Oracle第章安全管理

第10章安全管理主要內(nèi)容Oracle數(shù)據(jù)庫(kù)安全性概述用戶管理權(quán)限管理角色管理概要文件管理審計(jì)利用OEM進(jìn)行安全管理本章要求了解Oracle數(shù)據(jù)庫(kù)安全機(jī)制掌握用戶管理掌握權(quán)限管理掌握角色管理了解概要文件的作用及其應(yīng)用了解審計(jì)及其應(yīng)用10.1數(shù)據(jù)庫(kù)安全性概述數(shù)據(jù)庫(kù)的安全性主要包括兩個(gè)方面的含義：一方面是防止非法用戶對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，未授權(quán)的用戶不能登錄數(shù)據(jù)庫(kù)；另一方面是每個(gè)數(shù)據(jù)庫(kù)用戶都有不同的操作權(quán)限，只能進(jìn)行自己權(quán)限范圍內(nèi)的操作。Oracle數(shù)據(jù)安全控制機(jī)制用戶管理權(quán)限管理角色管理表空間設(shè)置和配額用戶資源限制數(shù)據(jù)庫(kù)審計(jì)Oracle數(shù)據(jù)庫(kù)的安全可以分為兩類：系統(tǒng)安全性系統(tǒng)安全性是指在系統(tǒng)級(jí)控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制，包括有效的用戶名與口令的組合、用戶是否被授權(quán)可連接數(shù)據(jù)庫(kù)、用戶創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)可以使用的磁盤空間大小、用戶的資源限制、是否啟動(dòng)了數(shù)據(jù)庫(kù)審計(jì)功能，以及用戶可進(jìn)行哪些系統(tǒng)操作等。數(shù)據(jù)安全性數(shù)據(jù)安全性是指在對(duì)象級(jí)控制數(shù)據(jù)庫(kù)的存取和使用機(jī)制，包括用戶可存取的模式對(duì)象和在該對(duì)象上允許進(jìn)行的操作等。10.2用戶管理用戶管理概述創(chuàng)建用戶修改用戶刪除用戶查詢用戶信息用戶管理概述Oracle數(shù)據(jù)庫(kù)初始用戶

SYS：是數(shù)據(jù)庫(kù)中具有最高權(quán)限的數(shù)據(jù)庫(kù)管理員，可以啟動(dòng)、修改和關(guān)閉數(shù)據(jù)庫(kù)，擁有數(shù)據(jù)字典；

SYSTEM：是一個(gè)輔助的數(shù)據(jù)庫(kù)管理員，不能啟動(dòng)和關(guān)閉數(shù)據(jù)庫(kù)，但可以進(jìn)行其他一些管理工作，如創(chuàng)建用戶、刪除用戶等。SCOTT：是一個(gè)用于測(cè)試網(wǎng)絡(luò)連接的用戶，其口令為TIGER。PUBLIC：實(shí)質(zhì)上是一個(gè)用戶組，數(shù)據(jù)庫(kù)中任何一個(gè)用戶都屬于該組成員。要為數(shù)據(jù)庫(kù)中每個(gè)用戶都授予某個(gè)權(quán)限，只需把權(quán)限授予PUBLIC就可以了。用戶屬性用戶身份認(rèn)證方式默認(rèn)表空間臨時(shí)表空間表空間配額概要文件賬戶狀態(tài)用戶身份認(rèn)證方式數(shù)據(jù)庫(kù)身份認(rèn)證：數(shù)據(jù)庫(kù)用戶口令以加密方式保存在數(shù)據(jù)庫(kù)內(nèi)部，當(dāng)用戶連接數(shù)據(jù)庫(kù)時(shí)必須輸入用戶名和口令，通過(guò)數(shù)據(jù)庫(kù)認(rèn)證后才可以登錄數(shù)據(jù)庫(kù)。外部身份認(rèn)證：當(dāng)使用外部身份認(rèn)證時(shí)，用戶的賬戶由Oracle數(shù)據(jù)庫(kù)管理，但口令管理和身份驗(yàn)證由外部服務(wù)完成。外部服務(wù)可以是操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)。當(dāng)用戶試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，數(shù)據(jù)庫(kù)不會(huì)要求用戶輸入用戶名和口令，而從外部服務(wù)中獲取當(dāng)前用戶的登錄信息。全局身份認(rèn)證：：當(dāng)用戶試圖建立與數(shù)據(jù)庫(kù)連接時(shí)，Oracle使用網(wǎng)絡(luò)中的安全管理服務(wù)器（OracleEnterpriseSecurityManager）對(duì)用戶進(jìn)行身份認(rèn)證。Oracle的安全管理服務(wù)器可以提供全局范圍內(nèi)管理數(shù)據(jù)庫(kù)用戶的功能。

默認(rèn)表空間當(dāng)用戶在創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)，如果沒(méi)有顯式地指明該對(duì)象在哪個(gè)表空間中存儲(chǔ)，系統(tǒng)會(huì)自動(dòng)將該數(shù)據(jù)庫(kù)對(duì)象存儲(chǔ)在當(dāng)前用戶的默認(rèn)表空間中。如果沒(méi)有為用戶指定默認(rèn)表空間，則系統(tǒng)將數(shù)據(jù)庫(kù)的默認(rèn)表空間作為用戶的默認(rèn)表空間。臨時(shí)表空間當(dāng)用戶進(jìn)行排序、匯總和執(zhí)行連接、分組等操作時(shí)，系統(tǒng)首先使用內(nèi)存中的排序區(qū)SORT_AREA_SIZE，如果該區(qū)域內(nèi)存不夠，則自動(dòng)使用用戶的臨時(shí)表空間。在Oracle10g中，如果沒(méi)有為用戶指定臨時(shí)表空間，則系統(tǒng)將數(shù)據(jù)庫(kù)的默認(rèn)臨時(shí)表空間作為用戶的臨時(shí)表空間。表空間配額額表空間配額額限制用戶戶在永久表表空間中可可以使用的的存儲(chǔ)空間間的大小，，默認(rèn)情況況下，新建建用戶在任任何表空間間中都沒(méi)有有任何配額額。用戶在臨時(shí)時(shí)表空間中中不需要配配額。概要文件每個(gè)用戶都都必須有一一個(gè)概要文文件，從會(huì)會(huì)話級(jí)和調(diào)調(diào)用級(jí)兩個(gè)個(gè)層次限制制用戶對(duì)數(shù)數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)資源的使使用，同時(shí)時(shí)設(shè)置用戶戶的口令管管理策略。。如果沒(méi)有有為用戶指指定概要文文件，Oracle將為用戶自自動(dòng)指定DEFAULT概要文件。。賬戶狀態(tài)在創(chuàng)建用戶戶的同時(shí)，，可以設(shè)定定用戶的初初始狀態(tài)，，包括用戶戶口令是否否過(guò)期以及及賬戶是否否鎖定等。。Oracle允許任何時(shí)時(shí)候?qū)魬暨M(jìn)行鎖定定或解鎖。。鎖定賬戶戶后，用戶戶就不能與與Oracle數(shù)據(jù)庫(kù)建立立連接，必必須對(duì)賬戶戶解鎖后才才允許用戶戶訪問(wèn)數(shù)據(jù)據(jù)庫(kù)。10.2.2.創(chuàng)建用戶基本語(yǔ)法CREATEUSERuser_nameIDENTIFIED[BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];參數(shù)說(shuō)明user_name：用于設(shè)置新新建用戶名名，在數(shù)據(jù)庫(kù)中中用戶名必必須是唯一一的；IDENTIFIED：用于指明明用戶身份份認(rèn)證方式式；BYpassword：用于設(shè)置置用戶的數(shù)數(shù)據(jù)庫(kù)身份份認(rèn)證，其其中password為用戶口令令；EXTERNALLY：用于設(shè)置置用戶的外外部身份認(rèn)認(rèn)證；GLOBALLYAS'external_name'：用于設(shè)置置用戶的全全局身份認(rèn)認(rèn)證，其中中external_name為Oracle的安全管理理服務(wù)器相相關(guān)信息；DEFAULTTABLESPACE：用于設(shè)置置用戶的默默認(rèn)表空間間，如果沒(méi)沒(méi)有指定，，Oracle將數(shù)據(jù)庫(kù)默默認(rèn)表空間間作為用戶戶的默認(rèn)表表空間；TEMPORARYTABLESPACE：用于設(shè)置置用戶的臨臨時(shí)表空間間；QUOTA：用于指定定用戶在特特定表空間間上的配額額，即用戶戶在該表空空間中可以以分配的最最大空空間；PROFILE：用于為用用戶指定概概要文件，，默認(rèn)值為為DEFAULT，采用系統(tǒng)統(tǒng)默認(rèn)的概概要文件；；PASSWORDEXPIRE：用于設(shè)置置用戶口令令的初始狀狀態(tài)為過(guò)期期，用戶在在首次登錄錄數(shù)據(jù)庫(kù)時(shí)時(shí)必須修改改口令；ACCOUNTLOCK：用于設(shè)置置用戶初始始狀態(tài)為鎖鎖定，默認(rèn)認(rèn)為不鎖定定；ACCOUNTUNLOCK：用于設(shè)置置用戶初始始狀態(tài)為不不鎖定或解解除用戶的的鎖定狀態(tài)態(tài)注意在創(chuàng)建新用用戶后，必必須為用戶戶授予適當(dāng)當(dāng)?shù)臋?quán)限，，用戶才可可以進(jìn)行相相應(yīng)的數(shù)據(jù)據(jù)庫(kù)操作。。例如，授授予用戶CREATESESSION權(quán)限后，用用戶才可以以連接到數(shù)數(shù)據(jù)庫(kù)。創(chuàng)建數(shù)據(jù)庫(kù)庫(kù)用戶示例例創(chuàng)建一個(gè)用用戶user3，口令為user3，默認(rèn)表空空間為USERS，在該表空空間的配額額為10MB，初始狀態(tài)態(tài)為鎖定。。CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEUSERSQUOTA10MONUSERSACCOUNTLOCK;創(chuàng)建一個(gè)用用戶user4，口令為user4，默認(rèn)表空空間為USERS，在該表空空間的配額額為10MB?？诹钤O(shè)置置為過(guò)期狀狀態(tài)，即首首次連接數(shù)數(shù)據(jù)庫(kù)時(shí)需需要修改口口令。概要要文件為example_profile（假設(shè)該概概要文件已已經(jīng)創(chuàng)建））。CREATEUSERuser4IDENTIFIEDBYuser4DEFAULTTABLESPACEUSERSQUOTA10MONUSERSPROFILEexample_profilePASSWORDEXPIRE;基本語(yǔ)法ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];修改用戶參數(shù)說(shuō)明role_list：角色列表表；ALL：表示所有有角色；EXCEPTrole_list：表示除了了role_list列表中的角角色之外的的其他角色色；NONE：表示沒(méi)有有默認(rèn)角色色。注意，指定定的角色必必須是使用用GRANT命令直接授授予該用戶戶的角色。。修改數(shù)據(jù)庫(kù)庫(kù)用戶示例例將用戶user3的口令修改改為newuser3，同時(shí)將該該用戶解鎖鎖。ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK;修改用戶user4的默認(rèn)表空空間為ORCLTBS1，在該表空空間的配額額為20MB，在USERS表空間的配配額為10MB。ALTERUSERuser4DEFAULTTABLESPACEORCLTBS1QUOTA20MONORCLTBS1QUOTA10MONUSERS;用戶的鎖定定與解鎖某個(gè)用戶暫暫時(shí)離開(kāi)工工作某個(gè)用戶永永久離開(kāi)工工作DBA創(chuàng)建的特殊殊用戶帳戶戶示例ALTERUSERuser3ACCOUNTLOCK;ALTERUSERuser3ACCOUNTUNLOCK;刪除用戶基本語(yǔ)法DROPUSERuser_name[CASCADE];步驟先刪除用戶戶所擁有的的對(duì)象再刪除用戶戶將參照該用用戶對(duì)象的的其他數(shù)據(jù)據(jù)庫(kù)對(duì)象標(biāo)標(biāo)志為INVALID查詢用戶信信息ALL_USERS：包含數(shù)據(jù)據(jù)庫(kù)所有用用戶的用戶戶名、用戶戶ID和用戶創(chuàng)建建時(shí)間。DBA_USERS：包含數(shù)據(jù)據(jù)庫(kù)所有用用戶的詳細(xì)細(xì)信息。USER_USERS：包含當(dāng)前前用戶的詳詳細(xì)信息。。DBA_TS_QUOTAS：包含所有有用戶的表表空間配額額信息。USER_TS_QUOTAS：包含當(dāng)前前用戶的表表空間配額額信息。V$SESSION：包含用戶戶會(huì)話信息息。V$OPEN_CURSOR：包含用戶戶執(zhí)行的SQL語(yǔ)句信息。。查看數(shù)據(jù)庫(kù)庫(kù)所有用戶戶名及其默默認(rèn)表空間間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數(shù)據(jù)庫(kù)庫(kù)中各用戶戶的登錄時(shí)時(shí)間、會(huì)話話號(hào)。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;10.3權(quán)限管理權(quán)限管理概概述系統(tǒng)權(quán)限管管理對(duì)象權(quán)限管管理查詢?cè)儥?quán)權(quán)限限信信息息權(quán)限限管管理理概概述述概念念所謂謂權(quán)權(quán)限限就就是是執(zhí)執(zhí)行行特特定定類類型型SQL命令令或或訪訪問(wèn)問(wèn)其其他他用用戶戶的的對(duì)對(duì)象象的的權(quán)權(quán)利利。。用用戶戶在在數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)中中可可以以執(zhí)執(zhí)行行什什么么樣樣的的操操作作，，以以及及可可以以對(duì)對(duì)哪哪些些對(duì)對(duì)象象進(jìn)進(jìn)行行操操作作，，完完全全取取決決于于該該用用戶戶所所擁?yè)碛杏械牡臋?quán)權(quán)限限。。分類類系統(tǒng)統(tǒng)權(quán)權(quán)限限：：系系統(tǒng)統(tǒng)權(quán)權(quán)限限是是指指在在數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)級(jí)級(jí)別別執(zhí)執(zhí)行行某某種種操操作作的的權(quán)權(quán)限限，，或或針針對(duì)對(duì)某某一一類類對(duì)對(duì)象象執(zhí)執(zhí)行行某某種種操操作作的的權(quán)權(quán)限限。。例例如如，CREATESESSION權(quán)限限、、CREATEANYTABLE權(quán)限限。。對(duì)象象權(quán)權(quán)限限：：對(duì)對(duì)象象權(quán)權(quán)限限是是指指對(duì)對(duì)某某個(gè)個(gè)特特定定的的數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)對(duì)對(duì)象象執(zhí)執(zhí)行行某某種種操操作作的的權(quán)權(quán)限限。。例例如如，對(duì)對(duì)特特定定表表的的插插入入、、刪刪除除、、修修改改、、查查詢?cè)兊牡臋?quán)權(quán)限限。。授權(quán)權(quán)方方法法直接接授授權(quán)權(quán)：：利利用用GRANT命令令直直接接為為用用戶戶授授權(quán)權(quán)。。間接接授授權(quán)權(quán)：：先先將將權(quán)權(quán)限限授授予予角角色色，，然然后后再再將將角角色色授授予予用用戶戶。。系統(tǒng)統(tǒng)權(quán)權(quán)限限管管理理系統(tǒng)統(tǒng)權(quán)權(quán)限限分分類類系統(tǒng)統(tǒng)權(quán)權(quán)限限的的授授權(quán)權(quán)系統(tǒng)統(tǒng)權(quán)權(quán)限限的的回回收收（1）系系統(tǒng)統(tǒng)權(quán)權(quán)限限分分類類一類類是是對(duì)對(duì)數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)某某一一類類對(duì)對(duì)象象的的操操作作能能力力，，通通常常帶帶有有ANY關(guān)鍵鍵字字。。例例如如，，CREATEANYINDEX，ALTERANYINDEX，DROPANYINDEX。另一一類類系系統(tǒng)統(tǒng)權(quán)權(quán)限限是是數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)級(jí)級(jí)別別的的某某種種操操作作能能力力。。例例如如，，CREATESESSION。（2）系系統(tǒng)統(tǒng)權(quán)權(quán)限限的的授授權(quán)權(quán)語(yǔ)法法為為GRANTsys_priv_listTOuser_list|role_list|PUBLIC[WITHADMINOPTION];參數(shù)數(shù)說(shuō)說(shuō)明明：：sys_priv_list：表表示示系系統(tǒng)統(tǒng)權(quán)權(quán)限限列列表表，以逗逗號(hào)號(hào)分分隔隔；user_list：表表示示用用戶戶列列表表，以逗逗號(hào)號(hào)分分隔隔；role_list：表表示示角角色色列列表表，，以以逗逗號(hào)號(hào)分分隔隔；；PUBLIC：表表示示對(duì)對(duì)系系統(tǒng)統(tǒng)中中所所有有用用戶戶授授權(quán)權(quán)；；WITHADMINOPTION：表表示示允允許許系系統(tǒng)統(tǒng)權(quán)權(quán)限限接接收收者者再再把把此此權(quán)權(quán)限限授授予予其其他他用用戶戶。。系統(tǒng)統(tǒng)權(quán)權(quán)限限授授予予時(shí)時(shí)需需要要注注意意的的幾幾點(diǎn)點(diǎn)：：只有有DBA才應(yīng)應(yīng)當(dāng)當(dāng)擁?yè)碛杏蠥LTERDATABASE系統(tǒng)統(tǒng)權(quán)權(quán)限限。。應(yīng)用用程程序序開(kāi)開(kāi)發(fā)發(fā)者者一一般般需需要要擁?yè)碛杏蠧REATETABLE、CREATEVIEW和CREATEINDEX等系系統(tǒng)統(tǒng)權(quán)權(quán)限限。。普通通用用戶戶一一般般只只具具有有CREATESESSION系統(tǒng)統(tǒng)權(quán)權(quán)限限。。只有有授授權(quán)權(quán)時(shí)時(shí)帶帶有有WITHADMINOPTION子句句時(shí)時(shí)，，用用戶戶才才可可以以將將獲獲得得的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限再再授授予予其其他他用用戶戶，，即即系系統(tǒng)統(tǒng)權(quán)權(quán)限限的的傳傳遞遞性性。。為PUBLIC用戶戶組組授授予予CREATESESSION系統(tǒng)統(tǒng)權(quán)權(quán)限限。。GRANTCREATESESSIONTOPUBLIC;為用戶user1授予CREATESESSION，CREATETABLE，CREATEINDEX系統(tǒng)權(quán)限。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser1;為用戶user2授予CREATESESSION，CREATETABLE，CREATEINDEX系統(tǒng)權(quán)限。user2獲得權(quán)限后，，為用戶user3授予CREATETABLE權(quán)限。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser2WITHADMINOPTION;CONNECTuser2/user2@ORCLGRANTCREATETABLETOuser3;語(yǔ)法為REVOKEsys_priv_listFROMuser_list|role_list|PUBLIC;;注意事項(xiàng)多個(gè)管理員授授予用戶同一一個(gè)系統(tǒng)權(quán)限限后，其中一一個(gè)管理員回回收其授予該該用戶的系統(tǒng)統(tǒng)權(quán)限時(shí)，該該用戶將不再再擁有相應(yīng)的的系統(tǒng)權(quán)限。。為了回收用戶戶系統(tǒng)權(quán)限的的傳遞性（授授權(quán)時(shí)使用了了WITHADMINOPTION子句），必須須先回收其系系統(tǒng)權(quán)限，然然后再授予其其相應(yīng)的系統(tǒng)統(tǒng)權(quán)限。如果一個(gè)用戶戶獲得的系統(tǒng)統(tǒng)權(quán)限具有傳傳遞性，并且且給其他用戶戶授權(quán)，那么么該用戶系統(tǒng)統(tǒng)權(quán)限被回收收后，其他用用戶的系統(tǒng)權(quán)權(quán)限并不受影影響。（3）系統(tǒng)權(quán)限的的回收10.3對(duì)象權(quán)限管理理對(duì)象權(quán)限分類類對(duì)象權(quán)限的授授權(quán)對(duì)象權(quán)限的回回收（1）對(duì)象權(quán)限分分類在Oracle數(shù)據(jù)庫(kù)中共有有9種類型的對(duì)象象權(quán)限，不同同類型的模式式對(duì)象有不同同的對(duì)象權(quán)限限，而有的對(duì)對(duì)象并沒(méi)有對(duì)對(duì)象權(quán)限，只只能通過(guò)系統(tǒng)統(tǒng)權(quán)限進(jìn)行控控制，如簇、、索引、觸發(fā)發(fā)器、數(shù)據(jù)庫(kù)庫(kù)鏈接等。對(duì)象權(quán)限適合對(duì)象對(duì)象權(quán)限功能說(shuō)明SELECT表、視圖、序列查詢數(shù)據(jù)操作UPDATE表、視圖更新數(shù)據(jù)操作DELETE表、視圖刪除數(shù)據(jù)操作INSERT表、視圖插入數(shù)據(jù)操作REFERENCES表在其他表中創(chuàng)建外鍵時(shí)可以引用該表EXECUTE存儲(chǔ)過(guò)程、函數(shù)、包執(zhí)行PL/SQL存儲(chǔ)過(guò)程、函數(shù)和包READ目錄讀取目錄ALTER表、序列修改表或序列結(jié)構(gòu)INDEX表為表創(chuàng)建索引ALL具有對(duì)象權(quán)限的所有模式對(duì)象某個(gè)對(duì)象所有對(duì)象權(quán)限操作集合（2）對(duì)象權(quán)限的的授權(quán)語(yǔ)法GRANTobj_priv_list|ALLON[schema.]objectTOuser_list|role_list[WITHGRANTOPTION];參數(shù)說(shuō)明obj_priv_list：表示對(duì)象權(quán)權(quán)限列表，以以逗號(hào)分隔；；[schema.]object：表示指定的的模式對(duì)象，，默認(rèn)為當(dāng)前前模式中的對(duì)對(duì)象；user_list：表示用戶列列表，以逗號(hào)號(hào)分隔；role_list：表示角色列列表，以逗號(hào)號(hào)分隔；WITHGRANTOPTION：表示允許對(duì)對(duì)象權(quán)限接收收者把此對(duì)象象權(quán)限授予其其他用戶。將scott模式下的emp表的SELECT，UPDATE，INSERT權(quán)限授予user1用戶。GRANTSELECT,INSERT,UPDATEONscott.empTOuser1;將scott模式下的emp表的SELECT，UPDATE，INSERT權(quán)限授予user2用戶。user2用戶再將emp表的SELECT，UPDATE權(quán)限授予user3用戶。GRANTSELECT,INSERT,UPDATEONscott.empTOuser2WITHGRANTOPTION;CONNECTuser2/user2@ORCLGRANTSELECT,UPDATEONscott.empTOuser3;語(yǔ)法REVOKEobj_priv_list|ALLON[schema.]objectFROMuser_list|role_list;注意事項(xiàng)多個(gè)管理員授授予用戶同一一個(gè)對(duì)象權(quán)限限后，其中一一個(gè)管理員回回收其授予該該用戶的對(duì)象象權(quán)限時(shí)，該該用戶不再擁?yè)碛邢鄳?yīng)的對(duì)對(duì)象權(quán)限。為了回收用戶戶對(duì)象權(quán)限的的傳遞性（授授權(quán)時(shí)使用了了WITHGRANTOPTION子句），必須須先回收其對(duì)對(duì)象權(quán)限，然然后再授予其其相應(yīng)的對(duì)象象權(quán)限。如果一個(gè)用戶戶獲得的對(duì)象象權(quán)限具有傳傳遞性（授權(quán)權(quán)時(shí)使用了WITHGRANTOPTION子句），并且且給其他用戶戶授權(quán)，那么么該用戶的對(duì)對(duì)象權(quán)限被回回收后，其他他用戶的對(duì)象象權(quán)限也被回回收。（3）對(duì)象權(quán)限的的回收WITHADMINOPTION當(dāng)甲用戶授權(quán)權(quán)給乙用戶，，且激活該選選項(xiàng)，則被授授權(quán)的乙用戶戶具有管理該該權(quán)限的能力力：或者能把把得到的權(quán)限限再授給其他他用戶丙，或或者能回收授授出去的權(quán)限限。當(dāng)甲用戶收回回乙用戶的權(quán)權(quán)限后，乙用用戶曾經(jīng)授給給丙用戶的權(quán)權(quán)限仍然存在在與WITHGRANTOPTION比較當(dāng)甲用戶授權(quán)權(quán)給乙用戶，，且激活該選選項(xiàng)，則被授授權(quán)的乙用戶戶具有管理該該權(quán)限的能力力：或者能把把得到的權(quán)限限再授給其他他用戶丙，或或者能回收授授出去的權(quán)限限。當(dāng)甲用戶收回回乙用戶的權(quán)權(quán)限后，乙用用戶曾經(jīng)授給給丙用戶的權(quán)權(quán)限也被回收收。WITHADMINOPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAGRANTREVOKEWITHGRANTOPTIONBobJeffEmiEmiJeffBob查詢權(quán)限信息息DBA_TAB_PRIVS：包含數(shù)據(jù)庫(kù)所所有對(duì)象的授授權(quán)信息ALL_TAB_PRIVS：包含數(shù)據(jù)庫(kù)所所有用戶和PUBLIC用戶組的對(duì)象象授權(quán)信息USER_TAB_PRIVS：包含當(dāng)前用戶戶對(duì)象的授權(quán)權(quán)信息DBA_COL_PRIVS：包含所有字段段已授予的對(duì)對(duì)象權(quán)限ALL_COL_PRIVS：包含所有字段段已授予的對(duì)對(duì)象權(quán)限信息息USER_COL_PRIVS：包含當(dāng)前用戶戶所有字段已已授予的對(duì)象象權(quán)限信息。。DBA_SYS_PRIVS：包含授予用用戶或角色的的系統(tǒng)權(quán)限信信息USER_SYS_PRIVS：包含授予當(dāng)當(dāng)前用戶的系系統(tǒng)權(quán)限信。。10.4角色管理Oracle數(shù)據(jù)庫(kù)角色概概述預(yù)定義角色自定義角色利用角色進(jìn)行行權(quán)限管理查詢角色信息息10.4.1Oracle數(shù)據(jù)庫(kù)角色概概述角色的概念所謂角色就是是一系列相關(guān)關(guān)權(quán)限的集合合預(yù)定義角色預(yù)定義角色概概述預(yù)定義角色是是指在Oracle數(shù)據(jù)庫(kù)創(chuàng)建時(shí)時(shí)由系統(tǒng)自動(dòng)動(dòng)創(chuàng)建的一些些常用的角色色，這些角色色已經(jīng)由系統(tǒng)統(tǒng)授予了相應(yīng)應(yīng)的權(quán)限。DBA可以直接利用用預(yù)定義的角角色為用戶授授權(quán)，也可以以修改預(yù)定義義角色的權(quán)限限。Oracle數(shù)據(jù)庫(kù)中有30多個(gè)預(yù)定義角角色?？梢酝ㄟ^(guò)數(shù)據(jù)據(jù)字典視圖DBA_ROLES查詢當(dāng)前數(shù)據(jù)據(jù)庫(kù)中所有的的預(yù)定義角色色，通過(guò)DBA_SYS_PRIVS查詢各個(gè)預(yù)定定義角色所具具有的系統(tǒng)權(quán)權(quán)限。角色角色具有的部分權(quán)限CONNECTCREATESESSIONRESOURCECREATECLUSTER，CREATEOPERATOR，CREATETRIGGER，CREATETYPE，CREATESEQUENCE，CREATEINDEXTYPE，CREATEPROCEDURE，CREATETABLEDBAADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATE…，CREATEANY…，ALTER…，ALTERANY…，DROP…，DROPANY…，EXECUTE…，EXECUTEANY…EXP_FULL_DATABASEADMINISTERRESOURCEMANAGE，BACKUPANYTABLE，EXECUTEANYPROCEDURE，SELECTANYTABLE，EXECUTEANYTYPEIMP_FULL_DATABASEADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATEANY…，ALTERANY…，DROP…，DROPANY…，EXECUTEANY…自定義角色創(chuàng)建角色角色權(quán)限的授授予與回收修改角色角色的生效與與失效刪除角色（1）創(chuàng)建角色語(yǔ)法為CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword];參數(shù)說(shuō)明role_name：用于指定自自定義角色名名稱，該名稱稱不能與任何何用戶名或其其他角色相同同；NOTIDENTIFIED：用于指定該該角色由數(shù)據(jù)據(jù)庫(kù)授權(quán)，使使該角色生效效時(shí)不需要口口令；IDENTIFIEDBYpassword：用于設(shè)置角角色生效時(shí)的的認(rèn)證口令。。例如，創(chuàng)建不不同類型的角角色。CREATEROLEhigh_manager_role;CREATEROLEmiddle_manager_roleIDENTIFIEDBYmiddlerole;CREATEROLElow_manager_roleIDENTIFIEDBYlowrole;（2）角色權(quán)限的的授予與回收收說(shuō)明給角色授予適適當(dāng)?shù)南到y(tǒng)權(quán)權(quán)限、對(duì)象權(quán)權(quán)限或已有角角色。在數(shù)據(jù)庫(kù)運(yùn)行行過(guò)程中，可可以為角色增增加權(quán)限，也也可以回收其其權(quán)限。給角色授權(quán)時(shí)時(shí)應(yīng)該注意，，一個(gè)角色可可以被授予另另一個(gè)角色，，但不能授予予其本身，不不能產(chǎn)生循環(huán)環(huán)授權(quán)。示例GRANTCONNECT,CREATETABLE,CREATEVIEWTOlow_manager_role;GRANTCONNECT,CREATETABLE,CREATEVIEWTOmiddle_manager_role;GRANTCONNECT,RESOURCE,DBATOhigh_manager_role;GRANTSELECT,UPDATE,INSERT,DELETEONscott.empTOhigh_manager_role;REVOKECONNECTFROMlow_manager_role;REVOKECREATETABLE,CREATEVIEWFROMmiddle_manager_role;REVOKEUPDATE,DELETE,INSERTONscott.empFROMhigh_manager_role;（3）修改改角色色概念修改角角色是是指修修改角角色生生效或或失效效時(shí)的的認(rèn)證證方式式，也也就是是說(shuō)，，是否否必須須經(jīng)過(guò)過(guò)Oracle確認(rèn)才才允許許對(duì)角角色進(jìn)進(jìn)行修修改。。修改角角色的的語(yǔ)法法ALTERROLErole_name[NOTIDENTIFIED]|[IDENTIFIEDBYpassword]；示例ALTERROLEhigh_manager_roleIDENTIFIEDBYhighrole;ALTERROLEmiddle_manager_roleNOTIDENTIFIED;（4）角色色的生生效與與失效效概念所謂角角色的的失效效是指指角色色暫時(shí)時(shí)不可可用。。當(dāng)一一個(gè)角角色生生效或或失效效時(shí)，，用戶戶從角角色中中獲得得的權(quán)權(quán)限也也生效效或失失效。。因此此，通通過(guò)設(shè)設(shè)置角角色的的生效效或失失效，，可以以動(dòng)態(tài)態(tài)改變變用戶戶的權(quán)權(quán)限。。在進(jìn)行行角色色生效效或失失效設(shè)設(shè)置時(shí)時(shí)，需需要輸輸入角角色的的認(rèn)證證口令令，避避免非非法設(shè)設(shè)置。。語(yǔ)法SETROLE[role_name[IDENTIFIEDBYpassword]]|[ALL[EXCEPTrole_name]]|[NONE];參數(shù)說(shuō)說(shuō)明role_name：表示進(jìn)進(jìn)行生生效或或失效效設(shè)置置的角角色名名稱；IDENTIFIEDBYpassword：用于設(shè)設(shè)置角角色生生效或或失效效時(shí)的的認(rèn)證證口令令；ALL：表示示使當(dāng)當(dāng)前用用戶所所有角角色生生效；；EXCEPTrole_name：表示除除了特特定角角色外外，其余所所有角角色生生效；NONE：表示示使當(dāng)當(dāng)前用用戶所所有角角色失失效。。示例SETROLENONE;SETROLEhigh_manager_roleIDENTIFIEDBYhighrole;SETROLEmiddle_manager_role,low_manager_lowIDENTIFIEDBYlowrole;SETROLEALLEXCEPTlow_manager_role,middle_manager_role;（5）刪除除角色色語(yǔ)法結(jié)結(jié)構(gòu)DROPROLErole_name;說(shuō)明如果某某個(gè)角角色不不再需需要，，則可可以使使用DROPROLE語(yǔ)句刪刪除角角色。。角色色被刪刪除后后，用用戶通通過(guò)該該角色色獲得得的權(quán)權(quán)限被被回收收。利用角角色進(jìn)進(jìn)行權(quán)權(quán)限管管理給用戶戶或角角色授授予角角色從用戶戶或角角色回回收角角色用戶角角色的的激活活或屏屏蔽（1）給用用戶或或角色色授予予角色色語(yǔ)法GRANTrole_listTOuser_list|role_list；例如，，將CONNECT，high_manager_role角色授授予用用戶user1，將RESOURCE，CONNECT角色授授予角角色middle_manager_role。GRANTCONNECT,high_manager_roleTOuser1;GRANTRESOURCE,CONNECTTOmiddle_manager_role;（2）從用用戶或或角色色回收收角色色語(yǔ)法為為REVOKErole_listFROMuser_list|role_list；例如，，回收收角色色middle_manager_role的RESOURCE，CONNECT角色。。SQL>REVOKERESOURCE,CONNECTFROMmiddle_manager_role;（3）用戶戶角色色的激激活或或屏蔽蔽語(yǔ)法為為ALTERUSERuser_nameDEFAULTROLE[role_name]|[ALL[EXCEPTrole_name]]|[NONE];示例ALTERUSERuser1DEFAULTROLENONE;ALTERUSERuser1DEFAULTROLECONNECT,DBA;ALTERUSERuser1DEFAULTROLEALL;ALTERUSERuser1DEFAULTROLEALLEXCEPTDBA;查詢角角色信信息DBA_ROLES：包含數(shù)數(shù)據(jù)庫(kù)庫(kù)中所所有角角色及及其描描述；DBA_ROLE_PRIVS：包含為為數(shù)據(jù)據(jù)庫(kù)中中所有有用戶戶和角角色授授予的的角色色信息息；USER_ROLE_PRIVS：包含為當(dāng)當(dāng)前用戶授授予的角色色信息；ROLE_ROLE_PRIVS：為角色授授予的角色色信息；ROLE_SYS_PRIVS：為角色授授予的系統(tǒng)統(tǒng)權(quán)限信息息；ROLE_TAB_PRIVS：為角色授授予的對(duì)象象權(quán)限信息息；SESSION_PRIVS：當(dāng)前會(huì)話話所具有的的系統(tǒng)權(quán)限限信息；SESSION_ROLES：當(dāng)前會(huì)話話所具有的的角色信息息。。查詢角色CONNECT所具有的系系統(tǒng)權(quán)限信信息。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授予予的角色信信息。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';10.5概要文件管管理概要文件概概述概要文件中中參數(shù)介紹紹概要文件的的管理概要文件概概述概要文件的的作用資源限制級(jí)級(jí)別和類型型啟用或停用用資源限制制（1）概要文件件的作用概要文件（（PROFILE）是數(shù)據(jù)庫(kù)庫(kù)和系統(tǒng)資資源限制的的集合，是是Oracle數(shù)據(jù)庫(kù)安全全策略的重重要組成部部分。利用概要文文件，可以以限制用戶戶對(duì)數(shù)據(jù)庫(kù)庫(kù)和系統(tǒng)資資源的使用用，同時(shí)還還可以對(duì)用用戶口令進(jìn)進(jìn)行管理。。。在Oracle數(shù)據(jù)庫(kù)創(chuàng)建建的同時(shí)，，系統(tǒng)會(huì)創(chuàng)創(chuàng)建一個(gè)名名為DEFAULT的默認(rèn)概要要文件。如如果沒(méi)有為為用戶顯式式地指定一一個(gè)概要文文件，系統(tǒng)統(tǒng)默認(rèn)將DEFAULT概要文件作作為用戶的的概要文件件。（2）資源限制制級(jí)別和類類型資源限制級(jí)級(jí)別會(huì)話級(jí)資源源限制：對(duì)對(duì)用戶在一一個(gè)會(huì)話過(guò)過(guò)程中所能能使用的資資源進(jìn)行限限制。調(diào)用級(jí)資源源限制：對(duì)對(duì)一條SQL語(yǔ)句在執(zhí)行行過(guò)程中所所能使用的的資源進(jìn)行行限制。資源限制類類型CPU使用時(shí)間；邏輯讀；每個(gè)用戶的的并發(fā)會(huì)話話數(shù)；用戶連接數(shù)數(shù)據(jù)庫(kù)的空空閑時(shí)間；用戶連接數(shù)數(shù)據(jù)庫(kù)的時(shí)時(shí)間；私有SQL區(qū)和PL/SQL區(qū)的使用。。（3）啟用或停停用資源限限制在數(shù)據(jù)庫(kù)啟啟動(dòng)前啟用用或停用資資源限制將數(shù)據(jù)庫(kù)初初始化參數(shù)數(shù)文件中的的參數(shù)RESOURCE_LIMIT的值設(shè)置為為TRUE或FALSE（默認(rèn)），，來(lái)啟用或或停用系統(tǒng)統(tǒng)資源限制制。在數(shù)據(jù)庫(kù)啟啟動(dòng)后啟用用或停用資資源限制使用ALTERSYSTEM語(yǔ)句修改RESOURCE_LIMIT的參數(shù)值為為TRUE或FALSE，來(lái)啟動(dòng)或或關(guān)閉系統(tǒng)統(tǒng)資源限制制。ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;概要文件中中參數(shù)資源限制參參數(shù)口令管理參參數(shù)（1）資源限制制參數(shù)CPU_PER_SESSION：限制用戶戶在一次會(huì)會(huì)話期間可可以占用的的CPU時(shí)間總量，，單位為百百分之一秒秒。當(dāng)達(dá)到到該時(shí)間限限制后，用用戶就不能能在會(huì)話中中執(zhí)行任何何操作了，，必須斷開(kāi)開(kāi)連接，然然后重新建建立連接。。CPU_PER_CALL：限制每個(gè)個(gè)調(diào)用可以以占用的CPU時(shí)間總量，，單位為百百分之一秒秒。當(dāng)一個(gè)個(gè)SQL語(yǔ)句執(zhí)行時(shí)時(shí)間達(dá)到該該限制后，，該語(yǔ)句以以錯(cuò)誤信息息結(jié)束。CONNECT_TIME：限制每個(gè)個(gè)會(huì)話可持持續(xù)的最大大時(shí)間值，，單位為分分鐘。當(dāng)數(shù)數(shù)據(jù)庫(kù)連接接持續(xù)時(shí)間間超出該設(shè)設(shè)置時(shí)，連連接被斷開(kāi)開(kāi)。IDLE_TIME：限制每個(gè)個(gè)會(huì)話處于于連續(xù)空閑閑狀態(tài)的最最大時(shí)間值值，單位為為分鐘。當(dāng)當(dāng)會(huì)話空閑閑時(shí)間超過(guò)過(guò)該設(shè)置時(shí)時(shí)，連接被被斷開(kāi)。SESSIONS_PER_USER：限制一個(gè)個(gè)用戶打開(kāi)開(kāi)數(shù)據(jù)庫(kù)會(huì)會(huì)話的最大大數(shù)量。LOGICAL_READS_PER_SESSION：允許一個(gè)個(gè)會(huì)話讀取取數(shù)據(jù)塊的的最大數(shù)量量，包括從從內(nèi)存中讀讀取的數(shù)據(jù)據(jù)塊和從磁磁盤中讀取取的數(shù)據(jù)塊塊的總和。。LOGICAL_READS_PER_CALL：允許一個(gè)個(gè)調(diào)用讀取取的數(shù)據(jù)塊塊的最大數(shù)數(shù)量，包括括從內(nèi)存中中讀取的數(shù)數(shù)據(jù)塊和從從磁盤中讀讀取的數(shù)據(jù)據(jù)塊的總和和。PRIVATE_SGA：在共享服服務(wù)器操作作模式中，，執(zhí)行SQL語(yǔ)句或PL/SQL程序時(shí)，Oracle將在SGA中創(chuàng)建私有有SQL區(qū)。該參數(shù)數(shù)限制在SGA中一個(gè)會(huì)話話可分配私私有SQL區(qū)的最大值值。COMPOSITE_LIMIT：稱為“綜合資源限限制”，是一個(gè)用用戶會(huì)話可可以消耗的的資源總限限額。該參參數(shù)由CPU_PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_TIME幾個(gè)參數(shù)綜綜合決定。。（2）口令管理理參數(shù)FAILED_LOGIN_ATTEMPTS：限制用戶戶在登錄Oracle數(shù)據(jù)庫(kù)時(shí)允允許失敗的的次數(shù)。一一個(gè)用戶嘗嘗試登錄數(shù)數(shù)據(jù)庫(kù)的次次數(shù)達(dá)到該該值時(shí)，該該用戶的賬賬戶將被鎖鎖定，只有有解鎖后才才可以繼續(xù)續(xù)使用。PASSWORD_LOCK_TIME：設(shè)定當(dāng)用用戶登錄失失敗后，用用戶賬戶被被鎖定的時(shí)時(shí)間長(zhǎng)度。。PASSWORD_LIFE_TIME：設(shè)置用戶戶口令的有有效天數(shù)。。達(dá)到限制制的天數(shù)后后，該口令令將過(guò)期，，需要設(shè)置置新口令。。PASSWORD_GRACE_TIME：用于設(shè)定定提示口令令過(guò)期的天天數(shù)。在這這幾天中，，用戶將接接收到一個(gè)個(gè)關(guān)于口令令過(guò)期需要要修改口令令的警告。。當(dāng)達(dá)到規(guī)規(guī)定的天數(shù)數(shù)后，原口口令過(guò)期。。PASSWORD_REUSE_TIME：指定一個(gè)個(gè)用戶口令令被修改后后，必須經(jīng)經(jīng)過(guò)多少天天后才可以以重新使用用該口令。。PASSWORD_REUSE_MAX：指定一個(gè)個(gè)口令被重重新使用前前，必須經(jīng)經(jīng)過(guò)多少次次修改。PASSWORD_VERIFY_FUNCTION：設(shè)置口令令復(fù)雜性校校驗(yàn)函數(shù)。。該函數(shù)會(huì)會(huì)對(duì)口令進(jìn)進(jìn)行校驗(yàn)，，以判斷口口令是否符符合最低復(fù)復(fù)雜程度或或其他校驗(yàn)驗(yàn)規(guī)則。概要文件管管理創(chuàng)建概要文文件將概要文件件分配給用用戶修改概要文文件刪除概要文文件查詢概要文文件（1）創(chuàng)建概要要文件語(yǔ)法為CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters;參數(shù)說(shuō)明如如下。profile_name：用于指定定要?jiǎng)?chuàng)建的的概要文件件名稱；resource_parameter：用于設(shè)置置資源限制制參數(shù)，形形式為resource_parameter_nameinteger|UNLIMITED|DEFALUTpassword_parameters：用于設(shè)置置口令參數(shù)數(shù)，形式為為password_parameter_nameinteger|UNLIMITED|DEFALUT創(chuàng)建一個(gè)名名為res_profile的概要文件件，要求每每個(gè)用戶最最多可以創(chuàng)創(chuàng)建4個(gè)并發(fā)會(huì)話話；每個(gè)會(huì)會(huì)話持續(xù)時(shí)時(shí)間最長(zhǎng)為為60分鐘；如果果會(huì)話在連連續(xù)20分鐘內(nèi)空閑閑，則結(jié)束束會(huì)話；每每個(gè)會(huì)話的的私有SQL區(qū)為100KB；每個(gè)SQL語(yǔ)句占用CPU時(shí)間總量不不超過(guò)10秒。CREATEPROFILEres_profileLIMITSESSIONS_PER_USER4CONNECT_TIME60IDLE_TIME20PRIVATE_SGA100KCPU_PER_CALL100;創(chuàng)建一個(gè)名名為pwd_profile的概要文件件，如果用用戶連續(xù)4次登錄失敗敗，則鎖定定該賬戶，，10天后該賬戶戶自動(dòng)解鎖鎖。CREATEPROFILEpwd_profileLIMITFAILED_LOGIN_ATTEMPTS4PASSWORD_LOCK_TIME10；（2）將概要文文件分配給給用戶可以在創(chuàng)建建用戶時(shí)為為用戶指定定概要文件件CREATEUSERuser5IDENTIFIEDBYuser5PROFILEres_profile;也可以在修修改用戶時(shí)時(shí)為用戶指指定概要文文件。ALTERUSERuser5PROFILEpwd_profile;（3）修改概要要文件語(yǔ)法為ALTERPROFILEprofile_nameLIMITresource_parameters|password_parameters;注意對(duì)概要文件件的修改只只有在用戶戶開(kāi)始一個(gè)個(gè)新的會(huì)話話時(shí)才會(huì)生生效。修改pwd_profile概要文件，，將用戶口口令有效期期設(shè)置為10天。ALTERPROFILEpwd_profileLIMITPASSWORD_LIFE_TIME10;（4）刪除概要要文件語(yǔ)法DROPPROFILEprofile_name[CASCADE];注意如果要?jiǎng)h除除的概要文文件已經(jīng)指指定給用戶戶，則必須須在DROPPROFILE語(yǔ)句中使用用