第06章Oracle數(shù)據(jù)庫安全管理

1、 第第6章章 數(shù)據(jù)庫安全管理數(shù)據(jù)庫安全管理 本章知識(shí)點(diǎn)本章知識(shí)點(diǎn) p Oracle Oracle認(rèn)證方法認(rèn)證方法 p 用戶管理用戶管理 p 角色管理角色管理 6.1Oracle認(rèn)證方法認(rèn)證方法 p 操作系統(tǒng)身份認(rèn)證操作系統(tǒng)身份認(rèn)證 p 網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證 p OracleOracle數(shù)據(jù)庫身份認(rèn)證數(shù)據(jù)庫身份認(rèn)證 p 數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員認(rèn)證 操作系統(tǒng)身份認(rèn)證操作系統(tǒng)身份認(rèn)證 例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面 的命令啟動(dòng)的命令啟動(dòng)SQLSQL* *PlusPlus，而不需要輸入用，而不需要輸入用 戶名和密碼：戶名和密碼： SQLPLUS

2、/ 網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證 p 網(wǎng)絡(luò)層的認(rèn)證能力由第網(wǎng)絡(luò)層的認(rèn)證能力由第3 3方的方的SSLSSL協(xié)議協(xié)議 處理。處理。 p SSLSSL是是Secure Socket LayerSecure Socket Layer的縮寫，的縮寫， 即安全套接字層。它是一個(gè)應(yīng)用層協(xié)即安全套接字層。它是一個(gè)應(yīng)用層協(xié) 議，可以用于數(shù)據(jù)庫的用戶身份認(rèn)證。議，可以用于數(shù)據(jù)庫的用戶身份認(rèn)證。 p 網(wǎng)絡(luò)層身份認(rèn)證使用第網(wǎng)絡(luò)層身份認(rèn)證使用第3 3方網(wǎng)絡(luò)認(rèn)證方網(wǎng)絡(luò)認(rèn)證 服務(wù)，例如服務(wù)，例如DCEDCE、KerberosKerberos、PKIPKI、 RADIUSRADIUS等。等。 Oracle數(shù)據(jù)庫身份認(rèn)證數(shù)據(jù)庫身份

3、認(rèn)證 p連接中的密碼加密：加密算法采用改進(jìn)的連接中的密碼加密：加密算法采用改進(jìn)的 DESDES和和3DES3DES算法，加密過程在數(shù)據(jù)傳輸之前算法，加密過程在數(shù)據(jù)傳輸之前 完成。完成。 p賬戶鎖定賬戶鎖定: Oracle: Oracle可以設(shè)置連接登錄失敗可以設(shè)置連接登錄失敗n n 次后，次后，OracleOracle將鎖定用戶賬戶。將鎖定用戶賬戶。 p密碼生存周期密碼生存周期 p檢測歷史密碼檢測歷史密碼 p驗(yàn)證密碼復(fù)雜度驗(yàn)證密碼復(fù)雜度 數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員認(rèn)證 p數(shù)據(jù)庫管理員的認(rèn)證方式數(shù)據(jù)庫管理員的認(rèn)證方式 是否建立 安全連接 管理遠(yuǎn)程數(shù)據(jù)庫 是否使用操 作系統(tǒng)認(rèn)證 管理本地?cái)?shù)據(jù)庫

4、是 是 否 否 使用操作系統(tǒng)認(rèn)證 使用密碼文件認(rèn)證 數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員認(rèn)證 p 在在SQLSQL* *PlusPlus中，如果采用操作系統(tǒng)認(rèn)中，如果采用操作系統(tǒng)認(rèn) 證方式登錄，可以使用如下命令：證方式登錄，可以使用如下命令： CONNECT / AS SYSDBA 或者：或者： CONNECT / AS SYSOPER p【例】創(chuàng)建密碼文件【例】創(chuàng)建密碼文件myPwdFile.oramyPwdFile.ora，SYSSYS 用戶的密碼為用戶的密碼為syspwdsyspwd，SYSDBASYSDBA和和SYSOPERSYSOPER用用 戶的最大數(shù)量為戶的最大數(shù)量為5050，代碼如下：，

5、代碼如下： ORAPWD FILE=myPwdFile.ora PASSWORD=syspwd ENTRIES=50 數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員認(rèn)證 p初始化參數(shù)初始化參數(shù)REMOTE_LOGIN_PASSWORDFILEREMOTE_LOGIN_PASSWORDFILE可可 以指定密碼文件的使用方法，它可以設(shè)置以指定密碼文件的使用方法，它可以設(shè)置 為如下為如下3 3種值：種值： NONE。Oracle數(shù)據(jù)庫認(rèn)定密碼文件不存在，所 有的連接都必須是安全連接。 EXCLUSIVE（默認(rèn)值）?？梢蕴砑?、修改和刪除 用戶，也可以修改SYS用戶的密碼。 SHARED。共享的密碼文件不允許被修改，因此

6、 不允許添加新用戶，也不能修改SYS或其他 SYSDBA、SYSOPER用戶的密碼。 數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員認(rèn)證 pGRANTGRANT命令為用戶授予權(quán)限。命令為用戶授予權(quán)限。 【例】向用戶adm授予SYSDBA權(quán)限： GRANT SYSDBA TO adm; pREVOKEREVOKE命令撤銷用戶的授權(quán)。命令撤銷用戶的授權(quán)。 【例】撤銷用戶adm的SYSDBA權(quán)限： REVOKE SYSDBA FROM adm; 數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員認(rèn)證 p 通過視圖通過視圖V$PWFILE_USERSV$PWFILE_USERS查看密碼文查看密碼文 件的內(nèi)容。件的內(nèi)容。 【例】使用SQL語句

7、查看代碼文件的內(nèi)容： SQL SELECT * FROM V$PWFILE_USERS; USERNAME SYSDB SYSOP - - SYS TRUE TRUE 用戶管理用戶管理 p創(chuàng)建用戶創(chuàng)建用戶 p修改用戶修改用戶 p權(quán)限管理語句權(quán)限管理語句 p刪除用戶刪除用戶 創(chuàng)建用戶創(chuàng)建用戶 p顯示用戶信息顯示用戶信息 操作按鈕 創(chuàng)建用戶創(chuàng)建用戶 p“創(chuàng)建用戶創(chuàng)建用戶”頁面頁面 p選擇表空間選擇表空間 創(chuàng)建用戶創(chuàng)建用戶 p查看新建用戶查看新建用戶NEWUSERNEWUSER的信息的信息 創(chuàng)建用戶創(chuàng)建用戶 pCREATE USERCREATE USER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。語句在數(shù)據(jù)庫中創(chuàng)建新

8、用戶。 CREATE USER IDENTIFIED BY DEFAULT TABLESPACE TEMPORARY TABLESPACE ; p【例】創(chuàng)建管理用戶【例】創(chuàng)建管理用戶USERMANUSERMAN： CREATE USER USERMAN IDENTIFIED BY USERMAN; 修改用戶修改用戶 p編輯用戶頁面 設(shè)置用戶的 其他屬性 修改用戶修改用戶 pALTER USERALTER USER語句也可以修改用戶信息。語句也可以修改用戶信息。 （1）修改密碼密碼。 【例】將用戶USERMAN的密碼修改為NewPassword： ALTER USER USERMAN IDENT

9、IFIED BY NewPassword; （2）PASSWORD EXPIRE關(guān)鍵詞設(shè)置密碼過期。 【例】設(shè)置用戶USERMAN的密碼立即過期，它在下一次登錄 時(shí)必須修改密碼： ALTER USER USERMAN PASSWORD EXPIRE; （3）ACCOUNT LOCK關(guān)鍵詞鎖定用戶。 【例】鎖定用戶USERMAN，使其無法登錄到數(shù)據(jù)庫： ALTER USER USERMAN ACCOUNT LOCK; （4）ACCOUNT UNLOCK關(guān)鍵詞解鎖用戶。 【例】解除對(duì)用戶USERMAN的鎖定： ALTER USER USERMAN ACCOUNT UNLOCK; 權(quán)限管理語句權(quán)限管

10、理語句 p系統(tǒng)權(quán)限設(shè)置頁面 權(quán)限管理語句權(quán)限管理語句 p修改系統(tǒng)權(quán)限頁面修改系統(tǒng)權(quán)限頁面 權(quán)限管理語句權(quán)限管理語句 pGRANTGRANT語句可以將權(quán)限授予指定的用戶或角色。語句可以將權(quán)限授予指定的用戶或角色。 （1 1）授予系統(tǒng)權(quán)限：）授予系統(tǒng)權(quán)限： GRANT TO 【例】對(duì)于用戶USERMAN授予SYSDBA權(quán)限： GRANT SYSDBA TO USERMAN; （2 2）授予數(shù)據(jù)對(duì)象權(quán)限：）授予數(shù)據(jù)對(duì)象權(quán)限： GRANT ON TO 【例】對(duì)用戶USERMAN授予表USERS的SELECT、INSERT、 UPDATE、DELETE權(quán)限： GRANT SELECT ON USERMA

11、N.USERS TO USERMAN; GRANT INSERT ON USERMAN.USERS TO USERMAN; GRANT UPDATE ON USERMAN.USERS TO USERMAN; GRANT DELETE ON USERMAN.USERS TO USERMAN; 權(quán)限管理語句權(quán)限管理語句 （3）REVOKE語句可以撤銷用戶的角色 或權(quán)限： REVOKE FROM 【例】撤銷用戶USERMAN的系統(tǒng)權(quán)限： REVOKE SYSDBA FROM USERMAN; 刪除用戶刪除用戶 p 確認(rèn)刪除頁面確認(rèn)刪除頁面 撤銷表空間撤銷表空間 pDROP USERDROP USER

12、語句也可以刪除指定的用戶。語句也可以刪除指定的用戶。 【例】刪除用戶【例】刪除用戶USERMANUSERMAN： DROP USER USERMAN; 6.3角色管理 p Oracle Oracle系統(tǒng)角色系統(tǒng)角色 p 創(chuàng)建角色創(chuàng)建角色 p 對(duì)角色授權(quán)對(duì)角色授權(quán) p 指定用戶的角色指定用戶的角色 p 修改角色修改角色 p 刪除角色刪除角色 Oracle系統(tǒng)角色系統(tǒng)角色 p 常用的Oracle預(yù)定義系統(tǒng)角色 角 色 名說 明 CONNECT授予最終用戶的基本角色，主要包括ALTER SESSION（修改會(huì)話）、 CREATE CLUSTER（建立聚簇）、CREATE DATABASE LINK（

13、建 立數(shù)據(jù)庫鏈接）、CREATE SEQUENCE（建立序列）、CREATE SESSION（建立會(huì)話）、CREATE SYNONYM （建立同義詞）、 CREATE VIEW （建立視圖）等權(quán)限 RESOURCE授予開發(fā)人員的基本角色，主要包括CREATE CLUSTER（創(chuàng)建聚 簇）、CREATE PROCEDURE（創(chuàng)建過程）、CREATE SEQUENCE （創(chuàng)建序列）、CREATE TABLE（創(chuàng)建表）、CREATE TRIGGER （創(chuàng)建觸發(fā)器）、CREATE TYPE（創(chuàng)建類型）等權(quán)限 DBA擁有所有系統(tǒng)級(jí)管理權(quán)限 IMP_FULL_DATABASE和 EXP_FULL_DATA

14、BASE 導(dǎo)入、導(dǎo)出數(shù)據(jù)庫所需要的角色，主要包括BACKUP ANY TABLE （備份表）、EXECUTE ANY PROCEDURE（執(zhí)行過程）、SELECT ANY TABLE（查詢表）等權(quán)限 DELETE_CATALOG_ROLE刪除sys.aud$記錄的權(quán)限，sys.aud$表中記錄著審計(jì)后的記錄 SELECT_CATALOG_ROLE 具有從數(shù)據(jù)字典查詢的權(quán)限 EXECUTE_CATALOG_ROLE具有從數(shù)據(jù)字典中執(zhí)行部分過程和函數(shù)的權(quán)限 創(chuàng)建角色創(chuàng)建角色 p 顯示角色信息 創(chuàng)建角色創(chuàng)建角色 p創(chuàng)建角色頁面創(chuàng)建角色頁面 授予角色 系統(tǒng)權(quán)限 創(chuàng)建角色創(chuàng)建角色 p查看角色MYROLL

15、的信息 創(chuàng)建角色創(chuàng)建角色 【例】使用CREATE ROLE語句創(chuàng)建角色： CREATE ROLE MYROLE IDENTIFIED BY myrollpwd pIDENTIFIED BY子句可以指定角色的密碼。 對(duì)角色授權(quán)對(duì)角色授權(quán) p系統(tǒng)權(quán)限設(shè)置頁面系統(tǒng)權(quán)限設(shè)置頁面 對(duì)角色授權(quán)對(duì)角色授權(quán) p修改系統(tǒng)權(quán)限頁面修改系統(tǒng)權(quán)限頁面 指定用戶的角色指定用戶的角色 pGRANTGRANT命令為用戶指定角色。命令為用戶指定角色。 【例】將角色【例】將角色CONNECTCONNECT指定給用戶指定給用戶USERMANUSERMAN： GRANT CONNECT TO USERMAN; pREVOKEREVOKE命令為取消用戶的角色。命令為取消用戶的角色。 【例】撤銷【例】撤銷USERMANUSERMAN用戶的用戶的CONNECTCONNECT角色：角色： REVOKE CON