oracle安全機(jī)制

1、1.1用戶屬性為了防止非授權(quán)用戶對(duì)數(shù)據(jù)庫進(jìn)行操作，在創(chuàng)建數(shù)據(jù)庫用戶時(shí)，必須使用安全屬性對(duì)用戶進(jìn)行限制。用戶的安全屬性包括以下幾個(gè)方面： 用戶名：在同一數(shù)據(jù)庫中，用戶名必須唯一。并且用戶名不能與角色名相同。 用戶身份認(rèn)證：Oracle數(shù)據(jù)庫采用了多種用戶身份認(rèn)證方式，例如數(shù)據(jù)庫身份認(rèn)證、外部認(rèn)證、以及全局認(rèn)證。 默認(rèn)表空間：用戶創(chuàng)建數(shù)據(jù)庫對(duì)象時(shí)，如果沒有顯示地指出該對(duì)象存儲(chǔ)在哪個(gè)表空間，系統(tǒng)會(huì)自動(dòng)將該數(shù)據(jù)庫對(duì)象存儲(chǔ)在當(dāng)前用戶的默認(rèn)表空間。（表空間：Oracle數(shù)據(jù)庫在邏輯上可以劃分為一系列的區(qū)域，每一個(gè)區(qū)域稱為一個(gè)表空間。表空間是Oracle數(shù)據(jù)庫最大的邏輯存儲(chǔ)結(jié)構(gòu)，由一系列段構(gòu)成。Oracle

2、數(shù)據(jù)庫對(duì)象就是以段的方式從表空間中獲取存儲(chǔ)空間的。） 臨時(shí)表：保存臨時(shí)數(shù)據(jù)信息的表。 表空間配額：表空間配額限制用戶在永久空間中可以使用的存儲(chǔ)空間的大小。 概要文件：從會(huì)話級(jí)和調(diào)用級(jí)兩個(gè)層次限制用戶對(duì)數(shù)據(jù)庫資源的使用，同時(shí)設(shè)置用戶的口令管理策略。 設(shè)置用戶的默認(rèn)角色：通過設(shè)置默認(rèn)角色，可以禁止或激活用戶所具有的角色。 賬戶狀態(tài)：創(chuàng)建用戶的同時(shí)，可以設(shè)定用戶的初始狀態(tài)，包括用戶口令是否過期以及賬戶是否鎖定等1.2創(chuàng)建用戶如上圖所示，創(chuàng)建用戶chen 采用數(shù)據(jù)庫認(rèn)證，口令為chen ，默認(rèn)表空間為 users 該表空間配額為10MB ，默認(rèn)臨時(shí)表空間為temp ，初始狀態(tài)不鎖定。如上圖所示，創(chuàng)建用

3、戶如果不授權(quán)，該用戶不能做任何操作，即便是連接數(shù)據(jù)庫。只有給用戶授予了create session 系統(tǒng)權(quán)限后，用戶才可以連接數(shù)據(jù)庫。使用系統(tǒng)管理員登陸，授予用戶chen 權(quán)限，才能使用戶chen連接數(shù)據(jù)庫。如果口令設(shè)置為過期狀態(tài)，即首次連接數(shù)據(jù)庫時(shí)需要修改口令。1.3用戶身份認(rèn)證 數(shù)據(jù)庫身份認(rèn)證 將數(shù)據(jù)庫的用戶名與口令都保存在數(shù)據(jù)庫內(nèi)部，且口令以加密方式存儲(chǔ)。當(dāng)用戶練級(jí)數(shù)據(jù)庫時(shí)，需要提供用戶名與口令信息，通過數(shù)據(jù)庫認(rèn)證后才能登陸。 外部身份認(rèn)證 用戶賬戶由oracle數(shù)據(jù)庫管理，但口令管理和身份驗(yàn)證由外部服務(wù)來完成。全局身份認(rèn)證 采用oracle數(shù)據(jù)庫的高級(jí)安全組件，利用LDAP目錄服務(wù)器集

4、中管理用戶信息。當(dāng)用戶試圖建立與數(shù)據(jù)庫的連接時(shí)，oracle利用網(wǎng)絡(luò)中的目錄服務(wù)器中的信息對(duì)用戶進(jìn)行身份認(rèn)證。1.4修改用戶alter user user_name identifiedby passwordaccount lock|unlock1.5刪除用戶drop user username cascade;1.6 查詢用戶select username,account_status from dba_users;忘記密碼的方法：打開cmd，輸入sqlplus /nolog，回車；輸入“conn / as sysdba”;輸入“alter 

5、user sys identified by 新密碼”，注意：新密碼最好以字母開頭，否則可能出現(xiàn)錯(cuò)誤Ora-00988。有了這個(gè)方法后，只要自己對(duì)oracle服務(wù)器有管理員權(quán)限，不記得密碼的時(shí)候就可以隨意修改密碼了。 sqlplus /nolog，conn /as sysdba 之所以能夠登錄，在于oracle登錄時(shí)的身份認(rèn)證方式。 oracle在登錄時(shí)，有三種身份認(rèn)證方式：操作系統(tǒng)身份認(rèn)證、密碼文件認(rèn)證、數(shù)據(jù)庫認(rèn)證。而conn /as sysdba是屬于操作系統(tǒng)認(rèn)證。

6、60;   為什么這樣說呢？你當(dāng)前電腦開機(jī)時(shí)登錄的用戶，也就是進(jìn)入操作系統(tǒng)的用戶，例如是gooooal，它在你電腦的ora_dba組中?？梢栽凇拔业碾娔X”單擊右鍵，找到“管理”，選擇“本地用戶和組”，發(fā)現(xiàn)有一個(gè)組叫“ora_dba”，雙擊它，看到成員列表中“gooooal”。    也就是在conn /as sysdba，oracle會(huì)進(jìn)行操作系統(tǒng)驗(yàn)證，發(fā)現(xiàn)你當(dāng)前登錄的用戶就屬于ora_dba組，因此才可以登錄成功。    你可以把ora_dba組中的“gooooa

7、l”用戶刪除，再conn /as sysdba，就發(fā)現(xiàn)進(jìn)不去了。解決用戶sys任意密碼可以登錄的問題：1、sys是Oracle的一個(gè)很特殊的用戶，它只能按sysdba和sysoper身份登入，也就是說只要按以上兩種身份登入，都是sys用戶，表面上輸入的用戶名都是無效的。任何其它用戶只能按Normal身份登入。2、sys用戶的合法認(rèn)證有兩種方式：一是操作系統(tǒng)認(rèn)證方式，二是數(shù)據(jù)庫口令認(rèn)證方式。如果你登入的操作系統(tǒng)是Oracle用戶組，那么直接通過操作系統(tǒng)認(rèn)證連接到數(shù)據(jù)庫，沒有必要口令來認(rèn)證。所以你隨便輸入一個(gè)口令都可以的。2 資源限定與口令管理在oracle數(shù)據(jù)庫中，用戶對(duì)數(shù)據(jù)

8、庫和系統(tǒng)資源使用的限制以及對(duì)用戶口令的管理是通過概要文件（profile）實(shí)現(xiàn)的。概要文件是oracle數(shù)據(jù)庫安全策略的重要組成部分。每個(gè)數(shù)據(jù)庫必須具有一個(gè)概要文件。概要文件不是一個(gè)物理文件，而是存儲(chǔ)在sys模式的幾個(gè)表中的信息的集合。這些表是在創(chuàng)建數(shù)據(jù)庫運(yùn)行sql.bsq腳本時(shí)，調(diào)用denv.bsq腳本創(chuàng)建的，包括profile$表、profname表、resource_map表、resource_cost表等。2.1資源限制的級(jí)別概要文件通過對(duì)一系列資源管理參數(shù)的設(shè)置，從會(huì)話級(jí)和調(diào)用級(jí)兩個(gè)級(jí)別對(duì)用戶使用資源進(jìn)行限制。會(huì)話級(jí)資源限制是對(duì)用戶在一個(gè)會(huì)話過程中所能使用的資源總量進(jìn)行限制，而調(diào)用級(jí)

9、資源限制是對(duì)一條SQL語句在執(zhí)行過程中所能使用的資源總量進(jìn)行限制。2.2 資源限制的類型通過設(shè)置通過設(shè)置概要文件中的參數(shù)值，可以從下列幾個(gè)方面限制用戶對(duì)數(shù)據(jù)庫和系統(tǒng)資源的使用。 CPU使用時(shí)間：在一個(gè)會(huì)話或一個(gè)調(diào)用過程中使用CPU的總量。 邏輯讀：在一個(gè)會(huì)話或一個(gè)調(diào)用過程中讀取物理磁盤和邏輯內(nèi)存數(shù)據(jù)塊的總量每個(gè)用戶的并發(fā)會(huì)話數(shù)，即一個(gè)用戶最多同時(shí)開啟會(huì)話的數(shù)量。用戶連接數(shù)據(jù)庫的最長(zhǎng)時(shí)間。私有SQL區(qū)和PL/SQL區(qū)的總量。2.3 啟用或停用資源限制與口令管理ALTER SYSTEM SET resource_limit=TRUE/FALSE;2.3.1 口令管理參

10、數(shù)介紹Oracle數(shù)據(jù)庫概要文件中用于口令管理的參數(shù)包括以下： FAILED_LOGIN_ATTEMPTS:限制用戶在登陸oracle數(shù)據(jù)庫允許失敗的次數(shù)。PASSWORD_LOCK_TIME:設(shè)定登陸失敗后，賬戶鎖定時(shí)間。PASSWORD_LIFE_TIME:設(shè)置口令的有效天數(shù)。PASSWORD_GRACE_TIME:用于設(shè)定提示口令過期的天數(shù)。PASSWORD_REUSE_TIME:指定一個(gè)用戶口令被修改后，必須經(jīng)過多少天才可以重新使用該口令。PASSWORD_REUSE_MAX:指定一個(gè)口令被重新使用前，必須經(jīng)過多少次修改。PASSWORD_VERIFY_FUNCTION:設(shè)置口令復(fù)雜性

11、校驗(yàn)函數(shù)。2.4 創(chuàng)建資源限制的概要文件（上次不成功的原因，sessions寫成了session,還有per寫成了pre）1如圖：創(chuàng)建一個(gè)名為res_profile的概要文件，要求每個(gè)用戶最多可以創(chuàng)建2個(gè)并發(fā)會(huì)話，每個(gè)會(huì)話持續(xù)時(shí)間最長(zhǎng)為60min，會(huì)話的最長(zhǎng)連續(xù)空閑時(shí)間為20min，每個(gè)會(huì)話的私有SQL區(qū)為100KB，每個(gè)SQL語句占用CPU時(shí)間總量不超過10s.2 將概要文件指定給用戶rf Alter user rf profile res_profile 3 將資源管理激活A(yù)LTER SYSTEM SET RESOURCE_LIMIT=TRUE sc

12、ope=both; 4如下圖，用戶rf只能創(chuàng)建2個(gè)并發(fā)會(huì)話，創(chuàng)建第3個(gè)時(shí)出現(xiàn)錯(cuò)誤：超出了限定范圍2.5 創(chuàng)建口令管理的概要文件SQL>create profile pwd_profile limitFailed_login_attempts 4 password_lock_time 10;2.6 將概要文件分配給用戶將該概要文件指定給普通用戶rf,用戶連續(xù)登陸四次失敗，鎖定賬戶，10天后自動(dòng)解鎖。用管理員賬號(hào)解鎖用戶rf。2.7 修改概要文件例子：SQL>alter profile pwd_profile limit password_life_time 10;將用戶口令

13、設(shè)置有效期為10天例子：SQL>drop profile pwd_profile cascade;刪除概要文件。例子：SQL>select * from dba_profiles order by profile;查詢數(shù)據(jù)庫所有概要文件的參數(shù)設(shè)置。3權(quán)限管理Oracle數(shù)據(jù)庫使用權(quán)限倆控制用戶對(duì)數(shù)據(jù)庫的訪問和用戶在數(shù)據(jù)庫中所能執(zhí)行的操作。用戶在數(shù)據(jù)庫中可以執(zhí)行什么樣的操作，以及可以對(duì)哪些對(duì)象進(jìn)行操作，完全取決于該用戶擁有的權(quán)限。控制Oracle數(shù)據(jù)庫訪問的權(quán)限類型有兩種：系統(tǒng)權(quán)限system privilege和對(duì)象權(quán)限Object privilege（方案對(duì)象）。系統(tǒng)權(quán)限向用戶提

14、供執(zhí)行某一種或某一類型的數(shù)據(jù)庫操作能力，對(duì)象權(quán)限對(duì)某個(gè)特定的數(shù)據(jù)庫對(duì)象執(zhí)行某種操作權(quán)限，如對(duì)表employees的插入、刪除、修改、查詢的權(quán)限等。在oracle 數(shù)據(jù)庫中給用戶授權(quán)可以采用兩種方式：1.利用grant命令直接為用戶授權(quán)。2.現(xiàn)將權(quán)限授予角色，然后再將角色授予用戶。3.1 系統(tǒng)權(quán)限分類在Oracle 11g數(shù)據(jù)庫中，有200多種數(shù)據(jù)庫權(quán)限，每種系統(tǒng)權(quán)限都為用戶提供了執(zhí)行某一些或某一類數(shù)據(jù)庫操作的能力。查詢所有系統(tǒng)權(quán)限信息的命令如下：系統(tǒng)權(quán)限可以分為兩大類： 一類是對(duì)數(shù)據(jù)庫某一類對(duì)象的操作能力，與具體的數(shù)據(jù)庫對(duì)象無關(guān)，通常帶有ANY關(guān)鍵字。例如，CREATE ANY TABLE系統(tǒng)

15、權(quán)限允許用戶在任何模式中創(chuàng)建表；SELECT ANY TABLE系統(tǒng)權(quán)限允許用戶查詢數(shù)據(jù)庫中任何模式中的表和視圖。 另一類系統(tǒng)權(quán)限是數(shù)據(jù)庫級(jí)別的某種操作能力。例如，CREATE SESSION系統(tǒng)權(quán)限允許用戶登陸數(shù)據(jù)庫：ALTER SYSTEM系統(tǒng)權(quán)限允許用戶修改數(shù)據(jù)庫參數(shù)。使用系統(tǒng)權(quán)限的注意事項(xiàng)： Select、Insert、Update、Delete都是對(duì)象權(quán)限，它們只針對(duì)用戶自己模式下的對(duì)象，但如果加了Any關(guān)鍵字，針對(duì)的就是數(shù)據(jù)庫中所有模式下的對(duì)象了。 如果授予用戶系統(tǒng)權(quán)限時(shí)使用了With Admin Option子句，則被授權(quán)的用戶還可以將相應(yīng)的權(quán)限授予其他用戶。 開發(fā)人員一般需要幾

16、個(gè)系統(tǒng)權(quán)限，其中包括Create Table、Create View和Create type系統(tǒng)權(quán)限，以創(chuàng)建支持前臺(tái)應(yīng)用程序的數(shù)據(jù)庫模式。 查詢當(dāng)前用戶所擁有的系統(tǒng)權(quán)限如下：當(dāng)前登陸用戶被授予的系統(tǒng)權(quán)限也可以使用如下命令：查看當(dāng)前用戶所擁有的對(duì)象權(quán)限：查看特定用戶所擁有的系統(tǒng)權(quán)限：查詢特定用戶所擁有的對(duì)象權(quán)限：如圖所示用戶rf，只有創(chuàng)建會(huì)話和創(chuàng)建概要文件的權(quán)限。3.2 系統(tǒng)權(quán)限的授權(quán)與回收只有DBA用戶才可以擁有ALTER DATABASE系統(tǒng)權(quán)限。例子：為用戶chen授予create table 、create sequence系統(tǒng)權(quán)限用戶獲得權(quán)限后，可以在chen模式下創(chuàng)建表和序列了，例如

17、：還可以授予用戶權(quán)限，并且權(quán)限具有傳遞性。 授予權(quán)限同時(shí)，在用戶后面加上 with admin option數(shù)據(jù)庫管理員可以使用revoke語句回收用戶、角色或public用戶組獲得的系統(tǒng)的權(quán)限。例如：回收用戶系統(tǒng)權(quán)限時(shí)需要注意以下幾點(diǎn)：1 多個(gè)管理員授予用戶同一個(gè)系統(tǒng)權(quán)限后，其中一個(gè)管理員回收其授予該用戶的系統(tǒng)權(quán)限，該用戶將不再擁有相應(yīng)的系統(tǒng)權(quán)限。2 為了回收用戶系統(tǒng)權(quán)限的傳遞性，必須先回收用戶的系統(tǒng)權(quán)限，然后再重新授予其相應(yīng)的系統(tǒng)權(quán)限。3如果一個(gè)用戶獲得的系統(tǒng)權(quán)限具有傳遞性，并且給其他用戶授權(quán)，那么該用戶系統(tǒng)權(quán)限被回收后，其他用戶的系統(tǒng)權(quán)限并不受影響。3.3 對(duì)象權(quán)限分類、授權(quán)、回收對(duì)象權(quán)

18、限是指對(duì)某個(gè)特定模式對(duì)象的操作權(quán)限。數(shù)據(jù)庫模式對(duì)象所有者擁有該對(duì)象的所有對(duì)象權(quán)限，對(duì)象權(quán)限的管理實(shí)際上是對(duì)象所有者對(duì)其他用戶操作該對(duì)象的權(quán)限管理。對(duì)象權(quán)限的授予實(shí)用grant語句，例如，查看授予用戶對(duì)象權(quán)限，并查看該權(quán)限此時(shí)用戶rf就具有對(duì)表scott.emp進(jìn)行查詢、插入和更新的權(quán)限了，例如：對(duì)象權(quán)限的回收，數(shù)據(jù)庫管理員或?qū)ο笏姓呖梢允褂胷evoke語句回收用戶、角色或public用戶組獲得的對(duì)象權(quán)限。和系統(tǒng)權(quán)限類似，在進(jìn)行對(duì)象權(quán)限回收時(shí)應(yīng)該注意上面類似的三點(diǎn)。4 角色管理為了簡(jiǎn)化數(shù)據(jù)庫權(quán)限的管理，在oracle數(shù)據(jù)庫中引入角色的概念。所謂角色就是一系列相關(guān)權(quán)限的集合?？梢詫⒁谟柘嗤矸?/p>

19、用戶的所有權(quán)限先授予角色，然后再將角色授予用戶，這樣用戶就得到了該角色所具有的所有權(quán)限，從而簡(jiǎn)化了權(quán)限的管理。 4.1 角色的特點(diǎn)和優(yōu)點(diǎn)特點(diǎn)：角色名稱在數(shù)據(jù)庫中必須唯一，不能與用戶同名；角色不是模式對(duì)象，刪除創(chuàng)建角色的用戶對(duì)角色沒有影響；角色可以包含任何系統(tǒng)權(quán)限和對(duì)象權(quán)限；角色可以授予任何數(shù)據(jù)庫用戶和其他角色；授予用戶的角色可以隨時(shí)禁用或激活等。優(yōu)點(diǎn)：減少權(quán)限管理的工作量；有效的使用權(quán)限；提高應(yīng)用安全性。4.2 角色分類 預(yù)定義角色Oracle數(shù)據(jù)庫創(chuàng)建時(shí)由系統(tǒng)自動(dòng)創(chuàng)建的一些常用的角色，這些角色已經(jīng)由系統(tǒng)授予了相應(yīng)的權(quán)限。查詢當(dāng)前系統(tǒng)中的所有預(yù)定義角色：查詢select_catalog_rol

20、e角色所具有的系統(tǒng)權(quán)限。用戶自定義角色Oracle數(shù)據(jù)庫允許用戶自定義角色，并對(duì)自定義角色進(jìn)行權(quán)限的授予與回收。同時(shí)允許角色進(jìn)行修改、刪除、禁用或激活等操作。創(chuàng)建角色使用create role語句。例子如下：創(chuàng)建的幾個(gè)角色分別是：一般角色；角色采用數(shù)據(jù)庫認(rèn)證，激活時(shí)需要口令；激活角色時(shí)采用操作系統(tǒng)認(rèn)證、網(wǎng)絡(luò)認(rèn)證；激活角色時(shí)采用目錄服務(wù)進(jìn)行全局認(rèn)證。4.3 角色權(quán)限的授予與回收創(chuàng)建一個(gè)角色后，如果不給角色授權(quán)，那么角色時(shí)沒有用處的。因此，在創(chuàng)建角色后，需要給角色授權(quán)。給角色授權(quán)實(shí)際上是給角色授予適當(dāng)?shù)南到y(tǒng)權(quán)限、對(duì)象權(quán)限或已有角色。在數(shù)據(jù)庫運(yùn)行時(shí)，可以為角色增加權(quán)限，也可以回收其權(quán)限。角色權(quán)限的授

21、予、回收的過程與用戶權(quán)限的授予、回收過程類似。權(quán)限授予如下：一個(gè)角色可以被授予另一角色，但不能授予其自身，既不能產(chǎn)生循環(huán)授權(quán)。修改是指使用alter role語句修改角色的認(rèn)證方式如上圖所示，為角色role_emp添加認(rèn)證口令，取消角色role_manager的認(rèn)證口令。角色的禁用與激活Set role角色名identified by 口令,角色名identified by 口令 |allexcept 角色名,角色名|none;注：All:將使會(huì)話用戶所有被授予的角色有效。None:將禁用會(huì)話用戶所有被授予的角色。identified by 口令：?jiǎn)⒂眯枰诹畹慕巧珪r(shí)，必須給出口令。 刪除口令

22、。如下圖，激活角色role_manager.刪除角色，如下圖：4.4 利用角色進(jìn)行權(quán)限管理 1給用戶或角色授予角色：如下圖，將預(yù)定義用戶resource,connect 授予角色role_manager,將角色授予用戶chen.2 通過修改角色權(quán)限動(dòng)態(tài)修改用戶權(quán)限3 從用戶或其他角色回收角色4 設(shè)置用戶默認(rèn)角色當(dāng)一個(gè)角色授予某一個(gè)用戶后，該角色即成為該用戶的默認(rèn)角色。對(duì)于用戶而言，用戶的默認(rèn)角色處于激活狀態(tài)，而非默認(rèn)角色處于禁用狀態(tài)。ALTER USER user DEFAULT ROLE role_list5 查詢角色信息查詢用戶chen所具有的角色信息上圖是查看當(dāng)前用戶授予的所有角色信息。

23、5審計(jì)審計(jì)是監(jiān)視和記錄用戶對(duì)數(shù)據(jù)庫所進(jìn)行的操作，以供DBA進(jìn)行統(tǒng)計(jì)和分析。利用審計(jì)可以完成下列任務(wù)： 保證用戶對(duì)自己在數(shù)據(jù)庫中的活動(dòng)負(fù)責(zé)。 禁止用戶在數(shù)據(jù)庫中從事與自己職責(zé)不相符的活動(dòng)。 調(diào)查數(shù)據(jù)庫中的可疑活動(dòng)。 通知審計(jì)員一個(gè)未授權(quán)用戶在數(shù)據(jù)庫中的活動(dòng)。 監(jiān)視和收集特定數(shù)據(jù)庫活動(dòng)的數(shù)據(jù)。5.1審計(jì)分類語句審計(jì)：對(duì)特定的SQL語句進(jìn)行審計(jì)，不指定具體對(duì)象。權(quán)限審計(jì)：對(duì)特定的系統(tǒng)權(quán)限使用情況進(jìn)行審計(jì)。對(duì)象審計(jì)：對(duì)特定的模式對(duì)象上執(zhí)行的特定語句進(jìn)行審計(jì)。網(wǎng)絡(luò)審計(jì)：對(duì)網(wǎng)絡(luò)協(xié)議錯(cuò)誤與網(wǎng)絡(luò)層內(nèi)部錯(cuò)誤進(jìn)行審計(jì)。5.2 審計(jì)環(huán)境設(shè)置使用數(shù)據(jù)庫審計(jì)功能，數(shù)據(jù)庫管理員需要對(duì)數(shù)據(jù)庫初始化參數(shù)AUDIT_TRAIL進(jìn)行設(shè)置。AUDIT_TRAIL參數(shù)可以取值DB、DB EXTENDED、OS、XML EXTENDED、NONE。 DB：默認(rèn)值，表示啟動(dòng)審計(jì)功能，審計(jì)信息寫入SYS.AUD$數(shù)據(jù)字典中。 DB,EXTENDED:與DB相同，審計(jì)信息中還包括SQL語句綁定變量信息。 OS：表示啟動(dòng)審計(jì)功能，審計(jì)信息寫入操作系統(tǒng)文件。 XML：表示啟動(dòng)審計(jì)功能，審計(jì)信息寫入XML格式的操作系統(tǒng)文件中。 XML,EXTENDED：與XML相同，但審計(jì)信息還包含SQL語句綁定變量信