 11g RAC 错误集锦之---VIP 故障
天涯客*Blog
03-31 2341
Oracle 11g RAC 错误集锦之---VIP 故障故障现象:Oracle RAC VIP 故障系统环境: 操作系统:Redhat EL55 集群软件:CRS 11G 数据库软件:Oracle 11g(11.2.0.1) 网络配置:[root@syw1 bin]# cat /etc/hosts# Do not remove the following line, or various pro
Oracle RAC教程:从硬件到数据库构建
在这个环境中,我们有三个节点(Node1, Node2, Node3),每个节点都有自己的公共 IP(Pubip)、私有 IP(Privip)和虚拟 IP(Vip),以及特定的网关设置。这些网络配置是确保集群间通信的关键。 实施 RAC 需要遵循...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值