《oracle用户管理》PPT课件.ppt

ORACLE安全管理,Oracle数据安全性分类,系统安全性：系统级数据库存取和使用控制，如口令机制，表空间，磁盘配额等 数据安全性：实体级数据库存取和使用控制，如可以访问的对象以及可以进行的操作（查询，更新等）,Oracle 帐户,SYS：具有dba角色的管理帐户，sys方案中的任何表和视图不能由任何其他数据库管理员操作 SYSTEM /manager：执行管理任务 SYSMAN：企业管理器执行数据库管理的帐户,其他账户,DBSNMP /DBSNMP：企业管理器的管理代理人组件使用的帐户，用于监视和管理数据库 DMSYS /DMSYS：执行数据挖掘的帐户 OLAPSYS /MANAGER：用于创建OLAP元数据结构的帐户，拥有OLAP catalog,用户属性,身份验证方式： 数据库身份验证 操作系统身份验证 默认表空间： 临时表空间 表空间配额 概要文件 帐户状态,SQL select username,default_ tablespace, temporary_tablespace from dba_users;,SQL select * from dba_ts_quotas;,SQL select username, account_status, expiry_date from dba_users;,与用户相关的数据字典,DBA_USERS DBA_TS_QUOTAS,创建用户,CREATE USER 用户名 IDENTIFIED BY 口令 DEFUAULT TABLESPACE 默认表空间名 TEMPORARY TABLESPACE 临时表空间名 QUOTA 数值K/M|UNLIMITED ON 表空间名 PROFILE 概要文件名 ACCOUNT LOCK | ACCOUNT UNLOCK ALTER USER 其它选项跟create格式相同,授予用户系统权限,授予用户blue系统权限 GRANT CREATE SESSION TO BLUE 授予用户blue系统权限，并允许授予其它用户 GRANT CREATE SESSION TO BLUE WITH ADMIN OPTION 收回权限 REVOKE CREATE SESSION FROM BLUE,授予用户对象权限,对象权限的授予和回收,Grant execute on dbms_output to blue Grant update on emi.teachers to blue with grant option Revoke select on emi.orders from blue,与权限相关的数据字典,dba_sys_privs：授予用户和角色的系统权限 session_privs：用户当前能获得的权限 dba_tab_privs：所有数据库对象的授权情况 dba_col_privs：所有用户或角色的列权限信息 select * from dictionary where table_name like %PRIVS%,删除用户,DROP USER user_name CASCADE,角色,角色管理,创建角色 create role role1； create role role2 identified by 1234 授予角色权限 grant create table to role 收回角色的权限 REVOKE ALL PRIVILEGES/CREATE TABLE FROM ROLE2,角色管理,将角色授予用户 GRANT ROLE1 TO SCOTT GRANT ROLE2 TO SCOTT 将角色授予角色 GRANT ROLE2 TO ROLE1 撤销角色 REVOKE ROLE1，ROLE2 FROM SCOTT,角色管理,设置用户默认角色 ALTER USER SCOTT DEFAULT ROLE ROLE1； 控制角色使用 SET ROLE ALL 允许所有的角色 SET ROLE NONE 禁止所有角色 SET ROLE RESOURCE 设置当前角色为RESOURCE SET ROLE ALL EXCEPT ROLE1，ROLE2 删除角色 drop role role1,角色管理,dba_roles user_role_privs, dba_role_privs user_sys_privs,dba_sys_privs colum_privileges role_role_privs, role_sys_privs, role_tab_privs session_privs, session_roles 跟角色相关的数据字典,用户与角色和权限的关系,数据库管理员的安全策略,负责数据库的一切对象及其访问权限，数据库性能的优化，以及数据库的升级，备份和恢复等等 数据库几个默认DBA：sys 和system 定期修改密码，注意密码设置的复杂性,应用开发者的安全策略,需要授予创建他们工作所需对象的权限，如CREATE TABLE，CREATE PROCEDURE，CREATE INDEX，CREATE VIEW等 对于CREATE ANY 系统权限一般不授予开发人员 RESOURCE 角色是为应用开发者提供的默认角色，但需要扩充,最终用户的安全策略,必须拥有create session 系统权限，connect角色就是为最终用户连接数据库而设的 对最终用户分组（会计组，出纳组），然后为每个组创建不同的角色，然后为每个角色赋予必要的权限或应用角色，再将这些角色赋予相应的用户组 对于个别用户需要特殊的权限，可以单独再追加,数据库安全综述,Oracle 口令管理策略是由dba和安全员通过用户的概要文件来控制 帐户锁定 CREATE PROFILE prof LIMIT FAILED_LOGIN_ATTEMPTS 4 /密码尝试次数4次 PASSWORD_LOCK_TIME 30; 分配用户概要文件 ALTER USER blue PROFILE prof; 注：概要文件创建及分配由dba完成,数据库安全综述,口令管理的策略 口令期限和到期,create profile pp2 limit failed_login_attempts 2 password_lock_time 1/24 password_life_time 90 password_grace_time 3,数据库安全综述,口令管理的策略 口令历史 CTEATE PROFILE PROF LIMIT PASSWORD_REUSE_TIME 60 /60天内不能重用该口 令 PASSWORD_REUSE_MAX 3 /再次使用当前口令，用 户必须修改口令3次,数据库安全综述,资源配置 Oracle 资源配置是由dba概要文件来控制 create profile app_user limit sessions_per_us