ocp 042 第六章:管理用户安全性
相關術語
數據庫用戶帳戶:用來管理數據庫對象的所有權和訪問權限
???????? 口令:?Oracle?數據庫使用的驗證手段
???????? 權限:執行特定類型的SQL?語句或訪問其他用戶的對象的權利
???????? 角色:由相關權限組成的已命名組,可將其授予給用戶或其它角色。
???????? 概要文件:一組已命名的針對數據庫用法和實例資源的資源限制條件
???????? 限額:表空間中允許的空間容量。
?
用戶
???????? 數據庫用戶帳戶
???????? 唯一的用戶名:不超過30個字節,不包含特殊符號,以字母開頭
???????? 驗證方法:最常見為口令
???????? 默認表空間:如果用戶未指定其它表空間,則可在這個表空間中創建對象。(不等于說有創建對象的權限,需要單獨授權)
???????? 臨時表空間:用戶可在其中創建臨時對象(如排序和臨時表)的表空間。
???????? 用戶概要文件:分配給用戶的一組資源與口令的限制。
???????? 使用者組:由資源管理器使用
???????? 鎖定狀態:用戶只能訪問“未鎖定”帳戶
?
?
?預定義賬戶sys&system
?
?sys
???????? 授予有?DBA?角色
???????? 具有?ADMIN?OPTION?的所有權限(with?admin?option?用于系統權限授權,給一個用戶授予系統權限帶上with?admin?option?時,此用戶可把此系統權限授予其他用戶或角色,但收回這個用戶的系統權限時,這個用戶已經授予其他用戶或角色的此系統權限不會因傳播無效);執行啟動、關閉和某些維護命令時所必需的帳戶(SYSDBA,SYSOPER);擁有數據字典(數據字典視圖和動態性能視圖的區別);擁有自動工作量資料檔案庫?(AWR)?
?system
???????? 授予有?DBA?角色;沒有sysdba權限
sys和sysdba的區別:簡單的說sys是一個角色,sysdba是一個權限
?
使用EM創建用戶:選擇“Administration?>?Schema?>?Users?&?Privileges?>?Users(管理?>?方案?>?用戶和權限?>?用戶)”?,然后單擊“Create(創建)”按鈕。
?
驗證用戶
???????? 口令:oracle?database驗證
???????? 外部:操作系統認證
???????? 全局:管理員驗證
?
操作系統安全性
???????? DBA?必須具有創建或刪除文件的操作系統權限
???????? 普通數據庫用戶不應具有創建或刪除數據庫文件的操作系統權限
???????? 管理員安全性
???????? 口令文件驗證會按名稱記錄?DBA?用戶
???????? 操作系統驗證并不記錄具體用戶
???????? 對于?SYSDBA?和?SYSOPER,操作系統驗證優先于口令文件驗證
?
權限
???????? 系統權限::每種系統權限都允許用戶執行一種或一類特定的數據庫操作。系統權限可由管理員授予,或者由可以顯式授予管理權限的用戶授予,
?????????授予管理員的權限(grant??create?table?to?hr)
???????? RESTRICTED?SESSION:在受限模式下打開的數據庫也可以登錄
???????? SYSDBA和?SYSOPER:使用這兩個權限可以在數據庫中執行關閉、啟動、恢復及其它管理任務。使用?SYSOPER?用戶可執行基本操作任務,但不能查看用戶數據。
???????? DROP?ANY?對象:使用DROP?ANY?權限用戶可刪除其他用戶擁有的對象。
???????? CREATE、MANAGE、DROP?和?ALTER?TABLESPACE
???????? CREATE?ANY?DIRECTORY:使用Oracle?數據庫開發人員可以在?PL/SQL?內調用外部代碼。
???????? GRANT?ANY?OBJECT?PRIVILEGE:使用此權限,您可以授予對他人所擁有的對象的對象權限。
????????
ALTER?DATABASE和?ALTER?SYSTEM
???????? 撤銷權限(revoke?create?table?from?hr)(撤銷系統權限時不會產生級聯效應)
???????? 對象權限:對象權限允許用戶對特定對象執行一個特定的操作。在沒有特定權限的情況下,用戶只能訪問自己擁有的對象。對象權限可以由對象的所有者或管理員授予,也可以由為其顯式授予了對象授予權限的用戶授予。
???????? 授予對象權限
???????? 選擇對象類型
???????? 選擇對象
???????? 選擇權限
???????? 撤銷對象權限(會產生級聯效應)
?
角色
???????? 作用:簡化權限管理
???????? 動態地管理權限:如果修改了與某個角色關聯的權限,則授予該角色的所有用戶都會立即自動獲得修改過的權限。
???????? 有選擇性地應用權限:啟用或禁用角色可以暫時打開或關閉權限。
預定義角色
?
創建角色:選擇“Administration?>?Schema?>?Users?&?Privileges?>?Roles(管理?>?方案?>?用戶和權限?>?角色)
保護角色:
???????? 角色可能不是默認的:SET?ROLE?vacationdba;
???????? 可以通過驗證來保護角色。
???????? 通過編程來保護角色:CREATE?ROLE?secure_application_role?IDENTIFIED?USING?<security_procedure_name>;
?
創建用戶的語法:
???????? create?user?賬戶名?identified?by?密碼?password?expire??account?unlock?default?tablespace?表空間名?temporary?tablespace?臨時表空間名?quota?大小?on?tablespace?表空間名?profile?default?概要文件
?
概要文件(指定時間內一惡搞用戶只能有一個概要文件,修改概要文件則下次登錄時生效)
???????? 定義:指一組已命名的針對數據庫用法和實例資源的資源限制條件
???????? 作用:控制資源占用;管理帳戶狀態和口令失效
?
口令安全性
帳戶鎖定:如果用戶的登錄失敗次數達到了指定次數,系統會在設置的一段時間內自動鎖定帳戶。
???????? FAILED_LOGIN_ATTEMPTS?參數指定了在鎖定帳戶前失敗的嘗試登錄次數。
???????? PASSWORD_LOCK_TIME?參數指定了嘗試登錄失敗次數達到指定次數后帳戶的鎖定天數。
口令過期和失效:使用戶口令具有生存期,口令在此生存期之后失效,必須進行更改。
???????? PASSWORD_LIFE_TIME?參數指定了口令的生存期(以天為單位),此時間之后,口令會失效。
???????? PASSWORD_GRACE_TIME?參數指定了口令失效后首次成功登錄之后,更改口令的寬限期(以天為單位)。
口令歷史記錄:檢查新口令以確保在指定時間內或者在指定口令更改次數內不重復使用口令。
???????? PASSWORD_REUSE_TIME:指定用戶不能在指定天數內重復使用口令
???????? PASSWORD_REUSE_MAX:指定在可重復使用當前口令之前需要更改口令的次數
這兩個參數是互相排斥的,因此,如果其中一個參數值沒有被設置?UNLIMITED,則另一個參數必須設置為?UNLIMITED
???????? 口令復雜性驗證:對口令進行復雜性檢查可驗證口令是否符合特定的規則。
?
限額
無限制:允許用戶最大限度地使用表空間中的可用空間值:用戶可以使用的空間,以千字節或兆字節為單位。
UNLIMITED?TABLESPACE?系統權限:此系統權限會覆蓋所有單個的表空間限額,并向用戶提供所有表空間(包括?SYSTEM和?SYSAUX)的無限制限額。
何時補充限額?使用?PURGE子句刪除了用戶擁有的對象或者自動清除了回收站中的對象時會補充限額。
?
案例:創建一個外部認證賬戶mary?
?
1、?查看系統默認外部認證賬戶的前綴:
?????show?parameter?os_authent_prefix;??查看值:普通為ops$
2、?創建一個操作系統賬戶
??????useradd?mary
??????passwd?mary?
??????usermod?-g?ointsll?
3、??創建數據賬戶,給連接權限
?????create?user?ops$mary??IDENTIFIED?EXTERNALLY?;
??????grant?create?session?to?ops$mary
4、??mary是遠程連接,查看系統是否允許遠程連接
?????remote_os_authent?值false,不允許(默認);值TRUE,允許。
?????alter?system?set?remote_os_authent=true?scope=spfile
5、??測試?使用?mary登錄操作系統
?????su?-?mary?
?????sqlplus?/@orcl
?
轉載于:https://www.cnblogs.com/rhino1030/archive/2011/11/12/2246729.html
總結
以上是生活随笔為你收集整理的ocp 042 第六章:管理用户安全性的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 贵南高铁全线静态验收:时速350公里 南
- 下一篇: 平安证券股票手续费怎么才划算?