怎么防止oracle賦權(quán),oracle函數(shù)賦權(quán)給用戶

oracle數(shù)據(jù)庫(kù)賦權(quán)問(wèn)題

建用戶和授權(quán)要用dba

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括武夷山網(wǎng)站建設(shè)、武夷山網(wǎng)站制作、武夷山網(wǎng)頁(yè)制作以及武夷山網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，武夷山網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到武夷山省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

最簡(jiǎn)單得建用戶：

create

user

用戶名

identified

by

密碼

用戶解鎖

alter

user

用戶名

account

unlock（不解鎖無(wú)法登陸）

授權(quán)用

grant

建完用戶首先要授權(quán)登陸權(quán)限

grant

create

session

to

用戶名

授權(quán)可以授權(quán)給角色和用戶

也可以把角色授權(quán)給角色和用戶

其他得類似

創(chuàng)建表得權(quán)限類似如下格式：

grant

create

table

to

用戶

如何保證oracle數(shù)據(jù)庫(kù)的安全性

數(shù)據(jù)庫(kù)安全性問(wèn)題一直是圍繞著數(shù)據(jù)庫(kù)管理員的惡夢(mèng)，數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失

以及數(shù)據(jù)庫(kù)被非法用戶的侵入使得數(shù)據(jù)庫(kù)管理員身心疲憊不堪。本文圍繞數(shù)據(jù)

庫(kù)的安全性問(wèn)題提出了一些安全性策略，希望對(duì)數(shù)據(jù)庫(kù)管理員有所幫助，不再

夜夜惡夢(mèng)。數(shù)據(jù)庫(kù)安全性問(wèn)題應(yīng)包括兩個(gè)部分：

一、數(shù)據(jù)庫(kù)數(shù)據(jù)的安全

它應(yīng)能確保當(dāng)數(shù)據(jù)庫(kù)系統(tǒng)DownTime時(shí)，當(dāng)數(shù)據(jù)庫(kù)數(shù)據(jù)存儲(chǔ)媒體被破

壞時(shí)以及當(dāng)數(shù)據(jù)庫(kù)用戶誤操作時(shí)，數(shù)據(jù)庫(kù)數(shù)據(jù)信息不至于丟失。

二、數(shù)據(jù)庫(kù)系統(tǒng)不被非法用戶侵入

它應(yīng)盡可能地堵住潛在的各種漏洞，防止非法用戶利用它們侵入數(shù)據(jù)

庫(kù)系統(tǒng)。

對(duì)于數(shù)據(jù)庫(kù)數(shù)據(jù)的安全問(wèn)題，數(shù)據(jù)庫(kù)管理員可以參考有關(guān)系統(tǒng)雙機(jī)

熱備份功能以及數(shù)據(jù)庫(kù)的備份和恢復(fù)的資料。

以下就數(shù)據(jù)庫(kù)系統(tǒng)不被非法用戶侵入這個(gè)問(wèn)題作進(jìn)一步的闡述。

組和安全性：

在操作系統(tǒng)下建立用戶組也是保證數(shù)據(jù)庫(kù)安全性的一種有效方法。

Oracle程序?yàn)榱税踩阅康囊话惴譃閮深悾阂活愃械挠脩舳伎蓤?zhí)行，

另一類只DBA可執(zhí)行。在Unix環(huán)境下組設(shè)置的配置文件是/etc/group，

關(guān)于這個(gè)文件如何配置，請(qǐng)參閱Unix的有關(guān)手冊(cè)，以下是保證安全性的

幾種方法：

(1) 在安裝Oracle Server前，創(chuàng)建數(shù)據(jù)庫(kù)管理員組(DBA)而且

分配root和Oracle軟件擁有者的用戶ID給這個(gè)組。DBA能執(zhí)

行的程序只有710權(quán)限。在安裝過(guò)程中SQL*DBA系統(tǒng)權(quán)限命令

被自動(dòng)分配給DBA組。

(2) 允許一部分Unix用戶有限制地訪問(wèn)Oracle服務(wù)器系統(tǒng)，增加

一個(gè)由授權(quán)用戶組的Oracle組，確保給Oracle服務(wù)器實(shí)用例

程Oracle組ID，公用的可執(zhí)行程序，比如SQL*Plus，SQL*Fo

rms等，應(yīng)該可被這組執(zhí)行，然后該這個(gè)實(shí)用例程的權(quán)限為

710，它將允許同組的用戶執(zhí)行，而其他用戶不能。

(3) 改那些不會(huì)影響數(shù)據(jù)庫(kù)安全性的程序的權(quán)限為711。

注：在我們的系統(tǒng)中為了安裝和調(diào)試的方便，Oracle數(shù)據(jù)庫(kù)中

的兩個(gè)具有DBA權(quán)限的用戶Sys和System的缺省密碼是manager。

為了您數(shù)據(jù)庫(kù)系統(tǒng)的安全，我們強(qiáng)烈建議您該掉這兩個(gè)用戶的

密碼，具體操作如下：

在SQL*DBA下鍵入：

alter user sys indentified by password;

alter user system indentified by password;

其中password為您為用戶設(shè)置的密碼。

Oracle服務(wù)器實(shí)用例程的安全性：

以下是保護(hù)Oracle服務(wù)器不被非法用戶使用的幾條建議：

(1) 確保$ORACLE_HOME/bin目錄下的所有程序的擁有權(quán)歸Oracle

軟件擁有者所有；

(2) 給所有用戶實(shí)用便程(sqiplus,sqiforms,exp,imp等)711權(quán)

限，使服務(wù)器上所有的用戶都可訪問(wèn)Oracle服務(wù)器；

(3) 給所有的DBA實(shí)用例程(比如SQL*DBA)700權(quán)限。Oracle服務(wù)器

和Unix組當(dāng)訪問(wèn)本地的服務(wù)器時(shí)，您可以通過(guò)在操作系統(tǒng)下把

Oracle服務(wù)器的角色映射到Unix的組的方式來(lái)使用Unix管理服

務(wù)器的安全性，這種方法適應(yīng)于本地訪問(wèn)。

在Unix中指定Oracle服務(wù)器角色的格式如下：

ora_sid_role[_dla]

其中

sid 是您Oracle數(shù)據(jù)庫(kù)的oracle_sid；

role 是Oracle服務(wù)器中角色的名字；

d (可選)表示這個(gè)角色是缺省值；

a (可選)表示這個(gè)角色帶有WITH ADMIN選項(xiàng)，

您只可以把這個(gè)角色授予其他角色，不能是其他用戶。

以下是在/etc/group文件中設(shè)置的例子：

ora_test_osoper_d:NONE:1:jim,narry,scott

ora_test_osdba_a:NONE:3:pat

ora_test_role1:NONE:4:bob,jane,tom,mary,jim

bin: NONE:5:root,oracle,dba

root:NONE:7:root

詞組“ora_test_osoper_d”表示組的名字；詞組“NONE”表示這

個(gè)組的密碼；數(shù)字1表示這個(gè)組的ID；接下來(lái)的是這個(gè)組的成員。前兩

行是Oracle服務(wù)器角色的例子，使用test作為sid，osoper和osdba作

為Oracle服務(wù)器角色的名字。osoper是分配給用戶的缺省角色，osdba

帶有WITH ADMIN選項(xiàng)。為了使這些數(shù)據(jù)庫(kù)角色起作用，您必須shutdown

您的數(shù)據(jù)庫(kù)系統(tǒng)，設(shè)置Oracle數(shù)據(jù)庫(kù)參數(shù)文件initORACLE_SID.ora中

os_roles參數(shù)為True，然后重新啟動(dòng)您的數(shù)據(jù)庫(kù)。如果您想讓這些角色

有connect internal權(quán)限，運(yùn)行orapwd為這些角色設(shè)置密碼。當(dāng)您嘗

試connect internal時(shí)，您鍵入的密碼表示了角色所對(duì)應(yīng)的權(quán)限。

SQL*DBA命令的安全性：

如果您沒(méi)有SQL*PLUS應(yīng)用程序，您也可以使用SQL*DBA作SQL查權(quán)

限相關(guān)的命令只能分配給Oracle軟件擁有者和DBA組的用戶，因?yàn)檫@些

命令被授予了特殊的系統(tǒng)權(quán)限。

(1) startup

(2) shutdown

(3) connect internal

數(shù)據(jù)庫(kù)文件的安全性：

Oracle軟件的擁有者應(yīng)該這些數(shù)據(jù)庫(kù)文件

($ORACLE_HOME/dbs/*.dbf)設(shè)置這些文件的使用權(quán)限為0600：文件的

擁有者可讀可寫，同組的和其他組的用戶沒(méi)有寫的權(quán)限。

Oracle軟件的擁有者應(yīng)該擁有包含數(shù)據(jù)庫(kù)文件的目錄，為了增加

安全性，建議收回同組和其他組用戶對(duì)這些文件的可讀權(quán)限。

網(wǎng)絡(luò)安全性：

當(dāng)處理網(wǎng)絡(luò)安全性時(shí)，以下是額外要考慮的幾個(gè)問(wèn)題。

(1) 在網(wǎng)絡(luò)上使用密碼

在網(wǎng)上的遠(yuǎn)端用戶可以通過(guò)加密或不加密方式鍵入密碼，

當(dāng)您用不加密方式鍵入密碼時(shí)，您的密碼很有可能被非法用

戶截獲，導(dǎo)致破壞了系統(tǒng)的安全性。

(2) 網(wǎng)絡(luò)上的DBA權(quán)限控制

您可以通過(guò)下列兩種方式對(duì)網(wǎng)絡(luò)上的DBA權(quán)限進(jìn)行控制：

A 設(shè)置成拒絕遠(yuǎn)程DBA訪問(wèn)；

B 通過(guò)orapwd給DBA設(shè)置特殊的密碼。

建立安全性策略：

系統(tǒng)安全性策略

(1) 管理數(shù)據(jù)庫(kù)用戶

數(shù)據(jù)庫(kù)用戶是訪問(wèn)Oracle數(shù)據(jù)庫(kù)信息的途徑，因此，

應(yīng)該很好地維護(hù)管理數(shù)據(jù)庫(kù)用戶的安全性。按照數(shù)據(jù)庫(kù)系統(tǒng)

的大小和管理數(shù)據(jù)庫(kù)用戶所需的工作量，數(shù)據(jù)庫(kù)安全性管理

者可能只是擁有create，alter，或drop數(shù)據(jù)庫(kù)用戶的一個(gè)

特殊用戶，或者是擁有這些權(quán)限的一組用戶，應(yīng)注意的是，只

有那些值得信任的個(gè)人才應(yīng)該有管理數(shù)據(jù)庫(kù)用戶的權(quán)限。

(2) 用戶身份確認(rèn)

數(shù)據(jù)庫(kù)用戶可以通過(guò)操作系統(tǒng)，網(wǎng)絡(luò)服務(wù)，或數(shù)據(jù)庫(kù)進(jìn)行

身份確認(rèn)，通過(guò)主機(jī)操作系統(tǒng)進(jìn)行用戶身份認(rèn)證的優(yōu)點(diǎn)有：

A 用戶能更快，更方便地聯(lián)入數(shù)據(jù)庫(kù)；

B 通過(guò)操作系統(tǒng)對(duì)用戶身份確認(rèn)進(jìn)行集中控制：如果操作

系統(tǒng)與數(shù)據(jù)庫(kù)用戶信息一致，那么Oracle無(wú)須存儲(chǔ)和管

理用戶名以及密碼；

C 用戶進(jìn)入數(shù)據(jù)庫(kù)和操作系統(tǒng)審計(jì)信息一致。

(3) 操作系統(tǒng)安全性

A 數(shù)據(jù)庫(kù)管理員必須有create和delete文件的操作系統(tǒng)權(quán)限；

B 一般數(shù)據(jù)庫(kù)用戶不應(yīng)該有create或delete與數(shù)據(jù)庫(kù)相關(guān)文

件的操作系統(tǒng)權(quán)限；

C 如果操作系統(tǒng)能為數(shù)據(jù)庫(kù)用戶分配角色，那么安全性管理者

必須有修改操作系統(tǒng)帳戶安全性區(qū)域的操作系統(tǒng)權(quán)限。

數(shù)據(jù)的安全性策略：

數(shù)據(jù)的生考慮應(yīng)基于數(shù)據(jù)的重要性。如果數(shù)據(jù)不是很重要，那么數(shù)

據(jù)的安全性策略可以稍稍放松一些。然而，如果數(shù)據(jù)很重要，那么應(yīng)該

有一謹(jǐn)慎的安全性策略，用它來(lái)維護(hù)對(duì)數(shù)據(jù)對(duì)象訪問(wèn)的有效控制。

用戶安全性策略：

(1) 一般用戶的安全性

A 密碼的安全性

如果用戶是通過(guò)數(shù)據(jù)庫(kù)進(jìn)行用戶身份的確認(rèn)，那么建議

使用密碼加密的方式與數(shù)據(jù)庫(kù)進(jìn)行連接。這種方式的設(shè)置方

法如下：

在客戶端的oracle.ini文件中設(shè)置

ora_encrypt_login數(shù)為true；

在服務(wù)器端的initORACLE_SID.ora文件中設(shè)置

dbling_encypt_login參數(shù)為true。

B 權(quán)限管理

對(duì)于那些用戶很多，應(yīng)用程序和數(shù)據(jù)對(duì)象很豐富的數(shù)據(jù)

庫(kù)，應(yīng)充分利用“角色”這個(gè)機(jī)制所帶的方便性對(duì)權(quán)限進(jìn)行

有效管理。對(duì)于復(fù)雜的系統(tǒng)環(huán)境，“角色”能大大地簡(jiǎn)化權(quán)

限的管理。

(2) 終端用戶的安全性

您必須針對(duì)終端用戶制定安全性策略。例如，對(duì)于一個(gè)有

很多用戶的大規(guī)模數(shù)據(jù)庫(kù)，安全性管理者可以決定用戶組分類，

為這些用戶組創(chuàng)建用戶角色，把所需的權(quán)限和應(yīng)用程序角色授

予每一個(gè)用戶角色，以及為用戶分配相應(yīng)的用戶角色。當(dāng)處理

特殊的應(yīng)用要求時(shí)，安全性管理者也必須明確地把一些特定的

權(quán)限要求授予給用戶。您可以使用“角色”對(duì)終端用戶進(jìn)行權(quán)

限管理。

數(shù)據(jù)庫(kù)管理者安全性策略：

(1) 保護(hù)作為sys和system用戶的連接

當(dāng)數(shù)據(jù)庫(kù)創(chuàng)建好以后，立即更改有管理權(quán)限的sys和system用

戶的密碼，防止非法用戶訪問(wèn)數(shù)據(jù)庫(kù)。當(dāng)作為sys和system用戶

連入數(shù)據(jù)庫(kù)后，用戶有強(qiáng)大的權(quán)限用各種方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行改動(dòng)。

(2) 保護(hù)管理者與數(shù)據(jù)庫(kù)的連接

應(yīng)該只有數(shù)據(jù)庫(kù)管理者能用管理權(quán)限連入數(shù)據(jù)庫(kù)，當(dāng)以sysdba

或startup，shutdown，和recover或數(shù)據(jù)庫(kù)對(duì)象(例如create,

drop，和delete等)進(jìn)行沒(méi)有任何限制的操作。

(3) 使用角色對(duì)管理者權(quán)限進(jìn)行管理

應(yīng)用程序開發(fā)者的安全性策略：

(1) 應(yīng)用程序開發(fā)者和他們的權(quán)限

數(shù)據(jù)庫(kù)應(yīng)用程序開發(fā)者是唯一一類需要特殊權(quán)限組完成自己

工作的數(shù)據(jù)庫(kù)用戶。開發(fā)者需要諸如create table,create

procedure等系統(tǒng)權(quán)限，然而，為了限制開發(fā)者對(duì)數(shù)據(jù)庫(kù)的操作，

只應(yīng)該把一些特定的系統(tǒng)權(quán)限授予開發(fā)者。

(2) 應(yīng)用程序開發(fā)者的環(huán)境

A 程序開發(fā)者不應(yīng)與終端用戶競(jìng)爭(zhēng)數(shù)據(jù)庫(kù)資源；

B 用程序開發(fā)者不能損害數(shù)據(jù)庫(kù)其他應(yīng)用產(chǎn)品。

(3) free和controlled應(yīng)用程序開發(fā)

應(yīng)用程序開發(fā)者有一下兩種權(quán)限：

A free development

應(yīng)用程序開發(fā)者允許創(chuàng)建新的模式對(duì)象，包括table,index,

procedure,package等，它允許應(yīng)用程序開發(fā)者開發(fā)獨(dú)立于其

他對(duì)象的應(yīng)用程序。

B controlled development

應(yīng)用程序開發(fā)者不允許創(chuàng)建新的模式對(duì)象。所有需要table,

indes procedure等都由數(shù)據(jù)庫(kù)管理者創(chuàng)建，它保證了數(shù)據(jù)

庫(kù)管理者能完全控制數(shù)據(jù)空間的使用以及訪問(wèn)數(shù)據(jù)庫(kù)信息的

途徑。但有時(shí)應(yīng)用程序開發(fā)者也需這兩種權(quán)限的混和。

(4) 應(yīng)用程序開發(fā)者的角色和權(quán)限

數(shù)據(jù)庫(kù)安全性管理者能創(chuàng)建角色來(lái)管理典型的應(yīng)用程序開

發(fā)者的權(quán)限要求。

A create系統(tǒng)權(quán)限常常授予給應(yīng)用程序開發(fā)者，以到于

他們能創(chuàng)建他的數(shù)據(jù)對(duì)象。

B 數(shù)據(jù)對(duì)象角色幾乎不會(huì)授予給應(yīng)用程序開發(fā)者使用的

角色。

(5) 加強(qiáng)應(yīng)用程序開發(fā)者的空間限制

作為數(shù)據(jù)庫(kù)安全性管理者，您應(yīng)該特別地為每個(gè)應(yīng)用程

序開發(fā)者設(shè)置以下的一些限制：

A 開發(fā)者可以創(chuàng)建table或index的表空間；

B 在每一個(gè)表空間中，開發(fā)者所擁有的空間份額。應(yīng)用程

序管理者的安全在有許多數(shù)據(jù)庫(kù)應(yīng)用程序的數(shù)據(jù)庫(kù)系統(tǒng)

中，您可能需要一應(yīng)用程序管理者，應(yīng)用程序管理者應(yīng)

負(fù)責(zé)以下的任務(wù)：

C 為每一個(gè)應(yīng)用程序創(chuàng)建角色以及管理每一個(gè)應(yīng)用程序

的角色；

D 創(chuàng)建和管理數(shù)據(jù)庫(kù)應(yīng)用程序使用的數(shù)據(jù)對(duì)象；

E 需要的話，維護(hù)和更新應(yīng)用程序代碼和Oracle的存儲(chǔ)

過(guò)程和程序包。

在學(xué)習(xí)ORACLE的授予對(duì)象權(quán)限時(shí)遇到這樣的問(wèn)題。

手頭沒(méi)有oracle環(huán)境，select 賦權(quán)不曉得有沒(méi)有你寫的那種語(yǔ)法。

不過(guò)，我一般用下面的方法：

建一個(gè)視圖，只包含一個(gè)字段

create or replace view test_view as

select ename from emp;

grant select on test_view to monkey;

---

以上，希望對(duì)你有所幫助。

oracle中怎么賦予用戶權(quán)限

oracle中賦予用戶權(quán)限的具體步驟如下：

1、首先打開電腦，點(diǎn)擊打開電腦桌面左下角的開始圖標(biāo)。

2、然后在彈出來(lái)的窗口中點(diǎn)擊搜索框，輸入“cmd”，回車確定。

3、然后在彈出來(lái)的窗口中點(diǎn)擊輸入“grant unlimited tablespace to 用戶名”，回車確定，獲取操作表空間權(quán)限。

4、然后在彈出來(lái)的窗口中點(diǎn)擊打開“grant create table to 用戶名”回車確定，獲取創(chuàng)建表權(quán)限。

5、然后點(diǎn)擊輸入“grante drop table to 用戶名”，回車確定獲取刪除表權(quán)限。

6、點(diǎn)擊輸入“grant insert table to 用戶名”，回車確定獲取插入表權(quán)限。

7、點(diǎn)擊輸入“grant update table to 用戶名”，回車確定獲取更新表權(quán)限。

oracle 自定義角色賦權(quán)問(wèn)題？求解

用戶test_user只有一個(gè)default role配置test，而且需要密碼驗(yàn)證，肯定登錄不了。通常default role之外的role才會(huì)設(shè)置密碼驗(yàn)證。

執(zhí)行alter role test not identified;后正是關(guān)閉了需要驗(yàn)證才能集成的角色權(quán)限。

本文題目：怎么防止oracle賦權(quán),oracle函數(shù)賦權(quán)給用戶
分享地址：http://muchs.cn/article32/hcigpc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、關(guān)鍵詞優(yōu)化、建站公司、定制開發(fā)、域名注冊(cè)、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)