orcale安全篇简述

 

 

用户管理

创建用户

Create  user 用户名 identified by  口令

Dedault  tablespace  普通表空间名字          //默认值为system

Temporary tablespace  临时表空间名字        //默认值为temp

Quota n k|M|unlimited   on 表空间名字    //限制用户使用的存储空间的大小。默认下新建用户在任何表空间都不具任何配额

Profile 概要文件

Password expire

Account  lock|unlock

例如：

创建一个名称为JAME的用户，口令为ANGEL，缺省表空间为USERS，临时表空间为TEMP。Users表空间的定额是10M，登陆数据库前修改口令。

  CREATE USER   JAME  IDENTIFIED BY ANGEL

  DEFAULT TABLESPACE USERS

  TEMPORARY TABLESPACE TEMP

  QUOTA 1M ON  USERS

   PASSWORD EXPIRE;

  Grant create session to author;

修改用户

alter  user 用户名 identified by  口令

Dedault  tablespace  普通表空间名字          //默认值为system

Temporary tablespace  临时表空间名字        //默认值为temp

Quota n k|M|unlimited   on 表空间名字    //限制用户使用的存储空间的大小。默认下新建用户在任何表空间都不具任何配额

Profile 概要文件

Password expire

Account  lock|unlock

用户的锁定与解锁

锁定用户

   ALTER USER test ACCOUNT LOCK;

解锁用户

   ALTER USER test ACCOUNT UNLOCK；

删除用户

DROP USER user_name;

权限管理

什么是系统权限？

数据库级别执行某种操作的权限或者说系统规定用户使用数据库的权限。（系统权限是对用户而言)

授权系统权限

grant sys_list | role_list   TO username;

收回系统权限

   revoke  sys_list | role_list  from username;

系统权限分类

 

alter any index 修改任意索引的权限
alter any role 修改任意角色的权限
alter any sequence 修改任意序列的权限
alter any snapshot 修改任意快照的权限
alter any table 修改任意表的权限
alter any trigger 修改任意触发器的权限
alter database 修改数据库的权限
alter procedure 修改拥有的存储过程权限
alter sequence 修改拥有的序列权限
alter session 修改数据库会话的权限
alter sytem 修改数据库服务器设置的权限
alter table 修改拥有的表权限
alter tablespace 修改表空间的权限
alter user 修改用户的权限
backup any table 备份任意表的权限
become user 切换用户状态的权限
commit any table 提交表的权限
create any cluster 为任意用户创建簇的权限
create any index 为任意用户创建索引的权限
create any procedure 为任意用户创建存储过程的权限

create any sequence 为任意用户创建序列的权限

create any snapshot 为任意用户创建快照的权限

create any synonym 为任意用户创建同义名的权限
create any table 为任意用户创建表的权限
create any trigger 为任意用户创建触发器的权限
create any view 为任意用户创建视图的权限
create cluster 为用户创建簇的权限
create database link 为用户创建的权限
create procedure 为用户创建存储过程的权限
create profile 创建资源限制简表的权限
create public database link 创建公共数据库链路的权限
create public synonym 创建公共同义名的权限
create role 创建角色的权限
create rollback segment 创建回滚段的权限
create session 创建会话的权限
create sequence 为用户创建序列的权限
create snapshot 为用户创建快照的权限
create synonym 为用户创建同义名的权限
create table 为用户创建表的权限
 

例子

grant alter any procedure,alter any trigger,alter any table,execute any procedure to scott;

什么是对象权限？

对某个特定的数据库对象执行某种操作的权限 。在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。

对象权限分类

select, update, insert, alter, index, delete, all 、

授权对象权限

GRANT select ON scott.emp TO user3；

回收对象权限

revoke select ON scott.emp from user1;

 

角色管理

什么是角色？

数据库中的权限较多，为了方便对用户权限的管理，Oracle数据库允许将一组相关的权限授予某个角色，然后将这个角色授予需要的用户，拥有该角色的用户将拥有该角色包含的所有权限（特定权限的集合）

角色分类

系统预定义角色

用户自定义角色

系统预定义角色有

1.CONNECT                           //百度各角色包含权限
2. RESOURCE
3. DBA
4. EXP_FULL_DATABASE
5. IMP_FULL_DATABASE
6. DELETE_CATALOG_ROLE
7. EXECUTE_CATALOG_ROLE
8. SELECT_CATALOG_ROLE

用户自定义创建角色

CREATE ROLE role_name  IDENTIFIED BY 密码

自定义添加权限

例如：

创建一个新的角色role3，它只能创建用户，而不能执行其他DBA级命令,将role3  赋值给user2。

  create role role3;

 grant create session,create user,alter  user to role3;

 Grant role3 to user2;

 

概要文件

什么是概要文件？

概要文件是Oracle安全策略的重要组成部分，利用概要文件可以对数据库用户进行基本的资源限制，并且可以对用户的口令进行管理。

概要文件内容有？

密码的管理

密码有效期 ： PASSWORD_LIFE_TIME  次数∣UNLIMITED∣DEFAULT  

  /*限制同一口令可用于验证的天数*/

帐号锁定： PASSWORD_LOCK_TIME expression∣UNLIMITED∣DEFAULT

  /*指定次数的登录失败而引起的帐户封锁的天数*/

        FAILED_LOGIN__ATTEMPTS  次数∣UNLIMITED∣DEFAULT

  /*在锁定用户帐户之前登录用户帐户的失败次数。*/

资源的管理

 

空闲时间：  IDLE_TIME

限制每个会话所允许的最大连续空闲时间

连接时间：CONNECT_TIME

该参数限制每个会话能连接到数据库的最长时间，达到这个时间限制后会话将自动断开，以分钟为单位

允许并发会话数：SESSIONS_PER_USER

该参数限制每个用户所允许建立的最大并发会话数目，达到这个数目后，用户不能再建立任何连接

怎样使用概要文件？

创建概要文件

CREATE PROFILE  概要文件名  LIMIT

  resource_parameters∣password_parameters

例如：

创建一个概要文件p1，限定在锁定用户帐户之前登录用户帐户的失败次数为3次，超过3次后引起的帐户封锁的天数为7天，用户最多把它提供给用户user1使用。

        CREATE PROFILE  P1  LIMIT

    FAILED_LOGIN_ATTEMPTS  3

　　　　PASSWORD_LOCK_TIME  7;

将概要文件分配给用户

   ALTER USER 用户名

  PROFILE  概要文件名;

例如：

ALTER USER AUTHOR

　　　　PROFILE p1;