網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述

第3章

網(wǎng)絡(luò)連接配置與系統(tǒng)安全

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第1頁OracleNet主要功效是在系統(tǒng)中計算機之間建立網(wǎng)絡(luò)會話和傳輸數(shù)據(jù)客戶機和服務(wù)器之間兩個服務(wù)器之間配置程序早期版本：OracleSQLNet/Net8EasyConfig9i/10g：NetConfigurationAssistantNetManagerOracleNet是Oracle網(wǎng)絡(luò)產(chǎn)品基礎(chǔ)，為實現(xiàn)分布式計算和各軟件工具集成提供支持3.1OracleNet網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第2頁經(jīng)典C/S結(jié)構(gòu)系統(tǒng)

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第3頁是駐留在服務(wù)器上一個獨立進程能夠監(jiān)聽指定端口上使用指定網(wǎng)絡(luò)連接協(xié)議連接請求監(jiān)聽進程接收網(wǎng)絡(luò)中客戶機連接請求并管理傳送到服務(wù)器這些請求通信監(jiān)聽程序配置文件：listener.ora1.監(jiān)聽程序

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第4頁當(dāng)?shù)毓芾砟Ｊ竭B接信息存放在網(wǎng)絡(luò)內(nèi)每臺計算機tnsnames.ora文件中2.OracleNet客戶端配置模式集中管理模式連接信息集中存放在目錄服務(wù)器或Oracle名稱服務(wù)器中網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第5頁服務(wù)器進程作為監(jiān)聽程序與數(shù)據(jù)庫服務(wù)器之間連接，并代理用戶與數(shù)據(jù)庫服務(wù)器交互3.服務(wù)器進程服務(wù)器進程能夠配置為兩種模式專用服務(wù)器模式共享服務(wù)器模式網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第6頁4.OracleNet工作原理網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第7頁5.關(guān)于全局?jǐn)?shù)據(jù)庫名在一個分布式環(huán)境中，多個Oracle數(shù)據(jù)庫可能有相同數(shù)據(jù)庫名稱，此時需要使用全局?jǐn)?shù)據(jù)庫名方便進行區(qū)分由數(shù)據(jù)庫名db_name和數(shù)據(jù)庫域名db_domain兩個初始化參數(shù)標(biāo)識全局?jǐn)?shù)據(jù)庫名全局?jǐn)?shù)據(jù)庫名在監(jiān)聽程序配置文件listener.ora中表示為GLOBAL_DBNAMEGLOBAL_DBNAME標(biāo)示全局?jǐn)?shù)據(jù)庫名格式為：數(shù)據(jù)庫名.數(shù)據(jù)庫域名網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第8頁

需要為每一個數(shù)據(jù)庫例程配置監(jiān)聽信息才能接收到來自客戶機請求

6.服務(wù)器監(jiān)聽程序配置監(jiān)聽程序配置信息包含監(jiān)聽協(xié)議地址支持服務(wù)信息控制服務(wù)器進程運行特征參數(shù)監(jiān)聽程序配置不妥或沒有開啟監(jiān)聽進程時，客戶計算機將不能連接到Oracle服務(wù)器網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第9頁7.OracleNet客戶端配置需要為客戶端應(yīng)用程序配置連接到服務(wù)器端Oracle數(shù)據(jù)庫服務(wù)方法當(dāng)?shù)豊et服務(wù)名（主機字符串）是一個描述符，描述了要連接Oracle服務(wù)器和其中Oracle數(shù)據(jù)庫例程經(jīng)典配置是在客戶計算機中建立保留“當(dāng)?shù)豊et服務(wù)名”文件?？蛻魴C端OracleNet經(jīng)過該文件來解析Oracle網(wǎng)絡(luò)服務(wù)信息網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第10頁7.OracleNet客戶端配置主要關(guān)鍵字ADDRESS:采取網(wǎng)絡(luò)協(xié)議和目標(biāo)主機地址、監(jiān)聽端口SERVICE_NAME:目標(biāo)服務(wù)器中數(shù)據(jù)庫例程名稱普通對應(yīng)listener.ora中GLOBAL_DBNAMESERVER：服務(wù)器進程工作模式SERVER=DEDICATED，專用服務(wù)器模式SERVER=SHARED，共享服務(wù)器模式ORACLE_HOME\NETWORK\ADMIN\tnsnames.ora可手工配置或用工具完成配置網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第11頁7.OracleNet客戶端配置怎樣完成客戶端配置提議使用NetConfigurationAssistant完成配置可手工修改配置也可使用應(yīng)用程序安裝程序經(jīng)過選擇服務(wù)器、指定數(shù)據(jù)庫名等用程序生成配置文件客戶端配置注意事項配置完成后應(yīng)進行登錄連接測試確保配置正確確保操作系統(tǒng)層正確配置了相關(guān)通信協(xié)議確保配置服務(wù)器監(jiān)聽程序監(jiān)聽了要使用通信協(xié)議網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第12頁7.OracleNet客戶端配置OracleNet支持命名方法當(dāng)?shù)孛═NSNAMES）目錄命名（LDAP）主機命名（HOSTNAME）輕松連接命名（EZCONNECT）客戶端配置概要文件指定客戶機所所要連接服務(wù)名解析方法及優(yōu)先次序（從左至右，左邊優(yōu)先）ORACLE_HOME\NETWORK\ADMIN\sqlnet.ora手工配置網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第13頁Oracle提供用戶、角色、同義詞、視圖、系統(tǒng)特權(quán)與對象權(quán)限、概要文件等確保Oracle數(shù)據(jù)庫系統(tǒng)及其中數(shù)據(jù)安全。3.2系統(tǒng)與對象權(quán)限管理數(shù)據(jù)庫系統(tǒng)及其中對象訪問權(quán)限普通應(yīng)由數(shù)據(jù)庫系統(tǒng)管理員（DBA）進行統(tǒng)一管理網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第14頁Oracle數(shù)據(jù)庫用戶權(quán)限分類對象權(quán)限允許用戶執(zhí)行對指定對象（包含表、視圖、序列、過程、函數(shù)和包）特定操作。如將數(shù)據(jù)插入到某個表中、允許檢索某個表中數(shù)據(jù)等系統(tǒng)特權(quán)允許用戶執(zhí)行特定系統(tǒng)級操作或在特定對象類型上執(zhí)行特定操作。如創(chuàng)建表空間、創(chuàng)建表等列訪問權(quán)限限定用戶只能在某個表一些列上執(zhí)行INSERT、UPDATE操作或參考引用（REFERENCES）一些列網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第15頁1.系統(tǒng)特權(quán)CONNECT特權(quán)角色用戶是權(quán)限最低用戶。權(quán)限以下：Oracle數(shù)據(jù)庫為了簡化對系統(tǒng)特權(quán)管理，創(chuàng)建了CONNECT、RESOURCE和DBA三個經(jīng)典特權(quán)角色登錄到Oracle數(shù)據(jù)庫和修改口令對自己表執(zhí)行查詢、刪除、修改和插入查詢經(jīng)過授權(quán)其它用戶表和視圖數(shù)據(jù)插入、修改、刪除經(jīng)過授權(quán)其它用戶表創(chuàng)建自己擁有表視圖、同義詞完成經(jīng)過授權(quán)基于表或用戶數(shù)據(jù)卸載網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第16頁1.系統(tǒng)特權(quán)RESOURCE特權(quán)角色除了含有CONNECT特權(quán)角色全部權(quán)限外，還能夠進行以下操作：創(chuàng)建基表、視圖、索引、聚簇和序列授予和回收其它用戶對其數(shù)據(jù)庫對象存取特權(quán)對自己擁有表、索引、聚簇等數(shù)據(jù)庫對象存取活動進行審計DBA特權(quán)角色是系統(tǒng)中最高級別特權(quán)角色，可執(zhí)行創(chuàng)建用戶、導(dǎo)出系統(tǒng)數(shù)據(jù)等特權(quán)操作網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第17頁1.系統(tǒng)特權(quán)提議用CREATESESSION系統(tǒng)特權(quán)代替CONNECT特權(quán)角色用CREATETABLE、CREATEPROCEDURE、CREATETRIGGER等詳細(xì)系統(tǒng)特權(quán)來代替RESOURCE特權(quán)角色用SYSOPER和SYSDBA代替DBA特權(quán)角色慎用DBA特權(quán)角色網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第18頁1.系統(tǒng)特權(quán)SYSDBA是系統(tǒng)中級別最高權(quán)限擁有STARTUP，SHUTDOWN，ALTERDATABASE，CREATEDATABASE，CREATESPFILE，ARCHIVELOG，RECOVERY和RESTRICTEDSESSION等系統(tǒng)特權(quán)該特權(quán)身份登錄系統(tǒng)時實際上相當(dāng)于以SYS用戶登錄數(shù)據(jù)庫系統(tǒng)特權(quán)大多以CREATE、ALTER、DROP、SELECT、INSERT、UPDATE、DELETE等DDL或DML語句字眼開頭，代表用戶能在系統(tǒng)中執(zhí)行操作網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第19頁1.系統(tǒng)特權(quán)SYSOPER能執(zhí)行STARTUP，SHUTDOWN，CREATESPFILE，ALTERDATABASEOPEN/MOUNT/BACKUP，ARCHIVELOG和RECOVERY，RESTRICTEDSESSION等系統(tǒng)特權(quán)操作DBA身份用戶能夠訪問DBA_SYS_PRIVS視圖查看授予用戶系統(tǒng)特權(quán)信息普通用戶能夠訪問用戶視圖USER_SYS_PRIVS查看自己取得系統(tǒng)特權(quán)例3.1

查看用戶含有系統(tǒng)特權(quán)。EXA_03_01.SQL

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第20頁2.對象權(quán)限共有9種對象權(quán)限插入（INSERT）刪除（DELETE）更新（UPDATE）選擇（SELECT）修改（ALTER）運行（EXECUTE）參考引用（REFERENCE）索引（INDEX）讀（READ）/寫（WRITE）Oracle提供針對性對象存取控制權(quán)限創(chuàng)建對象用戶擁有該對象全部對象權(quán)限，無需為對象擁有者授予對象權(quán)限網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第21頁2.對象權(quán)限表訪問權(quán)限ALTER：修改表定義DELETE：刪除表數(shù)據(jù)INDEX：為表創(chuàng)建索引INSERT：對表進行插入SELECT：查詢UPDATE：修改數(shù)據(jù)REFERENCE：參考表中數(shù)據(jù)視圖訪問權(quán)限SELECT：查詢視圖數(shù)據(jù)INSERT：經(jīng)過視圖向基表插入數(shù)據(jù)UPDATE：經(jīng)過視圖對基表數(shù)據(jù)進行修改DELETE：經(jīng)過視圖刪除基表數(shù)據(jù)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第22頁2.對象權(quán)限同義詞訪問權(quán)限：同其對應(yīng)對象存放過程/函數(shù)/包/類型訪問權(quán)限EXECUTE：允許執(zhí)行(或訪問)序列訪問權(quán)限ALTER：修改序列定義SELECT：使用序列序列值目錄訪問權(quán)限READ：允許讀取目錄WRITE：允許在目錄中創(chuàng)建文件、寫入數(shù)據(jù)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第23頁3.數(shù)據(jù)庫系統(tǒng)特權(quán)授予與回收WITHADMINOPTION：允許得到權(quán)限用戶將權(quán)限轉(zhuǎn)授其它用戶PUBLIC：表示系統(tǒng)中全部用戶（用于簡化授權(quán)）授予系統(tǒng)特權(quán)語法以下：GRANT{system_privilege|role}TO{user|role|PUBLIC}[WITHADMINOPTION];對不一樣職責(zé)用戶，應(yīng)授予不一樣權(quán)限只有DBA才能夠?qū)⑾到y(tǒng)特權(quán)授予某個用戶網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第24頁3.數(shù)據(jù)庫系統(tǒng)特權(quán)授予與回收當(dāng)系統(tǒng)特權(quán)使用WITHADMINOPTION選項傳遞給其它用戶時，收回原始用戶系統(tǒng)特權(quán)將不會產(chǎn)生級聯(lián)效應(yīng)（回收傳遞授予用戶權(quán)限）回收系統(tǒng)特權(quán)語法以下：REVOKE{system_privilege|role}FROM{user|role|PUBLIC};系統(tǒng)特權(quán)應(yīng)逐一用戶檢驗和管理例3.2數(shù)據(jù)庫系統(tǒng)特權(quán)授予與回收。EXA_03_02.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第25頁4.對象權(quán)限授予與回收WITHADMINOPTION：允許得到權(quán)限用戶將權(quán)限轉(zhuǎn)授其它用戶PUBLIC：表示系統(tǒng)中全部用戶（用于簡化授權(quán)）對象權(quán)限授權(quán)語法以下：GRANT{object_privilege|ALL}[(column_list)]ONschema.objectTO{user|role|PUBLIC}WITHGRANTOPTION;應(yīng)只對確實需要該對象訪問權(quán)限用戶授權(quán)只授予必須權(quán)限，有必要限制ALL使用使用對象屬主名前綴標(biāo)識其它用戶對象

用戶名.對象名網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第26頁4.對象權(quán)限授予與回收CASCADECONSTRAINTS表示級聯(lián)刪除對象上存在參考完整性約束當(dāng)對象權(quán)限使用WITHGRANTOPTION傳遞給其它用戶時，收回原始用戶對象權(quán)限將會產(chǎn)生級聯(lián)效應(yīng)，其它用戶對象訪問權(quán)限會被一并收回。數(shù)據(jù)庫對象權(quán)限回收語法以下：REVOKE{object_privilege|ALL}ONschema.objectFROM{user|role|PUBLIC}[CASCADECONSTRAINTS];例3.3對象訪問權(quán)限授予與回收。EXA_03_03.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第27頁5.列訪問權(quán)限只有INSERT、UPDATE和REFERENCES作為列訪問權(quán)限能夠在列級授予數(shù)據(jù)字典USER_COL_PRIVS_MADE：授予其它用戶列權(quán)限USER_COL_PRIVS_RECD：取得列權(quán)限例3.4列訪問權(quán)限授予與查看。EXA_03_04.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第28頁方案(Schema)是數(shù)據(jù)庫對象(如表、視圖、序列等)邏輯組織。3.3用戶與角色普通情況下，一個應(yīng)用(如庫存管理)對應(yīng)一個方案。需要為一個應(yīng)用創(chuàng)建一個數(shù)據(jù)庫用戶，并在該用戶下創(chuàng)建這個應(yīng)用各種數(shù)據(jù)庫對象角色是一組相關(guān)權(quán)限集合，可簡化權(quán)限管理網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第29頁1.配置身份驗證對于普通用戶Oracle采取基于數(shù)據(jù)庫身份驗證方法在數(shù)據(jù)字典中記載用戶名、口令等信息SYS用戶身份及SYSDBA、SYSOPER系統(tǒng)特權(quán)用戶權(quán)限很大，可能對數(shù)據(jù)庫進行破壞性操作有必要針對以DBA身份連接用戶設(shè)計專門身份驗證方法網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第30頁1.配置身份驗證DBA用戶身份驗證方法使用操作系統(tǒng)集成身份驗證經(jīng)過Oracle口令文件進行驗證初始化參數(shù)remote_login_passwordfileNONE：忽略口令文件，經(jīng)過操作系統(tǒng)進行身份驗證EXCLUSIVE：將使用數(shù)據(jù)庫口令文件對每個含有權(quán)限用戶進行驗證SHARED：多個數(shù)據(jù)庫將共享SYS和INTERNAL口令文件用戶默認(rèn)值:NONE網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第31頁1.配置身份驗證經(jīng)過操作系統(tǒng)驗證DBA用戶初始化參數(shù)remote_login_passwordfile=NONEORACLE_HOME\NETWORK\ADMIN\sqlnet.oraSQLNET.AUTHENTICATION_SERVICES=(NTS)在Windows中建立ORA_DBA用戶組將某個操作系統(tǒng)用戶加入該組和WindowsAdministrators組以該用戶登錄操作系統(tǒng)，以SYSDBA身份連接Oracle數(shù)據(jù)庫時，不再需要驗證SYS用戶口令網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第32頁1.配置身份驗證使用Oracle口令文件驗證DBA用戶初始化參數(shù)remote_login_passwordfile=EXCLUSIVE/SHAREDORACLE_HOME\NETWORK\ADMIN\sqlnet.ora

注釋掉SQLNET.AUTHENTICATION_SERVICES=(NTS)用orapwd創(chuàng)建口令文件orapwdfile=filenamepassword=passwordentries=max_users為口令文件增加DBA特權(quán)用戶GRANT{SYSDBA|SYSOPER}TOuser_name;從口令文件中刪除特權(quán)用戶REVOKE{SYSDBA|SYSOPER}FROMuser_name;查看口令文件中用戶SELECT*FROMv_$pwfile_users;網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第33頁2.創(chuàng)建與管理用戶用戶管理應(yīng)該考慮問題身份驗證方式默認(rèn)表空間暫時表空間表空間限額資源與口令限制(概要文件)賬戶狀態(tài)操作權(quán)限等創(chuàng)建用戶操作普通由DBA完成用戶創(chuàng)建完成后不具備任何權(quán)限，也不能連接數(shù)據(jù)庫，需由DBA為其授予相關(guān)權(quán)限網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第34頁2.創(chuàng)建與管理用戶創(chuàng)建用戶語法CREATEUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACEtablespace][TEMPORARYTABLESPACEtablespace][QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];刪除用戶語法DROPUSERuser[CASCADE];CASCADE表示級聯(lián)刪除該用戶所屬方案對象網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第35頁2.創(chuàng)建與管理用戶修改用戶語法ALTERUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE][QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];例3.5用戶及權(quán)限管理。EXA_03_05.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第36頁3.角色管理角色使用步驟(1)由DBA創(chuàng)建角色(2)為角色授予對應(yīng)系統(tǒng)特權(quán)和對象權(quán)限(3)將角色授予相關(guān)數(shù)據(jù)庫用戶默認(rèn)表空間可將多個角色授予同一個Oracle數(shù)據(jù)庫用戶創(chuàng)建角色語法CREATEROLErole[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];刪除角色語法DROPROLErole;網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第37頁3.角色管理角色應(yīng)被授予需要系統(tǒng)特權(quán)、對象權(quán)限在創(chuàng)建Oracle數(shù)據(jù)庫時，Oracle會創(chuàng)建預(yù)定義角色并給它們授予相關(guān)系統(tǒng)特權(quán)和對象權(quán)限例3.6采取角色改進學(xué)生試驗用戶權(quán)限管理工作。EXA_03_06.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第38頁對用戶資源占用和口令使用進行限制有其現(xiàn)實必要性限制用戶連接時間和CPU占用時間有效預(yù)防口令被破解3.4概要文件(Profile)概要文件是一個命名資源限制集合，描述怎樣使用系統(tǒng)資源。主要包含兩方面內(nèi)容管理數(shù)據(jù)庫系統(tǒng)資源管理數(shù)據(jù)庫口令使用及驗證方式系統(tǒng)提供一個默認(rèn)概要文件(DEFAULT)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第39頁1.創(chuàng)建概要文件創(chuàng)建概要文件語法CREATEPROFILEprofileLIMIT[{SESSIONS_PER_USER|CPU_PER_SESSION|CPU_PER_CALL|CONNECT_TIME|IDLE_TIME|LOGICAL_READS_PER_SESSION|LOGICAL_READS_PER_CALL|COMPOSITE_LIMIT}{n|UNLIMITED|DEFAULT}|PRIVATE_SGA{n{K|M}|UNLIMITED|DEFAULT}|{FAILED_LOGIN_ATTEMPTS|PASSWORD_LOCK_TIME|PASSWORD_GRACE_TIME|PASSWORD_LIFE_TIME|PASSWORD_REUSE_MAX|PASSWORD_REUSE_TIME}{n|UNLIMITED|DEFAULT}|PASSWORD_VERIFY_FUNCTION[function_name|NULL|DEFAULT]];網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第40頁刪除概要文件DROPPROFILEprofile;1.創(chuàng)建概要文件例3.7