數(shù)據(jù)庫安全管理主要內(nèi)容用戶管理權(quán)限管理角色管理概要文件管理審計(jì)用戶管理Oracle數(shù)據(jù)庫初始用戶

SYS：是數(shù)據(jù)庫中具有最高權(quán)限的數(shù)據(jù)庫管理員，可以啟動、修改和關(guān)閉數(shù)據(jù)庫，擁有數(shù)據(jù)字典；

SYSTEM：是一個輔助的數(shù)據(jù)庫管理員SCOTT：是一個用于測試網(wǎng)絡(luò)連接的用戶，其口令為TIGER。PUBLIC：實(shí)質(zhì)上是一個用戶組，數(shù)據(jù)庫中任何一個用戶都屬于該組成員。要為數(shù)據(jù)庫中每個用戶都授予某個權(quán)限，只需把權(quán)限授予PUBLIC就可以了。用戶屬性用戶身份認(rèn)證方式默認(rèn)表空間臨時表空間表空間配額概要文件賬戶狀態(tài)身份認(rèn)證方式（sysdba身份）操作系統(tǒng)認(rèn)證條件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）當(dāng)前登錄操作系統(tǒng)的用戶必須屬于OraDBA組方式：Sqlplus/assysdbaconn/assysdba身份認(rèn)證方式（sysdba身份）密碼文件認(rèn)證條件：初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE=Exclusive

或者Shared當(dāng)前登錄操作系統(tǒng)的用戶必須屬于OraDBA組方式：Sqlplus用戶名/密碼assysdbaconn用戶名/密碼assysdba身份認(rèn)證方式（Normal身份）普通用戶的數(shù)據(jù)庫認(rèn)證方式密碼認(rèn)證方式：條件：沒有條件，任何時候都可以Sqlplus用戶名/密碼conn用戶名/密碼操作系統(tǒng)認(rèn)證方式：條件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）Sqlplus/conn/創(chuàng)建用戶CreateUser<用戶名>IdentifiedBy<口令>DefaultTablespace<默認(rèn)表空間>TemporaryTablespace<臨時表空間>Quota數(shù)值K|數(shù)值M|Unlimitedon表空間Profile概要文件名Defaultrole默認(rèn)角色PasswordExpireAccountLock|Unlock;舉例CreateuseraIdentifiedbya1234DefaulttablespaceusersQuota10Monusers;注意在創(chuàng)建新用戶后，必須為用戶授予適當(dāng)?shù)臋?quán)限，用戶才可以進(jìn)行相應(yīng)的數(shù)據(jù)庫操作。例如，授予用戶CREATESESSION權(quán)限后，用戶才可以連接到數(shù)據(jù)庫。修改用戶戶ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];刪除用戶戶基本語法法DROPUSERuser_name[CASCADE];步驟先刪除用用戶所擁擁有的對對象再刪除用用戶將參照該該用戶對對象的其其他數(shù)據(jù)據(jù)庫對象象標(biāo)志為為INVALID處于連接接狀態(tài)的的用戶不不可刪除除查詢用戶戶信息ALL_USERS：包含數(shù)數(shù)據(jù)庫所所有用戶戶的用戶戶名、用用戶ID和用戶創(chuàng)創(chuàng)建時間間。DBA_USERS：包含數(shù)數(shù)據(jù)庫所所有用戶戶的詳細(xì)細(xì)信息。。USER_USERS：包含當(dāng)當(dāng)前用戶戶的詳細(xì)細(xì)信息。。DBA_TS_QUOTAS：包含所所有用戶戶的表空空間配額額信息。。USER_TS_QUOTAS：包含當(dāng)當(dāng)前用戶戶的表空空間配額額信息。。V$SESSION：包含用用戶會話話信息。。V$OPEN_CURSOR：包含用用戶執(zhí)行行的SQL語句信息息。查看數(shù)據(jù)據(jù)庫所有有用戶名名及其默默認(rèn)表空空間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數(shù)據(jù)據(jù)庫中各各用戶的的登錄時時間、會會話號。。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;權(quán)限管理理權(quán)限管理理概述系統(tǒng)權(quán)限限管理對象權(quán)限限管理查詢權(quán)限限信息12.3.1權(quán)限管理理概述所謂權(quán)限限就是執(zhí)執(zhí)行特定定類型SQL命令或訪訪問其他他用戶的的對象的的權(quán)利。系統(tǒng)權(quán)限限：系統(tǒng)權(quán)權(quán)限是指指在數(shù)據(jù)庫級級別執(zhí)行某種種操作的的權(quán)限，，或針對對某一類對對象執(zhí)行某種種操作的的權(quán)限。。例如，CREATESESSION權(quán)限、CREATEANYTABLE權(quán)限。對象權(quán)限限：對象權(quán)權(quán)限是指指對某個特定定的數(shù)據(jù)庫對對象執(zhí)行行某種操操作的權(quán)權(quán)限。例例如，對特定定表的插插入、刪刪除、修修改、查查詢的權(quán)權(quán)限。授權(quán)方法法直接授權(quán)權(quán)：利用用GRANT命令直接接為用戶戶授權(quán)。。間接授權(quán)權(quán)：先將將權(quán)限授予角色色，然后再再將角色色授予用用戶。授權(quán)Grant系統(tǒng)權(quán)限限to用戶名[withadminoption]Grantsysdbato用戶名Grant對象權(quán)限限on對象名to用戶名[withgrantoption]對象權(quán)限適合對象對象權(quán)限功能說明SELECT表、視圖、序列查詢數(shù)據(jù)操作UPDATE表、視圖更新數(shù)據(jù)操作DELETE表、視圖刪除數(shù)據(jù)操作INSERT表、視圖插入數(shù)據(jù)操作REFERENCES表在其他表中創(chuàng)建外鍵時可以引用該表EXECUTE存儲過程、函數(shù)、包執(zhí)行PL/SQL存儲過程、函數(shù)和包READ目錄讀取目錄ALTER表、序列修改表或序列結(jié)構(gòu)INDEX表為表創(chuàng)建索引ALL具有對象權(quán)限的所有模式對象某個對象所有對象權(quán)限操作集合撤銷權(quán)限限r(nóng)evoke系統(tǒng)權(quán)限限from用戶名revokesysdbafrom用戶名revoke對象權(quán)限限on對象名from用戶名WITHADMINOPTION當(dāng)甲用戶戶授權(quán)給給乙用戶戶，且激激活該選選項(xiàng)，則則被授權(quán)權(quán)的乙用用戶具有有管理該該權(quán)限的的能力：：或者能把得到到的權(quán)限限再授給給其他用用戶丙，或者者能回收收授出去去的權(quán)限限。當(dāng)甲用戶戶收回乙乙用戶的的權(quán)限后后，乙用用戶曾經(jīng)經(jīng)授給丙丙用戶的的權(quán)限仍然存存在與WITHGRANTOPTION比較當(dāng)甲用用戶授授權(quán)給給乙用用戶，，且激激活該該選項(xiàng)項(xiàng)，則則被授授權(quán)的的乙用用戶具具有管管理該該權(quán)限限的能能力：：或者者能把得得到的的權(quán)限限再授授給其其他用用戶丙丙，或者者能回回收授授出去去的權(quán)權(quán)限。。當(dāng)甲用用戶收收回乙乙用戶戶的權(quán)權(quán)限后后，乙乙用戶戶曾經(jīng)經(jīng)授給給丙用用戶的的權(quán)限限也被回回收。撤銷具具有ADMINOPTION系統(tǒng)權(quán)權(quán)限GRANTREVOKEREVOKECREATETABLEFROMjeff;用戶權(quán)限對象DBAJeffEmiJeffEmiDBA撤銷具具有GRANTOPTION對象權(quán)權(quán)限GRANT

REVOKE

Bob

Jeff

Emi

Emi

Jeff

Bob

查詢權(quán)權(quán)限信信息DBA_TAB_PRIVS：包含數(shù)數(shù)據(jù)庫庫所有有對象象的授授權(quán)信信息ALL_TAB_PRIVS：包含數(shù)數(shù)據(jù)庫庫所有有用戶戶和PUBLIC用戶組組的對對象授授權(quán)信信息USER_TAB_PRIVS：包含當(dāng)當(dāng)前用用戶對對象的的授權(quán)權(quán)信息息DBA_COL_PRIVS：包含所所有字字段已已授予予的對對象權(quán)權(quán)限ALL_COL_PRIVS：包含所所有字字段已已授予予的對對象權(quán)權(quán)限信信息USER_COL_PRIVS：包含當(dāng)當(dāng)前用用戶所所有字字段已已授予予的對對象權(quán)權(quán)限信信息。。DBA_SYS_PRIVS：包含含授予予用戶戶或角角色的的系統(tǒng)統(tǒng)權(quán)限限信息息USER_SYS_PRIVS：包含含授予予當(dāng)前前用戶戶的系系統(tǒng)權(quán)權(quán)限信信。角色具有名名稱的的一組組權(quán)限限的定定義。。使用用角色色可以以簡化對對用戶戶的授授權(quán)，只需需要將將用戶戶添加到到角色色中，用用戶自動具具有該角色色所有有的權(quán)權(quán)限。。系統(tǒng)角角色用戶自自定義義角色色Oracle數(shù)據(jù)庫庫角色色概述述角色的的概念念所謂角角色就就是一一系列列相關(guān)關(guān)權(quán)限限的集集合預(yù)定義義角色色預(yù)定義義角色色概述述預(yù)定義義角色色是指指在Oracle數(shù)據(jù)庫庫創(chuàng)建建時由由系統(tǒng)自自動創(chuàng)創(chuàng)建的一些些常用用的角角色，，這些些角色色已經(jīng)經(jīng)由系系統(tǒng)授授予了了相應(yīng)應(yīng)的權(quán)權(quán)限。。DBA可以直直接利利用預(yù)預(yù)定義義的角角色為為用戶戶授權(quán)權(quán)，也也可以以修改改預(yù)定定義角角色的的權(quán)限限。Oracle數(shù)據(jù)庫庫中有有30多個預(yù)預(yù)定義義角色色。可以通通過數(shù)數(shù)據(jù)字字典視視圖DBA_ROLES查詢當(dāng)當(dāng)前數(shù)數(shù)據(jù)庫庫中所所有的的預(yù)定定義角角色，，通過過DBA_SYS_PRIVS查詢各各個預(yù)預(yù)定義義角色色所具具有的的系統(tǒng)統(tǒng)權(quán)限限。創(chuàng)建角角色Createrole角色名名[Notidentified|Identifiedby口令]給角色色分配配權(quán)限限Grant系統(tǒng)權(quán)權(quán)限to角色名名Grant對象權(quán)權(quán)限on對象名名to角色名名Grant角色to角色名名說明給角色色授予予適當(dāng)當(dāng)?shù)南迪到y(tǒng)權(quán)權(quán)限、、對象象權(quán)限限或已已有角角色。。在數(shù)據(jù)據(jù)庫運(yùn)運(yùn)行過過程中中，可可以為為角色色增加加權(quán)限限，也也可以以回收收其權(quán)權(quán)限。。給角色色授權(quán)權(quán)時應(yīng)應(yīng)該注注意，，一個個角色色可以以被授授予另另一個個角色色，但但不能能授予予其本本身，，不能能產(chǎn)生生循環(huán)環(huán)授權(quán)權(quán)。收回權(quán)權(quán)限r(nóng)evoke系統(tǒng)權(quán)權(quán)限from角色名名revoke對象權(quán)權(quán)限on對象名名from角色名名revoke角色from角色名名將用戶戶添加加到角角色中中Grant角色名to用戶名Revoke角色名from用戶名查詢角色信信息DBA_ROLES：包含數(shù)據(jù)庫庫中所有角角色及其描描述；DBA_ROLE_PRIVS：包含為數(shù)據(jù)據(jù)庫中所有有用戶和角角色授予的的角色信息息；USER_ROLE_PRIVS：包含為當(dāng)當(dāng)前用戶授授予的角色色信息；ROLE_ROLE_PRIVS：為角色授授予的角色色信息；ROLE_SYS_PRIVS：為角色授授予的系統(tǒng)統(tǒng)權(quán)限信息息；ROLE_TAB_PRIVS：為角色授授予的對象象權(quán)限信息息；SESSION_PRIVS：當(dāng)前會話話所具有的的系統(tǒng)權(quán)限限信息；SESSION_ROLES：當(dāng)前會話話所具有的的角色信息息。。查詢角色CONNECT所具有的系系統(tǒng)權(quán)限信信息。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授予予的角色信信息。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';概要文件概要文件（（PROFILE）是數(shù)據(jù)庫庫和系統(tǒng)資資源限制的的集合，是是Oracle數(shù)據(jù)庫安全全策略的重重要組成部部分。利用概要文文件，可以以限制用戶戶對數(shù)據(jù)庫和系系統(tǒng)資源的使用，同同時還可以以對用戶口令進(jìn)行管理。。在Oracle數(shù)據(jù)庫創(chuàng)建建的同時，，系統(tǒng)會創(chuàng)創(chuàng)建一個名名為DEFAULT的默認(rèn)概要要文件。如如果沒有為為用戶顯式式地指定一一個概要文文件，系統(tǒng)統(tǒng)默認(rèn)將DEFAULT概要文件作作為用戶的的概要文件件。必須將Resource_limit參數(shù)設(shè)置為為true，概要文件件才會生效效概要文件OEM創(chuàng)建Createprofilelimit創(chuàng)建創(chuàng)建或修改改用戶時啟用概要要文件CREATEPROFILE"PRO2"LIMITCPU_PER_SESSION6000CPU_PER_CALL10CONNECT_TIME10IDLE_TIME3SESSIONS_PER_USER1LOGICAL_READS_PER_SESSION20LOGICAL_READS_PER_CALL2PRIVATE_SGADEFAULTCOMPOSITE_LIMITDEFAULTPASSWORD_LIFE_TIME7PASSWORD_GRACE_TIME2PASSWORD_REUSE_MAX2PASSWORD_REUSE_TIMEunlimitedPASSWORD_LOCK_TIME1FAILED_LOGIN_ATTEMPTS3PASSWORD_VERIFY_FUNCTIONDEFAULT審計(jì)監(jiān)視和記錄錄所選用戶的的數(shù)據(jù)活動動，用于調(diào)調(diào)查可疑活活動，監(jiān)視視與收集特特定數(shù)據(jù)庫庫活動的記記錄。需要先開啟審計(jì)功能Altersystemsetaudit_trail=truescope=spfile重啟數(shù)據(jù)庫庫Oracle11g默認(rèn)審計(jì)功功能是開啟的指定審計(jì)選選項(xiàng)審計(jì)SQL語句：審計(jì)系統(tǒng)權(quán)權(quán)限：審計(jì)對象權(quán)權(quán)限：AUDITselectanytable,createanytrigger;AUDITselectanytableBYhrBYSESSION;AUDITtable;AUDITsession;AUDITALLonhr.employees;

AUDITUPDATE,DELETEonhr.employeesBYACCESS;審計(jì)的一些些其他選項(xiàng)項(xiàng)byaccess/bysession：byaccess每一個被審審計(jì)的操作作都會生成成一條audittrailbysession一個會話里里面同類型型的操作只只會生成一一條audittrail，默認(rèn)為bysessionwhenever[not]successful：wheneversuccessful操作成功才才審計(jì)whenevernotsuccessful反之。省略略該子句的的話，不管管操作成功功與否都會會審計(jì)。審計(jì)相關(guān)的的數(shù)據(jù)字典典視圖dba_audit_trail：保存所有有的audittrail，實(shí)際上它它只是一個個基于aud$的視圖。dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一個子集集。dba_stmt_audit_opts：可以用來來查看statement審計(jì)級別的的auditoptions，即數(shù)據(jù)庫庫設(shè)置過哪哪些statement級別的審計(jì)計(jì)。dba_obj_audit_opts,dba_priv_audit_opts視圖功能與與之類似9、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃葉葉樹，燈下下白頭人。。。13:55:1013:55:1013:5512/29/20221:55:10PM11、以我獨(dú)沈沈久，愧君君相見頻。。。12月-2213:55:1013:55Dec-2229-Dec-2212、故人江海別別，幾度隔山山川。。13:55:1013:55:1013:55Thursday,December29,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2213:55:1113:55:11December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。29十十二二月月20221:55:11下下午午13:55:1112月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月221:55下下午午12月月-2213:55December29,202216、行動出成果果，工作出財(cái)財(cái)富。。2022/12/2913:55:1113:55:1129December202217、做前，，能夠環(huán)環(huán)視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點(diǎn)點(diǎn)的射線線向前。。。1:55:11下午午1:55下午午13:55:1112月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。13:55:1113:55:1113:5512/29/20221:55:11PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月月-2213:55:1113:55Dec-2229-Dec-2212、世間成成事，不不求其絕絕對圓滿滿，留一一份不足足，可得得無限完完美。。。13:55:1113:55:1113:55Thursday,December29,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2213:55:1213:55:12December29,202214、意志志堅(jiān)強(qiáng)強(qiáng)的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20221:55:12下下午13:55:1212月月-2215、楚塞三湘接接，荊門九派派通。。。十二月221:55下下午12月-2213:55December29,202216、少年年十五五二十十時，，步行行奪得得胡馬馬騎。。。2022/12/2913:55:1213:55:1229December202217、空空山山新新雨雨后后，，天天氣氣晚晚來來秋秋。。。。1:55:12下下午午1:55下下午午13:55:1212月月-229、楊柳散散和風(fēng)，，青山澹澹吾慮。。。12月-2212月-22Thursday,December2