建用戶和授權(quán)要用dba
創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括武夷山網(wǎng)站建設(shè)、武夷山網(wǎng)站制作、武夷山網(wǎng)頁(yè)制作以及武夷山網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái),我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,武夷山網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到武夷山省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!
最簡(jiǎn)單得建用戶:
create
user
用戶名
identified
by
密碼
用戶解鎖
alter
user
用戶名
account
unlock(不解鎖無(wú)法登陸)
授權(quán)用
grant
建完用戶首先要授權(quán)登陸權(quán)限
grant
create
session
to
用戶名
授權(quán)可以授權(quán)給角色和用戶
也可以把角色授權(quán)給角色和用戶
其他得類似
創(chuàng)建表得權(quán)限類似如下格式:
grant
create
table
to
用戶
數(shù)據(jù)庫(kù)安全性問(wèn)題一直是圍繞著數(shù)據(jù)庫(kù)管理員的惡夢(mèng),數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失
以及數(shù)據(jù)庫(kù)被非法用戶的侵入使得數(shù)據(jù)庫(kù)管理員身心疲憊不堪。本文圍繞數(shù)據(jù)
庫(kù)的安全性問(wèn)題提出了一些安全性策略,希望對(duì)數(shù)據(jù)庫(kù)管理員有所幫助,不再
夜夜惡夢(mèng)。數(shù)據(jù)庫(kù)安全性問(wèn)題應(yīng)包括兩個(gè)部分:
一、數(shù)據(jù)庫(kù)數(shù)據(jù)的安全
它應(yīng)能確保當(dāng)數(shù)據(jù)庫(kù)系統(tǒng)DownTime時(shí),當(dāng)數(shù)據(jù)庫(kù)數(shù)據(jù)存儲(chǔ)媒體被破
壞時(shí)以及當(dāng)數(shù)據(jù)庫(kù)用戶誤操作時(shí),數(shù)據(jù)庫(kù)數(shù)據(jù)信息不至于丟失。
二、數(shù)據(jù)庫(kù)系統(tǒng)不被非法用戶侵入
它應(yīng)盡可能地堵住潛在的各種漏洞,防止非法用戶利用它們侵入數(shù)據(jù)
庫(kù)系統(tǒng)。
對(duì)于數(shù)據(jù)庫(kù)數(shù)據(jù)的安全問(wèn)題,數(shù)據(jù)庫(kù)管理員可以參考有關(guān)系統(tǒng)雙機(jī)
熱備份功能以及數(shù)據(jù)庫(kù)的備份和恢復(fù)的資料。
以下就數(shù)據(jù)庫(kù)系統(tǒng)不被非法用戶侵入這個(gè)問(wèn)題作進(jìn)一步的闡述。
組和安全性:
在操作系統(tǒng)下建立用戶組也是保證數(shù)據(jù)庫(kù)安全性的一種有效方法。
Oracle程序?yàn)榱税踩阅康囊话惴譃閮深悾阂活愃械挠脩舳伎蓤?zhí)行,
另一類只DBA可執(zhí)行。在Unix環(huán)境下組設(shè)置的配置文件是/etc/group,
關(guān)于這個(gè)文件如何配置,請(qǐng)參閱Unix的有關(guān)手冊(cè),以下是保證安全性的
幾種方法:
(1) 在安裝Oracle Server前,創(chuàng)建數(shù)據(jù)庫(kù)管理員組(DBA)而且
分配root和Oracle軟件擁有者的用戶ID給這個(gè)組。DBA能執(zhí)
行的程序只有710權(quán)限。在安裝過(guò)程中SQL*DBA系統(tǒng)權(quán)限命令
被自動(dòng)分配給DBA組。
(2) 允許一部分Unix用戶有限制地訪問(wèn)Oracle服務(wù)器系統(tǒng),增加
一個(gè)由授權(quán)用戶組的Oracle組,確保給Oracle服務(wù)器實(shí)用例
程Oracle組ID,公用的可執(zhí)行程序,比如SQL*Plus,SQL*Fo
rms等,應(yīng)該可被這組執(zhí)行,然后該這個(gè)實(shí)用例程的權(quán)限為
710,它將允許同組的用戶執(zhí)行,而其他用戶不能。
(3) 改那些不會(huì)影響數(shù)據(jù)庫(kù)安全性的程序的權(quán)限為711。
注:在我們的系統(tǒng)中為了安裝和調(diào)試的方便,Oracle數(shù)據(jù)庫(kù)中
的兩個(gè)具有DBA權(quán)限的用戶Sys和System的缺省密碼是manager。
為了您數(shù)據(jù)庫(kù)系統(tǒng)的安全,我們強(qiáng)烈建議您該掉這兩個(gè)用戶的
密碼,具體操作如下:
在SQL*DBA下鍵入:
alter user sys indentified by password;
alter user system indentified by password;
其中password為您為用戶設(shè)置的密碼。
Oracle服務(wù)器實(shí)用例程的安全性:
以下是保護(hù)Oracle服務(wù)器不被非法用戶使用的幾條建議:
(1) 確保$ORACLE_HOME/bin目錄下的所有程序的擁有權(quán)歸Oracle
軟件擁有者所有;
(2) 給所有用戶實(shí)用便程(sqiplus,sqiforms,exp,imp等)711權(quán)
限,使服務(wù)器上所有的用戶都可訪問(wèn)Oracle服務(wù)器;
(3) 給所有的DBA實(shí)用例程(比如SQL*DBA)700權(quán)限。Oracle服務(wù)器
和Unix組當(dāng)訪問(wèn)本地的服務(wù)器時(shí),您可以通過(guò)在操作系統(tǒng)下把
Oracle服務(wù)器的角色映射到Unix的組的方式來(lái)使用Unix管理服
務(wù)器的安全性,這種方法適應(yīng)于本地訪問(wèn)。
在Unix中指定Oracle服務(wù)器角色的格式如下:
ora_sid_role[_dla]
其中
sid 是您Oracle數(shù)據(jù)庫(kù)的oracle_sid;
role 是Oracle服務(wù)器中角色的名字;
d (可選)表示這個(gè)角色是缺省值;
a (可選)表示這個(gè)角色帶有WITH ADMIN選項(xiàng),
您只可以把這個(gè)角色授予其他角色,不能是其他用戶。
以下是在/etc/group文件中設(shè)置的例子:
ora_test_osoper_d:NONE:1:jim,narry,scott
ora_test_osdba_a:NONE:3:pat
ora_test_role1:NONE:4:bob,jane,tom,mary,jim
bin: NONE:5:root,oracle,dba
root:NONE:7:root
詞組“ora_test_osoper_d”表示組的名字;詞組“NONE”表示這
個(gè)組的密碼;數(shù)字1表示這個(gè)組的ID;接下來(lái)的是這個(gè)組的成員。前兩
行是Oracle服務(wù)器角色的例子,使用test作為sid,osoper和osdba作
為Oracle服務(wù)器角色的名字。osoper是分配給用戶的缺省角色,osdba
帶有WITH ADMIN選項(xiàng)。為了使這些數(shù)據(jù)庫(kù)角色起作用,您必須shutdown
您的數(shù)據(jù)庫(kù)系統(tǒng),設(shè)置Oracle數(shù)據(jù)庫(kù)參數(shù)文件initORACLE_SID.ora中
os_roles參數(shù)為True,然后重新啟動(dòng)您的數(shù)據(jù)庫(kù)。如果您想讓這些角色
有connect internal權(quán)限,運(yùn)行orapwd為這些角色設(shè)置密碼。當(dāng)您嘗
試connect internal時(shí),您鍵入的密碼表示了角色所對(duì)應(yīng)的權(quán)限。
SQL*DBA命令的安全性:
如果您沒(méi)有SQL*PLUS應(yīng)用程序,您也可以使用SQL*DBA作SQL查權(quán)
限相關(guān)的命令只能分配給Oracle軟件擁有者和DBA組的用戶,因?yàn)檫@些
命令被授予了特殊的系統(tǒng)權(quán)限。
(1) startup
(2) shutdown
(3) connect internal
數(shù)據(jù)庫(kù)文件的安全性:
Oracle軟件的擁有者應(yīng)該這些數(shù)據(jù)庫(kù)文件
($ORACLE_HOME/dbs/*.dbf)設(shè)置這些文件的使用權(quán)限為0600:文件的
擁有者可讀可寫,同組的和其他組的用戶沒(méi)有寫的權(quán)限。
Oracle軟件的擁有者應(yīng)該擁有包含數(shù)據(jù)庫(kù)文件的目錄,為了增加
安全性,建議收回同組和其他組用戶對(duì)這些文件的可讀權(quán)限。
網(wǎng)絡(luò)安全性:
當(dāng)處理網(wǎng)絡(luò)安全性時(shí),以下是額外要考慮的幾個(gè)問(wèn)題。
(1) 在網(wǎng)絡(luò)上使用密碼
在網(wǎng)上的遠(yuǎn)端用戶可以通過(guò)加密或不加密方式鍵入密碼,
當(dāng)您用不加密方式鍵入密碼時(shí),您的密碼很有可能被非法用
戶截獲,導(dǎo)致破壞了系統(tǒng)的安全性。
(2) 網(wǎng)絡(luò)上的DBA權(quán)限控制
您可以通過(guò)下列兩種方式對(duì)網(wǎng)絡(luò)上的DBA權(quán)限進(jìn)行控制:
A 設(shè)置成拒絕遠(yuǎn)程DBA訪問(wèn);
B 通過(guò)orapwd給DBA設(shè)置特殊的密碼。
建立安全性策略:
系統(tǒng)安全性策略
(1) 管理數(shù)據(jù)庫(kù)用戶
數(shù)據(jù)庫(kù)用戶是訪問(wèn)Oracle數(shù)據(jù)庫(kù)信息的途徑,因此,
應(yīng)該很好地維護(hù)管理數(shù)據(jù)庫(kù)用戶的安全性。按照數(shù)據(jù)庫(kù)系統(tǒng)
的大小和管理數(shù)據(jù)庫(kù)用戶所需的工作量,數(shù)據(jù)庫(kù)安全性管理
者可能只是擁有create,alter,或drop數(shù)據(jù)庫(kù)用戶的一個(gè)
特殊用戶,或者是擁有這些權(quán)限的一組用戶,應(yīng)注意的是,只
有那些值得信任的個(gè)人才應(yīng)該有管理數(shù)據(jù)庫(kù)用戶的權(quán)限。
(2) 用戶身份確認(rèn)
數(shù)據(jù)庫(kù)用戶可以通過(guò)操作系統(tǒng),網(wǎng)絡(luò)服務(wù),或數(shù)據(jù)庫(kù)進(jìn)行
身份確認(rèn),通過(guò)主機(jī)操作系統(tǒng)進(jìn)行用戶身份認(rèn)證的優(yōu)點(diǎn)有:
A 用戶能更快,更方便地聯(lián)入數(shù)據(jù)庫(kù);
B 通過(guò)操作系統(tǒng)對(duì)用戶身份確認(rèn)進(jìn)行集中控制:如果操作
系統(tǒng)與數(shù)據(jù)庫(kù)用戶信息一致,那么Oracle無(wú)須存儲(chǔ)和管
理用戶名以及密碼;
C 用戶進(jìn)入數(shù)據(jù)庫(kù)和操作系統(tǒng)審計(jì)信息一致。
(3) 操作系統(tǒng)安全性
A 數(shù)據(jù)庫(kù)管理員必須有create和delete文件的操作系統(tǒng)權(quán)限;
B 一般數(shù)據(jù)庫(kù)用戶不應(yīng)該有create或delete與數(shù)據(jù)庫(kù)相關(guān)文
件的操作系統(tǒng)權(quán)限;
C 如果操作系統(tǒng)能為數(shù)據(jù)庫(kù)用戶分配角色,那么安全性管理者
必須有修改操作系統(tǒng)帳戶安全性區(qū)域的操作系統(tǒng)權(quán)限。
數(shù)據(jù)的安全性策略:
數(shù)據(jù)的生考慮應(yīng)基于數(shù)據(jù)的重要性。如果數(shù)據(jù)不是很重要,那么數(shù)
據(jù)的安全性策略可以稍稍放松一些。然而,如果數(shù)據(jù)很重要,那么應(yīng)該
有一謹(jǐn)慎的安全性策略,用它來(lái)維護(hù)對(duì)數(shù)據(jù)對(duì)象訪問(wèn)的有效控制。
用戶安全性策略:
(1) 一般用戶的安全性
A 密碼的安全性
如果用戶是通過(guò)數(shù)據(jù)庫(kù)進(jìn)行用戶身份的確認(rèn),那么建議
使用密碼加密的方式與數(shù)據(jù)庫(kù)進(jìn)行連接。這種方式的設(shè)置方
法如下:
在客戶端的oracle.ini文件中設(shè)置
ora_encrypt_login數(shù)為true;
在服務(wù)器端的initORACLE_SID.ora文件中設(shè)置
dbling_encypt_login參數(shù)為true。
B 權(quán)限管理
對(duì)于那些用戶很多,應(yīng)用程序和數(shù)據(jù)對(duì)象很豐富的數(shù)據(jù)
庫(kù),應(yīng)充分利用“角色”這個(gè)機(jī)制所帶的方便性對(duì)權(quán)限進(jìn)行
有效管理。對(duì)于復(fù)雜的系統(tǒng)環(huán)境,“角色”能大大地簡(jiǎn)化權(quán)
限的管理。
(2) 終端用戶的安全性
您必須針對(duì)終端用戶制定安全性策略。例如,對(duì)于一個(gè)有
很多用戶的大規(guī)模數(shù)據(jù)庫(kù),安全性管理者可以決定用戶組分類,
為這些用戶組創(chuàng)建用戶角色,把所需的權(quán)限和應(yīng)用程序角色授
予每一個(gè)用戶角色,以及為用戶分配相應(yīng)的用戶角色。當(dāng)處理
特殊的應(yīng)用要求時(shí),安全性管理者也必須明確地把一些特定的
權(quán)限要求授予給用戶。您可以使用“角色”對(duì)終端用戶進(jìn)行權(quán)
限管理。
數(shù)據(jù)庫(kù)管理者安全性策略:
(1) 保護(hù)作為sys和system用戶的連接
當(dāng)數(shù)據(jù)庫(kù)創(chuàng)建好以后,立即更改有管理權(quán)限的sys和system用
戶的密碼,防止非法用戶訪問(wèn)數(shù)據(jù)庫(kù)。當(dāng)作為sys和system用戶
連入數(shù)據(jù)庫(kù)后,用戶有強(qiáng)大的權(quán)限用各種方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行改動(dòng)。
(2) 保護(hù)管理者與數(shù)據(jù)庫(kù)的連接
應(yīng)該只有數(shù)據(jù)庫(kù)管理者能用管理權(quán)限連入數(shù)據(jù)庫(kù),當(dāng)以sysdba
或startup,shutdown,和recover或數(shù)據(jù)庫(kù)對(duì)象(例如create,
drop,和delete等)進(jìn)行沒(méi)有任何限制的操作。
(3) 使用角色對(duì)管理者權(quán)限進(jìn)行管理
應(yīng)用程序開發(fā)者的安全性策略:
(1) 應(yīng)用程序開發(fā)者和他們的權(quán)限
數(shù)據(jù)庫(kù)應(yīng)用程序開發(fā)者是唯一一類需要特殊權(quán)限組完成自己
工作的數(shù)據(jù)庫(kù)用戶。開發(fā)者需要諸如create table,create
procedure等系統(tǒng)權(quán)限,然而,為了限制開發(fā)者對(duì)數(shù)據(jù)庫(kù)的操作,
只應(yīng)該把一些特定的系統(tǒng)權(quán)限授予開發(fā)者。
(2) 應(yīng)用程序開發(fā)者的環(huán)境
A 程序開發(fā)者不應(yīng)與終端用戶競(jìng)爭(zhēng)數(shù)據(jù)庫(kù)資源;
B 用程序開發(fā)者不能損害數(shù)據(jù)庫(kù)其他應(yīng)用產(chǎn)品。
(3) free和controlled應(yīng)用程序開發(fā)
應(yīng)用程序開發(fā)者有一下兩種權(quán)限:
A free development
應(yīng)用程序開發(fā)者允許創(chuàng)建新的模式對(duì)象,包括table,index,
procedure,package等,它允許應(yīng)用程序開發(fā)者開發(fā)獨(dú)立于其
他對(duì)象的應(yīng)用程序。
B controlled development
應(yīng)用程序開發(fā)者不允許創(chuàng)建新的模式對(duì)象。所有需要table,
indes procedure等都由數(shù)據(jù)庫(kù)管理者創(chuàng)建,它保證了數(shù)據(jù)
庫(kù)管理者能完全控制數(shù)據(jù)空間的使用以及訪問(wèn)數(shù)據(jù)庫(kù)信息的
途徑。但有時(shí)應(yīng)用程序開發(fā)者也需這兩種權(quán)限的混和。
(4) 應(yīng)用程序開發(fā)者的角色和權(quán)限
數(shù)據(jù)庫(kù)安全性管理者能創(chuàng)建角色來(lái)管理典型的應(yīng)用程序開
發(fā)者的權(quán)限要求。
A create系統(tǒng)權(quán)限常常授予給應(yīng)用程序開發(fā)者,以到于
他們能創(chuàng)建他的數(shù)據(jù)對(duì)象。
B 數(shù)據(jù)對(duì)象角色幾乎不會(huì)授予給應(yīng)用程序開發(fā)者使用的
角色。
(5) 加強(qiáng)應(yīng)用程序開發(fā)者的空間限制
作為數(shù)據(jù)庫(kù)安全性管理者,您應(yīng)該特別地為每個(gè)應(yīng)用程
序開發(fā)者設(shè)置以下的一些限制:
A 開發(fā)者可以創(chuàng)建table或index的表空間;
B 在每一個(gè)表空間中,開發(fā)者所擁有的空間份額。應(yīng)用程
序管理者的安全在有許多數(shù)據(jù)庫(kù)應(yīng)用程序的數(shù)據(jù)庫(kù)系統(tǒng)
中,您可能需要一應(yīng)用程序管理者,應(yīng)用程序管理者應(yīng)
負(fù)責(zé)以下的任務(wù):
C 為每一個(gè)應(yīng)用程序創(chuàng)建角色以及管理每一個(gè)應(yīng)用程序
的角色;
D 創(chuàng)建和管理數(shù)據(jù)庫(kù)應(yīng)用程序使用的數(shù)據(jù)對(duì)象;
E 需要的話,維護(hù)和更新應(yīng)用程序代碼和Oracle的存儲(chǔ)
過(guò)程和程序包。
手頭沒(méi)有oracle環(huán)境,select 賦權(quán)不曉得有沒(méi)有你寫的那種語(yǔ)法。
不過(guò),我一般用下面的方法:
建一個(gè)視圖,只包含一個(gè)字段
create or replace view test_view as
select ename from emp;
grant select on test_view to monkey;
---
以上,希望對(duì)你有所幫助。
oracle中賦予用戶權(quán)限的具體步驟如下:
1、首先打開電腦,點(diǎn)擊打開電腦桌面左下角的開始圖標(biāo)。
2、然后在彈出來(lái)的窗口中點(diǎn)擊搜索框,輸入“cmd”,回車確定。
3、然后在彈出來(lái)的窗口中點(diǎn)擊輸入“grant unlimited tablespace to 用戶名”,回車確定,獲取操作表空間權(quán)限。
4、然后在彈出來(lái)的窗口中點(diǎn)擊打開“grant create table to 用戶名”回車確定,獲取創(chuàng)建表權(quán)限。
5、然后點(diǎn)擊輸入“grante drop table to 用戶名”,回車確定獲取刪除表權(quán)限。
6、點(diǎn)擊輸入“grant insert table to 用戶名”,回車確定獲取插入表權(quán)限。
7、點(diǎn)擊輸入“grant update table to 用戶名”,回車確定獲取更新表權(quán)限。
用戶test_user只有一個(gè)default role配置test,而且需要密碼驗(yàn)證,肯定登錄不了。通常default role之外的role才會(huì)設(shè)置密碼驗(yàn)證。
執(zhí)行alter role test not identified;后正是關(guān)閉了需要驗(yàn)證才能集成的角色權(quán)限。
本文題目:怎么防止oracle賦權(quán),oracle函數(shù)賦權(quán)給用戶
分享地址:http://muchs.cn/article32/hcigpc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供、關(guān)鍵詞優(yōu)化、建站公司、定制開發(fā)、域名注冊(cè)、自適應(yīng)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)