1、第10章安全管理，主要內(nèi)容，Oracle數(shù)據(jù)庫安全概要用戶管理權(quán)限管理角色管理配置文件管理審計OEM的安全管理本章中，掌握Oracle數(shù)據(jù)庫安全機制用戶管理權(quán)限管理掌握角色管理理配置文件的角色及其應用理解審計及其應用， 10.1數(shù)據(jù)庫安全概要，數(shù)據(jù)庫安全主要有兩個意義，而每個數(shù)據(jù)庫用戶有不同的操作權(quán)限，只能在自己的權(quán)限范圍內(nèi)操作。 Oracle數(shù)據(jù)安全控制機制用戶管理權(quán)限管理角色管理表空間設置和分配用戶資源限制數(shù)據(jù)庫審核Oracle數(shù)據(jù)庫安全是有效的用戶名和口令組合，以確保用戶能夠連接到數(shù)據(jù)庫， 用戶可以創(chuàng)建數(shù)據(jù)庫對象的磁盤空間限制數(shù)據(jù)安全性數(shù)據(jù)安全性在對象級別控制對數(shù)據(jù)庫的訪問和使用，包括用

2、戶可以訪問的方案對象以及該對象允許的操作。 用戶管理概述創(chuàng)建用戶修改用戶刪除用戶查詢用戶信息，10.2.1用戶管理概述，Oracle數(shù)據(jù)庫初始用戶SYS :是數(shù)據(jù)庫中權(quán)限最高的數(shù)據(jù)庫管理員，可以啟動、修改和關(guān)閉數(shù)據(jù)庫SYSTEM :輔助數(shù)據(jù)庫管理員，不能啟動或關(guān)閉數(shù)據(jù)庫，但可以執(zhí)行其他管理任務，如創(chuàng)建用戶、刪除用戶等。 SCOTT :測試網(wǎng)絡連接的用戶，密碼為TIGER。 公共：實質(zhì)上是用戶組，數(shù)據(jù)庫中的任何用戶都屬于該組的成員。 要授予數(shù)據(jù)庫中的每個用戶權(quán)限，請授予公共權(quán)限。 用戶屬性用戶認證方式默認表空間臨時表空間分配配置文件帳戶狀態(tài)、用戶認證方式數(shù)據(jù)庫認證：數(shù)據(jù)庫用戶密碼以加密方式保存在

3、數(shù)據(jù)庫內(nèi)部， 用戶連接到數(shù)據(jù)庫時必須輸入用戶名和密碼的外部身份驗證：如果使用外部身份驗證，則用戶帳戶由Oracle數(shù)據(jù)庫管理，而密碼管理和身份驗證則由外部服務管理。 外部服務可以是操作系統(tǒng)或網(wǎng)絡服務。 當用戶嘗試建立與數(shù)據(jù)庫的連接時，數(shù)據(jù)庫從外部服務獲取當前用戶的登錄信息，而不是要求用戶輸入用戶名和密碼。 全局身份驗證：當用戶嘗試建立與數(shù)據(jù)庫的連接時，Oracle使用網(wǎng)絡上的安全管理服務器(oracleenterprisesecuritymanager )對用戶進行身份驗證。 Oracle安全管理服務器提供全局管理數(shù)據(jù)庫用戶的功能。 默認表空間如果用戶在創(chuàng)建數(shù)據(jù)庫對象時未明確指定該對象存儲在哪

4、個表空間中，則該數(shù)據(jù)庫對象將自動存儲在當前用戶的默認表空間中。 如果用戶沒有指定默認表空間，則數(shù)據(jù)庫的默認表空間將用作用戶的默認表空間。 臨時表空間用戶排序、聚合和執(zhí)行連接、分組等操作時，首先使用內(nèi)存中的排序區(qū)域SORT_AREA_SIZE，如果該區(qū)域的內(nèi)存不足，則自動使用用戶的臨時表空間如果用戶沒有指定臨時表空間，Oracle 10g將使用數(shù)據(jù)庫中的默認臨時表空間作為該用戶的臨時表空間。 表空間配額限制表空間配額限制用戶可以在永久表空間中使用的存儲空間的大小。 默認情況下，新用戶對任何表空間都沒有配額。 用戶不需要臨時表空間的配額。配置文件每個用戶必須具有一個配置文件，該配置文件從會話級別和

5、調(diào)用級別兩個級別限制數(shù)據(jù)庫系統(tǒng)資源的使用，并設置用戶的密碼管理策略。 如果未為用戶指定配置文件，則Oracle會自動為用戶指定默認配置文件。 帳戶狀態(tài)可以在創(chuàng)建用戶的同時設置用戶的初始狀態(tài)，如用戶密碼是否到期、帳戶是否鎖定等。 在Oracle中，您可以隨時鎖定或解除鎖定帳戶。 鎖定帳戶后，用戶將無法連接到Oracle數(shù)據(jù)庫，必須解除鎖定帳戶，用戶才能訪問數(shù)據(jù)庫。 10.2.2 .創(chuàng)建用戶。 基本語法create useruser _ nameidentifiedbypassword|externally | 是globallyasexternal _ namedefaulttablespace

6、tablespace _ nametemporarytablespacetemp _ table sapce _ namequotank |沒有限制、殘奧儀表說明user_name :用于設置新用戶名。 用戶名在數(shù)據(jù)庫中必須是唯一的IDENTIFIED :用于指定用戶認證方法的BY password :設置用戶的數(shù)據(jù)庫認證。 其中password是用戶密碼EXTERNALLY :用于設置用戶的外部認證的GLOBALLY ASexternal_name :設置用戶的全局認證。 其中external_name是有關(guān)Oracle安全管理服務器的信息。 默認表空間：設置用戶的默認表空間。 否則，Ora

7、cle將使用數(shù)據(jù)庫的默認表空間作為用戶的默認表空間。TEMPORARY TABLESPACE :用于設置用戶的臨時表空間QUOTA :指定用戶對特定表空間的分配限制，即用戶可以為該表空間分配的最大空間PROFILE :用于為用戶指定概要文件默認值為DEFAULT，使用系統(tǒng)默認配置文件PASSWORD EXPIRE :設置用戶密碼的初始狀態(tài)已過期。 用戶第一次登錄數(shù)據(jù)庫時必須更改口令帳戶鎖定：用于將用戶的初始狀態(tài)設置為鎖定，默認情況下未鎖定帳戶解鎖：不鎖定用戶的初始狀態(tài)，也不鎖定用戶的初始狀態(tài)創(chuàng)建新用戶后，必須將相應的權(quán)限授予用戶，用戶才能執(zhí)行相應的數(shù)據(jù)庫操作。 例如，在向用戶授予CREATE

8、SESSION權(quán)限之前，用戶無法連接到數(shù)據(jù)庫。 創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建示例用戶user3。 口令為user3，默認表空間為USERS，該表空間的配額為10 MB，初始狀態(tài)為鎖定。 創(chuàng)建用戶3 identifiedbyuser3defaulttablespaceusersquota 10 monusersaccountlock。 創(chuàng)建用戶user4。 口令為user4，默認表空間為USERS，表空間的配額為10 MB。 密碼設定為過期。 也就是說，第一次連接到數(shù)據(jù)庫時需要更改密碼。 設定檔為example_profile (假設已經(jīng)建立設定檔)。 創(chuàng)建用戶4標識符4默認可用空間10 monusers

9、profileexample _ profilepasswordexpire。 基本語法alter useruser _ nameidentifiedbypassword|externally | globallyasexternal _ namedefaulttablespacetablespace _ nametemporarytablespacetemp _ table sapce _ namequotank | unlimitedontablespace _ nameprofileprofile _ namedefaultrolerole _ list|allexceptrole _

10、list|nonepasswordeed，10.2.3修改用戶， 殘奧儀表說明role_list :角色列表ALL :表示所有角色except role _ list :表示角色列表中角色以外的角色。 NONE表示沒有默認角色。 請注意，指定的角色必須是使用授權(quán)命令直接授予用戶的角色。 更改數(shù)據(jù)庫用戶示例將用戶user3的密碼更改為newuser3，然后解鎖用戶。 alter user 3身份證明用戶3帳戶解鎖。 修改用戶user4的默認表空間為ORCLTBS1，此表空間的配額為20 MB，USERS表空間的配額為10 MB。alter user 4默認可用空間orcltbs1quota 20

11、 monorcltbs1quot a 10 mon用戶。 鎖定和解除鎖定用戶創(chuàng)建的特殊用戶帳戶示例alter user3account lock，用戶暫時脫離工作DBA； 超級用戶3帳戶解鎖； 刪除10.2.4用戶，刪除基本語法drop用戶用戶名cascade； 過程如果在刪除用戶擁有的對象之后刪除用戶，則引用該用戶對象的其他數(shù)據(jù)庫對象標志為INVALID，10.2.5，并且系統(tǒng)將查詢用戶信息DBA_USERS :所有數(shù)據(jù)庫USER_USERS :包含當前用戶的詳細信息。 DBA_TS_QUOTAS :包含所有用戶的表空間配額信息。 USER_TS_QUOTAS :包含當前用戶的表空間配額信息

12、。 V$SESSION :包含用戶會話信息。 V$OPEN_CURSOR :包含用戶執(zhí)行的SQL語句的信息。 顯示數(shù)據(jù)庫的所有用戶名及其默認表空間。 選擇序列名稱，默認表格空間使用者。 顯示數(shù)據(jù)庫中每個用戶的登錄時間和會話號。 選擇sid、序列號、登錄時間、用戶名從v $會話。 10.3權(quán)限管理、權(quán)限管理概述系統(tǒng)權(quán)限管理對象權(quán)限管理查詢權(quán)限信息、10.3.1權(quán)限管理概述、權(quán)限是指執(zhí)行特定類型的SQL命令或訪問其他用戶的對象的權(quán)限。 用戶可以在數(shù)據(jù)庫中執(zhí)行的操作以及可以操縱哪些對象取決于該用戶具有的權(quán)限。 分類系統(tǒng)權(quán)限：系統(tǒng)權(quán)限是在數(shù)據(jù)庫級別執(zhí)行操作的權(quán)限，或者是對對象類型執(zhí)行操作的權(quán)限。 例如

13、，CREATE SESSION權(quán)限、CREATE ANY TABLE權(quán)限等。 對象權(quán)限：對象權(quán)限是對特定數(shù)據(jù)庫對象執(zhí)行某些操作的權(quán)限。 例如，對特定表的插入、刪除、修改和查詢權(quán)限。 許可方法直接許可：使用授權(quán)命令直接授予用戶許可。 間接授權(quán)：授予角色權(quán)限，然后再授予用戶角色。 10.3.2系統(tǒng)權(quán)限管理，系統(tǒng)權(quán)限分類系統(tǒng)權(quán)限的授權(quán)系統(tǒng)權(quán)限的回收，(1)系統(tǒng)權(quán)限分類，一種是對數(shù)據(jù)庫某種對象的操作能力，通常帶有ANY關(guān)鍵詞。 例如，創(chuàng)建和索引、alter和索引、拖放和索引。 另一種類型的系統(tǒng)權(quán)限是數(shù)據(jù)庫級別的可用性。 例如，創(chuàng)建會話。 系統(tǒng)權(quán)限的授權(quán)、語法是grantsys _ priv _ lis

14、t touser _ list|role _ list|publicwithadminoption。 關(guān)殘奧儀表說明： sys_priv_list :以逗號分隔的系統(tǒng)權(quán)限列表。 user_list :以逗號分隔的用戶列表。 role_list以逗號分隔角色列表。 PUBLIC :表示系統(tǒng)中的所有用戶都可以使用WITH ADMIN OPTION :表示系統(tǒng)權(quán)限的接收者可以將此權(quán)限授予其他用戶。 授予系統(tǒng)權(quán)限時需要注意的一點：只有DBA具有alter數(shù)據(jù)庫系統(tǒng)權(quán)限。 應用程序開發(fā)人員通常必須具有創(chuàng)建表、創(chuàng)建視圖和創(chuàng)建索引等系統(tǒng)權(quán)限。 一般用戶通常只具有CREATE SESSION系統(tǒng)權(quán)限。 僅當權(quán)

15、限帶有WITH ADMIN OPTION子句時，用戶才能將獲得的系統(tǒng)權(quán)限重新授予其他用戶，即系統(tǒng)權(quán)限的傳達性。 將創(chuàng)建會話系統(tǒng)權(quán)限授予公共用戶組。 授權(quán)創(chuàng)建會話到公共； 授予用戶user1創(chuàng)建會話、創(chuàng)建表和創(chuàng)建索引系統(tǒng)權(quán)限。 授權(quán)創(chuàng)建會話、創(chuàng)建表、創(chuàng)建視圖至用戶1。 授予用戶user2創(chuàng)建會話、創(chuàng)建表和創(chuàng)建索引系統(tǒng)權(quán)限。 user2獲得權(quán)限后，將創(chuàng)建表權(quán)限授予用戶user3。 授權(quán)創(chuàng)建會話、創(chuàng)建表、創(chuàng)建視圖用戶2 withadminoption。 連接用戶2 /用戶2 orclgrantcreatetabletouser 3。 語法是revokesys _ priv _ list fromuser _ list|role _ list |公用語法。 注意：如果多個管理員授予用戶相同的系統(tǒng)權(quán)限，然后其中一個管理員重復使用授予該用戶的系統(tǒng)權(quán)限，則該用戶將不再具有相應的系統(tǒng)權(quán)限。用戶要重