Oracle數(shù)據(jù)庫(kù)的管理
2024-08-29 13:37:10
供稿:網(wǎng)友
安全的實(shí)現(xiàn)
在多用戶(hù)環(huán)境中,有效治理Oracle數(shù)據(jù)庫(kù)最重要的方面就是創(chuàng)建一個(gè)安全模式來(lái)控制對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)和更改。在一個(gè)Oracle中,可以對(duì)單獨(dú)的用戶(hù)或數(shù)據(jù)庫(kù)角色授予安全許可。
安全治理一般在3個(gè)級(jí)別中執(zhí)行:
·數(shù)據(jù)庫(kù)級(jí)
·操作系統(tǒng)級(jí)
·網(wǎng)絡(luò)安全級(jí)
用戶(hù)名、權(quán)限、組和角色
DBA或數(shù)據(jù)庫(kù)安全治理員創(chuàng)建用戶(hù)名(username)來(lái)提供有效的用戶(hù)標(biāo)識(shí)符,用來(lái)和數(shù)據(jù)庫(kù)連接。在安裝過(guò)程中自動(dòng)創(chuàng)建兩個(gè)賦予DBA角色的用戶(hù)賬號(hào):SYS和SYSTEM。
角色(role)是權(quán)限的命名組,可以被創(chuàng)建、更改或刪除。在大多數(shù)實(shí)現(xiàn)中,DBA或安全治理員為用戶(hù)創(chuàng)建用戶(hù)名并分配角色,從而賦予用戶(hù)一個(gè)權(quán)限集。
每個(gè)數(shù)據(jù)庫(kù)都有個(gè)偽角色,稱(chēng)為PUBLIC,它包含所有的擁護(hù)。所有的用戶(hù)都可以賦予PUBLIC權(quán)限。假如通過(guò)要害字PUBLIC創(chuàng)建了數(shù)據(jù)庫(kù)鏈接,那么對(duì)于所有用戶(hù)這些鏈接都是可見(jiàn)的。
安全權(quán)限
有4個(gè)基本的安全權(quán)限可適用于Oracle數(shù)據(jù)庫(kù)中的數(shù)據(jù):
·SELECT 執(zhí)行查詢(xún)
·INSERT 在表或視圖中插入行
·UPDATE 更新表或視圖中的行
·DELETE 從表、表分區(qū)或視圖中刪除行
除了這些數(shù)據(jù)特定的權(quán)限外,還有以下用于數(shù)據(jù)庫(kù)模式中對(duì)象的權(quán)限:
·CREATE 在模式中創(chuàng)建表
·DROP 在模式中刪除表
·ALTER 更改表或視圖
所有權(quán)限都是通過(guò)兩個(gè)SQL命令來(lái)處理。GRANT命令把一個(gè)特定的權(quán)限賦予一個(gè)用戶(hù)或角色,REVOKE命令用于取消某個(gè)特定的權(quán)限。 其中任何一個(gè)命令都可以結(jié)合要害字PUBLIC對(duì)所有的用戶(hù)賦予或取消某個(gè)權(quán)限。
默認(rèn)角色和權(quán)限
默認(rèn)角色和權(quán)限集是Oracle安裝過(guò)程中預(yù)先定義的。 每個(gè)版本的默認(rèn)角色都有所變化
CONNECT
可用于注冊(cè)登錄到數(shù)據(jù)庫(kù)、創(chuàng)建對(duì)象和執(zhí)行導(dǎo)出。
RESOURCE
可用于創(chuàng)建過(guò)程、觸發(fā)器,以及用戶(hù)模式區(qū)內(nèi)的類(lèi)型。
DBA
賦予無(wú)限制的權(quán)限。
SYSOPER
權(quán)限集。答應(yīng)遠(yuǎn)程地建立與數(shù)據(jù)庫(kù)的連接,并執(zhí)行有限的已授權(quán)的操作,包括啟動(dòng)和關(guān)閉。
SYSDBA
權(quán)限集。和DBA角色十分相近,包含了SYSOPER權(quán)限集以及ADMIN OPTION所有的權(quán)限。可用于與遠(yuǎn)程數(shù)據(jù)庫(kù)連接,并遠(yuǎn)程執(zhí)行已授權(quán)的操作,如關(guān)閉或啟動(dòng)數(shù)據(jù)庫(kù)。
EXP_FULL_DATABASE
答應(yīng)執(zhí)行任何數(shù)據(jù)庫(kù)對(duì)象導(dǎo)出操作,并且將導(dǎo)出操作記錄在數(shù)據(jù)字典中。
IMP_FULL_DATABASE
可用于成為數(shù)據(jù)庫(kù)的用戶(hù),這樣用戶(hù)的對(duì)象就可以導(dǎo)入適當(dāng)?shù)哪J絻?nèi)。
DELETE_CATALOG_ROLE
可用于從SYS.AUD$審計(jì)表中刪除行。
EXECUTE_CATALOG_ROLE
可用于執(zhí)行恢復(fù)目錄中列出的所有導(dǎo)出包。
SELECT_CATALOG_ROLE
可用于從所有導(dǎo)出恢復(fù)目錄視圖和表中選擇角色。
RECOVERY_CATALOG_OWNER
可用于創(chuàng)建恢復(fù)目錄的所有者。
SNMPAGENT
可用于Oracle企業(yè)智能代理。
DBA角色
STARTUP
啟動(dòng)一個(gè)數(shù)據(jù)庫(kù)實(shí)例。
SHUTDOWN
關(guān)閉數(shù)據(jù)庫(kù)實(shí)例。
ALTER DATABASE OPEN
打開(kāi)一個(gè)已安裝的但是關(guān)閉的數(shù)據(jù)庫(kù)。
ALTER DATABASE MOUNT
通過(guò)前面的啟動(dòng)實(shí)例來(lái)安裝一個(gè)數(shù)據(jù)庫(kù)。
ALTER DATABASE BACKUP
例如,啟動(dòng)一個(gè)控制文件的備份。
但是現(xiàn)在用的大多是通過(guò)RMAN來(lái)備份
ALTER DATABASE ARCHIVELOG
指定在日志文件組可以重用之前,日志文件組的內(nèi)容必須歸檔。
ALTER DATABASE RECOVER
逐個(gè)地應(yīng)用日志或啟動(dòng)日志文件的自動(dòng)化應(yīng)用。
CREATE DATABASE
創(chuàng)建并命名一個(gè)數(shù)據(jù)庫(kù),指定數(shù)據(jù)文件和大小,并指定日志文件及其大小,還要設(shè)置參數(shù)限制
RESTRICTED session
可用于與受限(Restricted)模式中啟動(dòng)的數(shù)據(jù)庫(kù)相連接。設(shè)計(jì)受限模式的目的是使用戶(hù)避免進(jìn)行某些數(shù)據(jù)庫(kù)操作
DBA角色的權(quán)限一般用于對(duì)用戶(hù)分配表空間配額,設(shè)置系統(tǒng)資源限制以及建立審計(jì)。
安全審計(jì)
