oracle數(shù)據(jù)庫管理員教程-安全管理

1、1,Oracle數(shù)據(jù)庫管理員教程,第 五 章,安全管理,,安全管理 用戶管理,,安全管理 用戶管理,,參數(shù)說明：Name：用戶名Password Authentication：用戶密碼OS Authentication：操作系統(tǒng)識別方式，設(shè)參數(shù) OS_AUTHENT_PREFIX的值為“OPS$”。Default Tablespace：用戶對象保存的表空間Tempora

2、ry Tablespace：臨時用戶對象保存的表空間Quotas：用戶使用的表空間限量Profile：用戶使用的系統(tǒng)資源限量,行命令建立用戶：CREATE USER 用戶名 INDENTIFIED BY 口令 EXTERNALLY DEFA

3、ULT TABLESPACE 表空間名 TEMPORARY TABLESPACE 表空間名 QUOTA 整數(shù) K/M ON 表空間名 UNLIMITED PROFILE 環(huán)境文件名,,安全管理 用戶管理,例1：建立用戶sidneyCREAT

4、E USER sidney INDENTIFIED BY carton DEFAULT TABLESPACE cases_ts TEMPORARY TABLESPACE temp_ts QUOTA 5M ON cases_ts QUOTA 5M ON temp_ts

5、 PROFILE engineer ;,,安全管理 用戶管理,例2：建立按操作系統(tǒng)帳號george可存取的用戶。 CREATE USER OPS$georage INDENTIFIED EXTERNALLY DEFAULT TABLESPACE accs_ts TEMPORARY TABLESP

6、ACE temp_ts QUOTA UNLIMITED ON accs_ts QUOTA UNLIMITED ON temp_ts ;,,安全管理 用戶管理,,安全管理 用戶管理,,安全管理 用戶管理,,參數(shù)說明：No change in Authentication：無識別方式Password Authentication：用

7、戶密碼OS Authentication：操作系統(tǒng)識別方式Default Tablespace：用戶對象保存的表空間Temporary Tablespace：臨時用戶對象保存的表空間Quotas：用戶使用的表空間限量Profile：用戶使用的系統(tǒng)資源限量Default Role：分配給用戶的角色,,安全管理 用戶管理,,安全管理 用戶管理,例1： ALTER USER scott INDENTIF

8、IED BY lion DEFAULT TABLESPACE tstest ；例2： ALTER USER scott PROFILE clerk ；,,安全管理 用戶管理,,安全管理 用戶管理,行命令刪除用戶： DROP USER 用戶名 CASCADE例如： DROP USER bradley C

9、ASCADE ；,,安全管理 用戶管理,例如： ALTER SYSTEM KILL SESSION ‘ 9, 3 ’ ；,,安全管理 用戶管理,與用戶管理有關(guān)的數(shù)據(jù)字典視圖： USER_USERS ALL_USERS DBA_USERS USER_TS_QUOTAS DBA_TS_QUOTAS,安全管理 環(huán)境文件管理,,,安全管理 環(huán)境文件管理,參數(shù)說明

10、： Sessions/User：限制一個用戶的并發(fā)會話個數(shù)。 CPU Time/Session ：限制一次會話的CPU時間，單位：百分之一秒。 CPU Time/Call：限制一次調(diào)用（一次語法分析、執(zhí)行或獲得）的CPU時間，單位：百分之一秒。 Connect Time：限制一會話總的使用時間，單位：分。 Idle Time：限制會話期間連接不活動周期，單位：分。長的運行查詢和其它操作不受這個限制。,,安全管理 環(huán)境文件

11、管理,參數(shù)說明： Logical Reads/Session：限制在一次會話中讀的數(shù)據(jù)塊的數(shù)目，包括從內(nèi)存或磁盤讀的塊數(shù)。 Logical Reads/Call：限制處理一個SQL語句（語法分析、執(zhí)行和獲?。┮淮握{(diào)用所讀的數(shù)據(jù)塊的數(shù)目。 Private SGA/Session：限制一次會話在SGA的共享池可分配的專用空間的數(shù)目，單位：bytes/Kbytes/Mbytes。 Composite Limit：一次會話總的資源

12、開銷，以服務(wù)單位表示該參數(shù)的值。,,安全管理 環(huán)境文件管理,ORACLE以下列資源的帶權(quán)的和計算總的資源開銷： CPU Time/Session Connect Time Logical Reads/Session Private SGA/Session

13、,,安全管理 環(huán)境文件管理,,安全管理 環(huán)境文件管理,例如：建立環(huán)境文件SYSTEM_MANAGER。CREATE PROFILE system_manager LIMIT SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION UNLIMITED CONNECT_TIME 45

14、LOGICAL_READS_PER_SESSION DEFAULT LOGICAL_READS_PER_CALL 1000 PROVATE_SGA 15K COMPOSITE_LIMIT 5000000 ;,安全管理 環(huán)境文件管理,,,安全管理 環(huán)境文件管理,,安全管理 環(huán)境文件管理,例：在ENGINEE

15、R環(huán)境文件中定義5個并行會話的限制。 ALTER PROFILE engineer LIMIT SESSION_PER_USER 5 ;,安全管理 環(huán)境文件管理,,行命令刪除環(huán)境文件： DROP PROFILE 環(huán)境文件名 CASCADE,安全管理 環(huán)境文件管理,,安全管理 環(huán)境文件管理,,行命令更改

16、資源開銷： ALTER RESOUCE COST CPU_PER_SESSION 整數(shù) CONNECT_TIME 整數(shù) LOGICAL_READS_PER_SESSION 整數(shù) PRIVATE_SGA 整數(shù) 例如：指定資源的權(quán)。 ALTER RESOUCE COST CPU_PER_SESSION 100 CONNEC

17、T_TIME 1,安全管理 環(huán)境文件管理,,與環(huán)境文件有關(guān)的數(shù)據(jù)字典視圖： USER_RESOURCE_LIMITS DBA_PROFILES RESOURCE_COST,,安全管理 特權(quán)管理,系統(tǒng)特權(quán)：完成特殊活動或在一個特殊 類型的對象上完成特殊活動 的一個特權(quán)。對象特權(quán)：在一個指定的對象（表、視

18、 圖、序列、過程、函數(shù)或包） 上完成一個特殊活動的特權(quán)。,安全管理 特權(quán)管理,,,安全管理 特權(quán)管理,,安全管理 特權(quán)管理,例1：將CREATE SESSION系統(tǒng)特權(quán)授予RICHARD。 GRANT create session TO richard ; 例2：將 CREATE TABLE 系統(tǒng)特權(quán)授予RICHARD并帶有

19、允許授權(quán)選項。 GRANT create table TO richard WITH ADMINI OPTION ;,安全管理 特權(quán)管理,,,安全管理 特權(quán)管理,,安全管理 特權(quán)管理,例：從用戶Bill和Mary回收DROP ANYTABLE系統(tǒng)特權(quán)。 REVOKE drop any table FROM bill , mary

20、;,,安全管理 特權(quán)管理,回收系統(tǒng)特權(quán)的連鎖反映分析：,,安全管理 特權(quán)管理,對象特權(quán)的授權(quán)：例1： GRANT select ON dept TO stu10 , stu11 ;例2： GRANT select , insert(empno , ename) , update(ename) ON emp TO scott WITH GRANT OPTION ;,,安全管理 特權(quán)管

21、理,對象特權(quán)的回收：例1： REVOKE select ON dept FROM stu10 , stu11 ;例2： REVOKE all ON emp FROM scott ;,,安全管理 特權(quán)管理,回收對象特權(quán)的連鎖反映分析：,,安全管理 特權(quán)管理,與特權(quán)有關(guān)的數(shù)據(jù)字典視圖： DBA_SYS_PRIVS TABLE_PRIVILEGES COLUMN_PRIVILEGES ALL/USER_TAB_

22、PRIVS ALL/USER_TAB_PRIVS_MADE ALL/USER_TAB_PRIVS_RECD ALL/USER_COL_PRIVS ALL/USER_COL_PRIVS_MADE ALL/USER_COL_PRIVS_RECD,,安全管理 角色管理,角色是由一個命名的關(guān)聯(lián)特權(quán)組組成，用來維護(hù)和控制特權(quán)。角色的特點： 減少授權(quán)次數(shù) 動態(tài)的特權(quán)管理 選擇可用特權(quán),,安全管理 角色管理,無角色管

23、理的授權(quán)示意圖,,安全管理 角色管理,使用角色管理的授權(quán)示意圖,,安全管理 角色管理,ORACLE數(shù)據(jù)庫預(yù)定義的角色： CONNECT: ALTER SESSION, CREATE CLUSTER, CTEATE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM, CREATE TABLE, CREATE TABLE, CREATE TRIGGE

24、R RESOURCE: CREATE CLUSTER, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER DBA: All system privileges WITH ADMIN OPTION EXP_FULL_DATABASE: SELECT ANY TABLE, BACKUP ANY TABLE, INSERT, DELETE and UPDAT

25、E on the tables SYS.INCVID, SYS.INCFIL and SYS.INCEXP IMP_FULL_DATABASE: BECOME USER, WRITEDOWN,安全管理 角色管理,,,安全管理 角色管理,例1： CTEATE ROLE acct ;例2： CTEATE ROLE acct IDENTIFIED BY bicent

26、;,安全管理 角色管理,,,安全管理 角色管理,例： ALTER ROLE acct NOT IDENTIFIED ;,安全管理 角色管理,,,安全管理 角色管理,行命令刪除角色： DROP ROLE 角色名例： DROP ROLE acct ;,,安全管理 角色管理,行命令刪除角色： DROP ROL