Oracle用戶及權限管理課件

1、Oracle用戶及權限管理第1頁，共53頁。本章主要內容管理用戶管理權限管理角色管理口令安全及資源權限：能做什么資源：能使用多少第2頁，共53頁。Oracle審核用戶方法包括三種:口令, 外部(externally),全局(global)db os oracle安全服務器第3頁，共53頁。創(chuàng)建數(shù)據庫審核帳戶create user yzpidentified by yzpdefault tablespace userstemporary tablespace tempquota 15m on userspassword expire;第4頁，共53頁。更加全面的一個例子：Create user

2、spankyIdentified by first01 （指定oracle審核初始密碼）Default tablespace users （指定存放數(shù)據的表空間為users表空間）Temporary tablesapce temp （為用戶指定臨時表空間為temp）Quota 10m on users （users表空間上的限額）Profile app_developer (概要文件名為app_developer,可采用default缺省概要文件)Password expire （密碼到期，也就是用戶第一次登錄要修改密碼） Account unlock； （默認值為未鎖定狀態(tài)）第5頁，共53頁

3、。修改用戶信息alter user test account lock;alter user test account unlock;alter user test password expire;Alter user testDefault tablespce tbspTemporary tablespace temp;第6頁，共53頁。用戶修改自己的信息用戶只能修改自己的密碼；語句為：alter user yzp1 identified by newpwd replace oldpwd;第7頁，共53頁。刪除用戶Drop user username；當用戶擁有對象，則用以下語句刪除：Dro

4、p user username cascade；正在連接的用戶不可以被刪掉第8頁，共53頁。 select * from dba_users;select * from dba_objects where owner=TURNEROWNER OBJECT_NAME- -TURNER TB1SQL drop user turner;drop user turner*第 1 行出現(xiàn)錯誤:ORA-01922: 必須指定 CASCADE 以刪除 TURNER第9頁，共53頁。查取相關信息Dba_users Dba_ts_quotas:用戶所擁有的空間限額USER_TS_QUOTAS 第10頁，共53頁

5、。權限1）系統(tǒng)權限：是一種功能很強的權限，它向用戶提供了執(zhí)行某一種或某類型的數(shù)據庫操作的能力。有近100種系統(tǒng)權限。 系統(tǒng)權限可授權給用戶或角色，一般，系統(tǒng)權限只授予管理人員和應用開發(fā)人員，終端用戶不需要這些相關功能。2）對象權限：在指定的表、視圖、序列、過程、函數(shù)或包上等對象上執(zhí)行特殊動作的權利。第11頁，共53頁。第12頁，共53頁。sysoper:startupshutdownalter database open/mountalter database backup controlfile torecover database(完全修復，不具有部分修復）alter database a

6、rchivelog沒有創(chuàng)建，備份的權限。sysdba:sysopercreate databasealter database begin/end backuprestricted sessionrecover database until第13頁，共53頁。 無 create index權限。如果有create table權限則能夠創(chuàng)建索引。無truncate table/truncate any table 。（drop any table 體現(xiàn)）第14頁，共53頁。授予系統(tǒng)權限grant create session to emi with admin option;with admin

7、 option:表示當授予某用戶時，允許他把獲得的權限授予他人。第15頁，共53頁。對象權限Object priv.TableViewSequenceProcedureAlterDeleteExecuteIndexInsertReferencesSelectUpdate第16頁，共53頁。授予對象權限grant object_privs(column,.) on object_name to user/role/public.with grant optiongrant insert(id,name) on tb1 to user1;grant execute on dbms_output t

8、o jeff;grant all on emp1 to yzp;grant select on authors to testuser1 with grant option第17頁，共53頁。撤銷權限 Revoke create table from testuser2 Revoke select on authors from testuser1;系統(tǒng)權限不具有級聯(lián)作用對象權限有級聯(lián)作用第18頁，共53頁。驗證收回系統(tǒng)權限不級聯(lián)，收回對象權限級聯(lián)testuser1testuser2testuser3Create sessionSelect on empSYSCreate session wi

9、thGrant optionSelect on emp withGrant option第19頁，共53頁。conn sys/orcl as sysdba; create user testuser1 identified by yzp; create user testuser2 identified by yzp; create user testuser3 identified by yzp; grant create session to testuser1 with admin option; grant create session to testuser2; grant sele

10、ct on scott.emp to testuser2 with grant option;conn testuser1/yzp; grant create session to testuser3;/conn testuser2/yzp grant select on scott.emp to testuser3;/conn testuser3/yzp select * from scott.emp;/conn sys/orcl as sysdba; revoke create session from testuser1; revoke select on scott.emp from

11、testuser2;/ conn testuser3/yzp select * from scott.emp;第20頁，共53頁。公共用戶publicPublic是數(shù)據庫上的一個特殊用戶，如果把某個系統(tǒng)權限、對象權限、或角色授予public用戶，則數(shù)據庫中所有用戶都擁有該權限。所以建議不要給public授予過多權限和角色。第21頁，共53頁。角色創(chuàng)建修改roles控制可用性刪除roles用預定義的roles顯示roles信息，都有什么樣的權限第22頁，共53頁。第23頁，共53頁。角色是命名的權限的集合,為了方便對用戶權限的管理。角色不包含在任何模式中.注意:（1）一個角色可授予系統(tǒng)權限或對象

12、權限。（2）一個角色可授權給其它角色，但不能循環(huán)授權。（3）授權給用戶的每一角色可以是可用的或者不可用的。第24頁，共53頁。創(chuàng)建role使用CREATE ROLE語句可以創(chuàng)建一個新的角色，執(zhí)行該語句的用戶必須具有CREATE ROLE系統(tǒng)權限。授予權限.把角色授予給用戶 create role role1 identified by yzp;grant select,update,delete on scott.emp to role1;grant create session to role1;create user yzp identified by yzp;grant role1 to

13、 yzp;第25頁，共53頁。默認只有建立角色的用戶具有對該角色的管理權限?？梢允褂靡韵抡Z句，把管理角色的能力授予用戶。Grant rolename to username with admin option第26頁，共53頁?？刂平巧捎眯?alter user yzp default role all;指定賦予yzp的所有的角色都是默認角色。即登錄就開啟的。Alter user yzp default role connect;角色connect被指定為默認Alter user yzp default role all except role1; role1為唯一非默認角色Alter us

14、er yzp default role none;第27頁，共53頁。用戶可以在會話當中啟用或禁用角色 select * from session_roles;set role connect;select * from session_roles;set role role1 identified by yzp;set role all except role1;Set role none;第28頁，共53頁。刪除角色撤銷用戶角色：Revoke role1 from yzp;刪除角色：drop role role1;在刪除角色前不需要撤銷角色；第29頁，共53頁。查詢角色信息DBA_ROLE

15、S：數(shù)據庫中所有角色及有否口令DBA_ROLE_PRIVS所有用戶及被授予的角色ROLE_ROLE_PRIVS所有角色及被授予的角色DBA_SYS_PRIVS所有角色和用戶的系統(tǒng)權限DBA_TAB_PRIVS所有角色和用戶的對象權限ROLE_SYS_PRIVS被授予角色的系統(tǒng)權限ROLE_TAB_PRIVS被授予角色的對象權限SESSION_ROLES當前會話中可用的角色session_privs 當前會話中可用的權限 user_role_privs 當前用戶被授予的角色第30頁，共53頁。預定義角色CONNECT 角色 該角色使用戶可以連接數(shù)據庫.默認情況下，該角色不能訪問其他用戶的表。 s

16、elect privilege from dba_sys_privs where grantee=CONNECT;PRIVILEGE-CREATE SESSION第31頁，共53頁。RESOURCE 角色 它允許用戶擁有較多的系統(tǒng)權限，如創(chuàng)建觸發(fā)器或存儲過程。select privilege from dba_sys_privs where grantee=RESOURCE ;PRIVILEGE-CREATE TRIGGERCREATE SEQUENCECREATE TYPECREATE PROCEDURECREATE CLUSTERCREATE OPERATORCREATE INDEXTYP

17、ECREATE TABLE第32頁，共53頁。SQL select privilege from dba_sys_privs where grantee=YZP;PRIVILEGE-UNLIMITED TABLESPACEUNLIMITED TABLESPACE 權限 (實際上是resource隱含的一個權限,Oracle為什么這樣做,沒有明確的文檔說明,在 10g 中為了向后兼容,也是這樣的.), 惡意用戶利用這個造成麻煩很容易:在 SYSTEM 建立一個足夠大的表即可讓數(shù)據庫宕機.第33頁，共53頁。DBA角色：允許用戶擁有所有系統(tǒng)權限 權限的分配要遵循最小授權原則，只給用戶必須的權限 第

18、34頁，共53頁。概要文件口令和資源限制條件的集合創(chuàng)建或修改用戶時為其指定profile。缺省情況下的默認概要文件用戶使用資源沒有做任何的限制第35頁，共53頁。為什么使用概要文件概要文件限制用戶使用駐留Oracle數(shù)據庫的系統(tǒng)資源的能力。不是為了讓使用超過某資源閾值的用戶離開系統(tǒng)。二是為了讓用戶做任何他們想做的事情。為了限制數(shù)據庫不需要和不能接受的使用第36頁，共53頁。開啟資源限制 1、修改init.ora中的參數(shù) RESOURCE_LIMIT=TRUE2、開啟當前系統(tǒng)中的資源限制：ALTER SYSTEM SET RESOURCE_LIMIT=TRUE; 第37頁，共53頁。用概要文件管

19、理口令UserPassword expiration and agingPassword verificationPassword historyAccount lockingSetting up profiles第38頁，共53頁。Password Account LockingParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIME Description可以允許密碼錯誤的次數(shù)登錄失敗之后，帳戶鎖定的天數(shù)PASSWORD_LOCK_TIME 第39頁，共53頁。Password Expiration and AgingParameter生命期，多長時

20、間到期(天)到期后，第一次登錄之后還有多長時間可以改變帳戶(天)PASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEParameter第40頁，共53頁。Password HistoryParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAX密碼可以被重用的最小間隔（天）重用密碼前更換密碼的最小次數(shù) Description第41頁，共53頁。PASSWORD_REUSE_TIMEPASSWORD_REUSE_MAX注：這兩個參數(shù)如果都為unlimited,這時密碼可以任意重用，沒有限制。一個為UNLIMITED，另一個為其他值，這個時候

21、你的密碼將永遠無法重用 。如果同時設置兩個參數(shù)，那么都需要滿足 。第42頁，共53頁。Password VerificationPASSWORD_VERIFY_FUNCTIONPL/SQL 函數(shù)，用以驗證密碼的復雜性 ParameterDescription第43頁，共53頁。創(chuàng)建概要文件create profile profile1 limitfailed_login_attempts 3 password_lock_time 1/1440; alter user yzp profile profile1第44頁，共53頁。修改概要文件: Password SettingALTER PROF

22、ILE profile1 limitPASSWORD_LIFE_TIME 60PASSWORD_GRACE_TIME 10;第45頁，共53頁。 Creating a Profile: Password SettingsALTER PROFILE profile1 LIMITPASSWORD_LIFE_TIME 60PASSWORD_GRACE_TIME 10PASSWORD_REUSE_TIME 1800PASSWORD_REUSE_MAX UNLIMITEDFAILED_LOGIN_ATTEMPTS 3PASSWORD_LOCK_TIME 1/1440PASSWORD_VERIFY_FUN

23、CTION verify_function;oracleproduct10.2.0db_1RDBMSADMINutlpwdmg.sql第46頁，共53頁。SQL alter user yzp identified by y replace yzp;alter user yzp identified by y replace yzp*第 1 行出現(xiàn)錯誤:ORA-28003: 指定口令的口令驗證失敗ORA-20002: Password length less than 4alter user yzp identified by yzp replace yzp*第 1 行出現(xiàn)錯誤:ORA-28003: 指定口令的口令驗證失敗ORA-20001: Password same as or similar to user第47頁，共53頁。用概要文件控制資源會話級：用戶超過了會話級資源限制，會得到錯誤，并自動終止會話。 sessions_