SQL數(shù)據(jù)庫安全性_第1頁
SQL數(shù)據(jù)庫安全性_第2頁
SQL數(shù)據(jù)庫安全性_第3頁
SQL數(shù)據(jù)庫安全性_第4頁
SQL數(shù)據(jù)庫安全性_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余10頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、、實(shí)驗(yàn)?zāi)康?.掌握Windows認(rèn)證模式下數(shù)據(jù)庫用戶帳號(hào)的建立與取消方法;2.掌握混合模式下數(shù)據(jù)庫用戶帳號(hào)的建立與取消方法;3.掌握數(shù)據(jù)庫用戶權(quán)限的設(shè)置方法;4.熟悉數(shù)據(jù)庫數(shù)據(jù)庫用戶帳號(hào)的權(quán)限分配、回收等方法;5.了解數(shù)據(jù)庫角色的分類、作用及使用方法。二、實(shí)驗(yàn)環(huán)境SQL Server 企業(yè)版 三、實(shí)驗(yàn)學(xué)時(shí)2學(xué)時(shí)四、實(shí)驗(yàn)原理:1. Microsoft? SQL Server?可以在兩種安全(身份驗(yàn)證)模式:(1) Windows身份驗(yàn)證模式(Windows身份驗(yàn)證)Windows身份驗(yàn)證模式使用戶得以通過Microsoft Windows NT? 4.0或 Windows? 2000用戶帳戶進(jìn)行

2、連接。(2) 混合模式(Windows身份驗(yàn)證和SQL Server 身份驗(yàn)證)混合模式使用戶得以使用Windows身份驗(yàn)證或 SQL Server身份驗(yàn)證與 SQL Server實(shí)例連接。在 Windows身份驗(yàn)證模式或混合模式下,通過 Windows NT4.0 或 Windows 2000用戶帳戶連接的用戶可以使用信任連接。SQL Sarver安全性決縈樹戶應(yīng)用程序SQL Serwara> 自偽雀證複式eYAS糧合橇式 Isol墜re刁i屈接登錄YPSNdNd2. SQL S erver的安全機(jī)制SQLServer(1)服務(wù)器級(jí)別所包含的安全對(duì)象主要有登錄名、固定服務(wù)器角色等。其中

3、登錄名用 于登錄數(shù)據(jù)庫服務(wù)器,而固定服務(wù)器角色用于給登錄名賦予相應(yīng)的服務(wù)器權(quán)限。中的登錄名主要有兩種:第一種是Windows登錄名,第二種是 SQLServer登錄名。Windows登錄名對(duì)應(yīng) Windows驗(yàn)證模式,該驗(yàn)證模式所涉及的賬戶類型主要有 Windows本地用戶賬戶、 Windows域用戶賬戶、 Windows組。SQL Server登錄名對(duì)應(yīng) SQL Server驗(yàn)證模式,在該驗(yàn) 證模式下,能夠使用的賬戶類型主要是 SQL Server賬戶。(2)數(shù)據(jù)庫級(jí)別所包含的安全對(duì)象主要有用戶、角色、應(yīng)用程序角色、證書、對(duì)稱密鑰、非對(duì)稱密鑰、程序集、全文目錄、DDL事件、架構(gòu)等。用戶安全對(duì)

4、象是用來訪問數(shù)據(jù)庫則該的。如果某人只擁有登錄名,而沒有在相應(yīng)的數(shù)據(jù)庫中為其創(chuàng)建登錄名所對(duì)應(yīng)的用戶,用戶只能登錄數(shù)據(jù)庫服務(wù)器,而不能訪問相應(yīng)的數(shù)據(jù)庫。(3)架構(gòu)級(jí)別所包含的安全對(duì)象主要有表、視圖、函數(shù)、存儲(chǔ)過程、類型、同義詞、聚合函數(shù)等。架構(gòu)的作用簡單地說是將數(shù)據(jù)庫中的所有對(duì)象分成不同的集合,這些集合沒有這個(gè)默交集,每一個(gè)集合就稱為一個(gè)架構(gòu)。數(shù)據(jù)庫中的每一個(gè)用戶都會(huì)有自己的默認(rèn)架構(gòu)。認(rèn)架構(gòu)可以在創(chuàng)建數(shù)據(jù)庫用戶時(shí)由創(chuàng)建者設(shè)定,若不設(shè)定則系統(tǒng)默認(rèn)架構(gòu)為dbo。數(shù)據(jù)庫用戶只能對(duì)屬于自己架構(gòu)中的數(shù)據(jù)庫對(duì)象執(zhí)行相應(yīng)的數(shù)據(jù)操作。至于操作的權(quán)限則由數(shù)據(jù)庫角色所決定。一個(gè)數(shù)據(jù)庫使用者,想要登錄服務(wù)器上的SQL

5、Server數(shù)據(jù)庫,并對(duì)數(shù)據(jù)庫中的表執(zhí)行數(shù)據(jù)更新操作,則該使用者必須經(jīng)過如下圖所示的安全驗(yàn)證。I網(wǎng)軸傳輸卷金植制aw咋卷金機(jī)H I鹿務(wù)K安金帆制怡宦戳掘庫(:份臉證甘象權(quán)限客戶機(jī)SQl- Scrvb用戶數(shù)懈庫i址據(jù)對(duì)象空全植制客戶楓住個(gè)機(jī)制I數(shù)1對(duì)象3. 數(shù)據(jù)庫的存取控制:授權(quán)和撤銷權(quán)限(1)GRANT在安全系統(tǒng)中創(chuàng)建項(xiàng)目,使當(dāng)前數(shù)據(jù)庫中的用戶得以處理當(dāng)前數(shù)據(jù)庫中的數(shù)據(jù)或執(zhí)行特定的Transact-SQL 語句語法:1)語句權(quán)限:GRANT ALL | stateme nt ,n TO security_acco unt ,n 2)對(duì)象權(quán)限:GRANT ALL P RIVILEGES | p

6、ermissio n ,n (colu mn ,n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account ,.n WITH GRANT OPTION AS group | role (2)REVOKE 刪除以前在當(dāng)前數(shù)據(jù)庫內(nèi)的用戶上授予或拒絕的權(quán)限。語法 語句權(quán)限:REVOKE ALL | statement ,.n FROM security_account ,.n

7、對(duì)象權(quán)限:REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO | FROM security_account ,.n CASCADE AS group | role 五、實(shí)驗(yàn)內(nèi)容及步驟以系統(tǒng)管理員身份登錄到 SQLServer 服務(wù)器,在 SQLServer2005

8、 界面中實(shí)現(xiàn)以下操作,并獨(dú)立寫出 68 題的程序代碼;1.在當(dāng)前計(jì)算機(jī)中增加一個(gè)用戶 zhang 和 cheng ,密碼為secret 。使此用戶通過winows NT 模式下登錄 SQL Server 服務(wù)器,登錄名分別為zhang 和 cheng ;2.新建以混合模式登錄 SQL Server 服務(wù)器的用戶登錄名為stu1 、 stu2 和 stu3 ,登3.錄密碼為 secret ,默認(rèn)登錄數(shù)據(jù)庫為 stu ;4.將帳號(hào) zhang 添加為數(shù)據(jù)庫 stu 的用戶,用戶名為 zhang ;在數(shù)據(jù)庫 stu 中創(chuàng)建用戶 stu1 、stu2 和 stu3 ,登錄帳號(hào)分別為 stu1 、stu

9、2 和 stu3 ;5.給數(shù)據(jù)庫用戶 zhang 賦予創(chuàng)建數(shù)據(jù)庫的權(quán)限;6.給數(shù)據(jù)庫用戶 stu1 賦予對(duì) sc 表進(jìn)行插入、修改、刪除操作權(quán)限;7.給數(shù)據(jù)庫用戶 stu2和stu3賦予對(duì)student表、course表所有操作權(quán)限及查詢sc的操作權(quán)限,并允許再授權(quán)給其他用戶;8.收回?cái)?shù)據(jù)庫用戶 stu2對(duì)student表和course表的刪除操作的權(quán)限;9.若一個(gè)小組共5個(gè)成員,他們對(duì)數(shù)據(jù)庫stu具有相同的操作權(quán)限,具體權(quán)限如下:1)對(duì)于student、course表只能進(jìn)行數(shù)據(jù)查詢;2)只能對(duì)student表中sname進(jìn)行更改;3)對(duì)于sc表只能進(jìn)行修改、刪除或插入;10.將登錄帳號(hào)Ch

10、eng同時(shí)擁有服務(wù)器角色serveradmin 和securityadmin的權(quán)限;11.刪除服務(wù)器角色sysadmin的成員stu2和stu3 ;六、樣例模板一、用戶的創(chuàng)建服務(wù)器用戶和數(shù)據(jù)庫用戶u1、u2Windows,打開“控制面板” (Win7)中的“用戶賬戶”,創(chuàng)建用戶包括操作系統(tǒng)用戶、1. 創(chuàng)建操作系統(tǒng)用戶 以管理員的身份登錄到操作系統(tǒng)用戶u1、u2。2. 創(chuàng)建數(shù)據(jù)服務(wù)器用戶(1)GUI 方式(SQL Server2008 為例):以 DBA 的身份登錄到 SQL Server ManagementStudio,在對(duì)象資源管理器中選擇 “安全性”,右擊“登錄名”,在彈出的快捷菜單中選

11、擇“新建登錄名”菜單選項(xiàng),在“新建登錄名”窗口中單擊“搜索”按鈕添加Windows用戶u1,選擇“ Windows身份驗(yàn)證模式”,單擊“確定”按鈕完成。(2)命令方式:use mastercreate logi n P SYCHEu1 from wi ndows 0 a數(shù)據(jù)庫Aa耒統(tǒng)站ij ReportServerj ReportServerTempDBLJ stU-37B N安全性曰N登錄名SERVICEMSSQLSERVER SERVICEXSQLSERVEKAGE F>SYCHEul F>SVCHEu2 PSYCHEu3 PsycheZangse53歯# #M&_Po

12、ircyEventProce55rnc 易 PolicyTsqlEKecutimLc A NT AUTHORJTVNETWORK * A NT AUTHOR1P/SYSTEM 圍NT 爭ntAA A 島庫用戶-stu.37_login0'5a K上'制5上' 擴(kuò)馬屬性rEiEHEVda連曲服箝器:戶”匚:總二七|;-此用戶用育的飆枸g: BMs恂I I j db_*jcc*ssadiiii 方Jb_b-icL7upnper at or4b_dilvt4j4rdb a*l«vrbtAFdb_ddli4ii:n Jb_i«iyiil*r*aJcr 部打n

13、W祇"ifi W數(shù) la岸ft e成01):甬邑兩員; ? db ojcccsEAjindb_t ickupoptri-tor db_d-iliwf s t At*db ddl-fediiindb_djenyiit*readcr ter 皿亠ydbo(3)同樣的方式將操作系統(tǒng)用戶u2、u3加入到數(shù)據(jù)服務(wù)器。3.創(chuàng)建數(shù)據(jù)庫用戶以系統(tǒng)管理員身份登錄到數(shù)據(jù)庫服務(wù)器,分別以GUI方式和命令方式創(chuàng)建數(shù)據(jù)庫用戶(1)GUI方式(SQL Server2008為例):選中stu_37數(shù)據(jù)庫,單擊“安全性”,在其“用 節(jié)點(diǎn)下右擊,在彈出的快捷菜單中選擇輸入要新建的數(shù)據(jù)庫用戶名和登錄名,單擊(2)命令方

14、式:use stu 37“新建用戶”菜單項(xiàng),在“數(shù)據(jù)庫用戶”窗口中 “確定”按鈕。gocreate user stu_37_log in03forlog inP SYCHEu3go(3)查看 stu_37_login03的屬性,此用戶除了擁有默認(rèn)架構(gòu)外,沒有分配相應(yīng)權(quán)限。上'制5上' 擴(kuò)馬屬性rEiEHEVda連曲服箝器:匚:總二七|;-此用戶用育的飆枸g: BMs恂I I j db_*jcc*ssadiiii方Jb_b-icL7upnper at or4b_dilvt4j4rdb a*l«vrbtAFdb_ddli4ii:n Jb_i«iyiil*r*aJ

15、cr 部打nW祇"ifi W數(shù) la岸ft e成01):dbo甬邑兩員; ? db ojcccsEAjindb_t ickupoptri-tor db_d-iliwf s t At* db ddl-fediiin db_djenyiit*readcr ter 皿亠y(4) 切換到操作系統(tǒng)用戶 u1,以u(píng)1的身份登錄到 SQL Server Management Studio ,這時(shí)可以使用命令打開數(shù)據(jù)庫stu 37。如下圖:X/tQLQueryl.iql - (lo7 (Psycheu1 (53)*! use 3C- 37go査詢已咸切執(zhí)行0I (local) (10,0 RTMJ

16、I P&ycheu1 (53) | stu 37 | OOitXhOO | 0 行此時(shí),以stu_37數(shù)據(jù)庫用戶stu_37_login01訪問數(shù)據(jù)庫stui nfo,訪問被拒接。:CQL £rv*-亡PTaKaWCJAIuI. NorthwindstwrFormiceRapartSarvarfQL ftflportS.flFVflF(qLTflmpDB ftu.li3曲業(yè)丟竿罔4去N rna血如a tamnI -A G.nrvict Srokw4療flId IJ用產(chǎn)呂dbo 呂 guest 也NFORMAnOH.匚HEWA ,與 i:Cij_L3_lDi01二、數(shù)據(jù)庫角色管

17、理這里只討論固定數(shù)據(jù)庫角色。L_ woe- Dt-Lilnfo-III上輩* iSSs呈/羈士;:鬆念古在當(dāng)ffl安全上下文下詢問飆捱庫 yg1.以界面方式為固定數(shù)據(jù)庫角色添加成員:在stu_37數(shù)據(jù)庫中展開“安全性”角色 數(shù)據(jù)庫角色,選擇“ db.owner”,在彈出的快捷菜單中選擇“屬性”菜單項(xiàng),進(jìn)入“數(shù)據(jù)庫角色屬性”窗口,單擊“添加”按鈕。2.命令方式:使用系統(tǒng)的存儲(chǔ)過程use stu 37 gosp _addrolemember'db own er','stu_37_login01'Xz SQLQueryl-sql - Clo7 fPsycheu1 (5

18、5)*use 3tu 57gosp_addroleiEeiEi:er * db_owner * . ' s tLi_37_logi:01'能消息命令已成功完成0A,查誼已咸(local) (10.0 RTM) PsycheLl 53, stu_37 00:00:00 0 行此時(shí),可以訪問數(shù)據(jù)庫的數(shù)據(jù)庫對(duì)象,如下圖:曰 活 (SQL Server 10.0.1600 - PiychetJl) a 曰ea軸庫回3篆畑娠韋E二歡握庫挾黑HJJ Reportserver(3 Rep ortServerTerr pD60 stu,37i) 口城庫爍0回魏£表國S1+)Q0dbo

19、.Qdbo.s dbo.sc dbo.icll d Im .437回二i視圏0匸同義詞E二可躺牝11 LJ Service Broker 0 =薦犒二.-h- 4 1SQLQueryl.sql - (lo.7 fP&ycheu1 (SS*flclect - from jsnsmesseKsagesdept41j 10M330001i劉煉B232106033000?'丁®女22310M33000S畀2441DM350004215IDMiiOOOS胡海熱22信管61DM330007伺強(qiáng)2371DM3J0003何荊捕文229iDMiaooro李曉飛1 h H n JI.23

20、信管”直仮已-1 (local)' (10-0 RTM)PsycheXul (53) | stuj? | OOjOOiOO | 14G ij結(jié)果亠肖慝切換到DBA,取消stu_37_loginO1的所有的角色,此時(shí)只能打開數(shù)據(jù)庫,而不能訪問 數(shù)據(jù)庫對(duì)象三、數(shù)據(jù)庫的權(quán)限管理1.以用戶U2登陸數(shù)據(jù)服務(wù)器,并訪問數(shù)據(jù)庫stu_37X/QLQueryl.tql - (lor (Psychcu2 (SS)* use 3CV 37go4涓訊消息*,級(jí)別11,狀態(tài)H雪1行服務(wù)器主怵-PSYCHZXu2'無法在當(dāng)前安全上下文下訪問數(shù)抿庫”*J3嚴(yán)。I (Id Cai) (10.0 RTM) |

21、 P sycheu2 (55) | ma iter | 00:00:00 0 行2.以系統(tǒng)管理員的身份登錄,為操作系統(tǒng)用戶u2登錄數(shù)據(jù)庫Stu 37創(chuàng)建登錄名stu_37_logi n02a圧頁心常颯今擴(kuò)KS性EtU_37_Lo-6inD2登錄呂(L):TSiCai£匸上此用 RSWiSSffl):Iffl有吊踝恂iBBUBL.Qj dl_Atc*=tidfvnIdlj'b'BcLnip 口 pgrltorIt 'll d/ilu* 沁dj4rdl 亠 ddf d. bl At A fe d«r I'b.djUid.Lt uri lur埶庫曲

22、色戰(zhàn)貫se)w):rsyclwZaiiCsriD1 'dljHcLnip 口 purleri'd.'b_d.-il-uf Ai.d4r<Ll_d.*l wjT: Wrll_ddl6dfiiidl_d4血Fd.bt ur i-tdjorI'bdjUiTd.bt uri lurmHl.SQLQuerylsql - Clo7 (Psycheul tSJ)*i iiae sm 3,gogrnt select,delate on 孚 to Fty_3字】QffinOi為結(jié)果I命警已咸功完成*3. 切換到用戶u1,為用戶u2分配訪問權(quán)限E u 岸稅蔭田 IJ ReportSerwer0 ij ReportServerTtmpDB0 3 stij_37E 庫矢盂圏B La表m Lj 祝 sB 口同Ji詞回可謔世E N Service BrokerBEJ啓gR寶全性u(píng) 3用戶 A dba 應(yīng) guest 盛 IN FORM 冉 no 憶 HUE a stu_37_lo

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論