ORACLE 用戶的規(guī)范化管理
2024-08-29 13:38:50
供稿:網(wǎng)友
隨著Oracle數(shù)據(jù)庫里的信息量越來越大,能對ORACLE操作的用戶也越來越多。
怎樣安全地治理各行各業(yè)、各公司、各部門的數(shù)據(jù),首先要從ORACLE用戶治理著
手。
一、目前ORACLE用戶治理存在的問題
1、權(quán)限過大
對ORACLE數(shù)據(jù)庫編程和瀏覽的一般用戶經(jīng)常具有DBA (數(shù)據(jù)庫治理員權(quán)限),
能對數(shù)據(jù)庫系統(tǒng)做任何修改或刪除。
2、安全性差
很多ORACLE用戶缺省存儲位置都在系統(tǒng)表空間,這樣不僅影響系統(tǒng)的正常工
作,而且不同用戶的數(shù)據(jù)信息互相影響、透明,保密性差。隨著數(shù)據(jù)的不斷加入,
有可能使整個數(shù)據(jù)庫系統(tǒng)崩潰。
3、密碼有規(guī)律
在ORACLE調(diào)試初期形成的用戶名和密碼一致的不良習(xí)慣保留到現(xiàn)在;系統(tǒng)用
戶SYS和SYSTEM的密碼也眾所皆知。
二、ORACLE用戶的規(guī)范化治理
綜述以上ORACLE用戶治理中的種種弊端,再根據(jù)數(shù)據(jù)庫使用情況,提出其規(guī)
范化治理的建議:
1、ORACLE DBA (數(shù)據(jù)庫治理員)的規(guī)范
⑴、SUN Solaris操作系統(tǒng)下ORACLE用戶密碼應(yīng)嚴(yán)格保密,絕不該把密碼設(shè)成
ORACLE;并指定專門的數(shù)據(jù)庫治理員定期修改。
⑵、ORACLE初始化建立的SYS和SYSTEM系統(tǒng)治理員用戶密碼應(yīng)由原來的MANAGER
改成別的不易被記憶的字符串。
⑶、ORACLE WEB SERVER的治理端口具備DBA瀏覽數(shù)據(jù)庫的能力,因此其治理者
ADMIN的密碼也應(yīng)保密,不該把密碼設(shè)成MANAGER;并指定專門的數(shù)據(jù)庫治理員定
期修改。
⑷、ORACLE DBA最好在SUN SPARC服務(wù)器控制臺上用窗口式界面實(shí)現(xiàn)治理。前提
是ORACLE用戶啟動服務(wù)器,然后在窗口式命令行下輸入SVRMGRM,即啟動了ORACLE
SERVER MANAGER菜單式治理;用SYSDBA身份登錄后,就可做數(shù)據(jù)庫系統(tǒng)維護(hù)工作
了。
2、SQL*PLUS編程用戶的規(guī)范
⑴、存儲結(jié)構(gòu)的規(guī)范
考慮到用SQL*PLUS編程可實(shí)現(xiàn)各行各業(yè)、各公司、各部門多種多樣的應(yīng)用
需求,我們的SQL*PLUS編程用戶也應(yīng)該朝這個方向規(guī)范:不同種類的應(yīng)用必須有
不同的用戶;不同種類的應(yīng)用必須有不同的存儲位置,包括物理文件、缺省表空
間、臨時表空間的創(chuàng)建和規(guī)劃:當(dāng)預(yù)備編寫某一較大規(guī)模(從ORACLE數(shù)據(jù)量和面向
用戶量考慮)應(yīng)用程序時,首先應(yīng)該創(chuàng)建一個邏輯的存儲位置-表空間,同時定義
物理文件的存放路徑和所占硬盤的大小。
①、物理文件缺省的存放路徑在/oracle_home/dbs下,在命令行下用UNIX指令
df -k 可查看硬盤資源分區(qū)的使用情況。假如oracle_home使用率達(dá)90‰以上,而
且有一個或多個較為空閑的硬盤資源分區(qū)可以利用,我們最好把物理文件缺省的
存放路徑改到較為空閑的硬盤資源分區(qū)路徑下。在此路徑下我們可以這樣規(guī)劃資
源物理文件的存儲:
xxx表空間
xxx行業(yè)/ xxx公司/ xxx 部門/ xxx 服務(wù).dbf
DEMO表空間
default_datafile_home1/col /elec/sys4/demo1.dbf
default_datafile_home1/col /elec/sys4/demo2.dbf
公司系統(tǒng)四部摹擬演示系統(tǒng)物理文件
HUMAN表空間
default_datafile_home1/col/elec/human/human.dbf
公司人事部人事治理系統(tǒng)物理文件
BOOK表空間
default_datafile_home1/col/elec/book/book.dbf
公司資料室圖書治理系統(tǒng)物理文件
QUESTION表空間
default_datafile_home1/col/elec/client/question.dbf
公司客戶服務(wù)部問題庫系統(tǒng)物理文件
PC表空間
default_datafile_home1/col/chaoxun/client/pc.dbf
公司PC機(jī)售后服務(wù)系統(tǒng)物理文件
……表空間
default_datafile_home2/……………………………
等等
說明:其中default_datafile_home1指oracle_home/dbs;
default_datafile_home2指較為空閑的硬盤資源分區(qū)路徑。
②、物理文件的大小根據(jù)應(yīng)用系統(tǒng)的數(shù)據(jù)量、數(shù)據(jù)對象、程序包的多少來定。
一般用于摹擬演示的小系統(tǒng),表空間初始的物理文件為2M即能滿足要求,假如信
息量滿,還可以增加物理文件,擴(kuò)充表空間(每次擴(kuò)充大小也可暫定為2M);一般
實(shí)際運(yùn)行的應(yīng)用系統(tǒng)可適當(dāng)增加表空間初始的物理文件大小,但也不要一次分配
太大(因?yàn)椴灰谆厥湛臻g,卻易擴(kuò)充空間),這也需要根據(jù)具體情況具體分析:信
息量大、需長時間保存的應(yīng)用在條件答應(yīng)情況下,表空間可以大到幾百M(fèi)甚至上G;
信息量小、短期經(jīng)常刷新的應(yīng)用,表空間可以控制在2M以下。
舉例: ●創(chuàng)建APP 某應(yīng)用表空間(窗口菜單方式):
oracle_home/dbs/app.dbf 2M 某應(yīng)用的物理文件
oracle_home所在的/wwwdg分區(qū)使用率為10‰,所以物理文件可放在其缺省路徑:oracle_home/dbs 下。
●創(chuàng)建APP 某應(yīng)用表空間(命令行方式)
oracle_home/dbs/app.dbf 2M 某應(yīng)用的物理文件
%svrmgrl
SVRMGR>connect internal;
SVRMGR> create tablespace app datafile 'app.dbf'size 2M;
說明:物理文件的缺省路徑為ORACLE_HOME/DBS
即wwwdg/oracle/app/oracle/PRodUCt/7.3.2/dbs
③、表空間的名稱應(yīng)該采用同系統(tǒng)應(yīng)用相似的英文字符或字符縮寫,表空間所對
應(yīng)的一個或多個物理文件名也應(yīng)有相關(guān)性。不同用戶所處的缺省表空間不同,存
儲的信息就不能互相訪問。這比把所有用戶信息都儲存在系統(tǒng)表空間,安全性大
大提高了。假如用ORACLE WEB SERVER治理端口創(chuàng)建的用戶,其缺省和臨時表空
間一定是系統(tǒng)表空間,DBA切記要改變用戶的缺省表空間。臨時表空間存放臨時
數(shù)據(jù)段,處理一些排序、合并等中間操作,根據(jù)實(shí)際應(yīng)用的需求可以把它們放在
專門創(chuàng)建的表空間里;假如系統(tǒng)表空間大,也可以把它們放在系統(tǒng)表空間。用戶
創(chuàng)建的數(shù)據(jù)索引最好和數(shù)據(jù)文件分開存放在不同表空間,以減少數(shù)據(jù)爭用和提高
響應(yīng)速度。
舉例:
●改變dcd用戶缺省表空間(窗口菜單方式):
●改變dcd用戶缺省表空間(命令行方式)
%svrmgrl
SVRMGR>connect internal;
SVRMGR>alter user dcd identified by dcdpwd default tablespace app;
⑵、權(quán)限的規(guī)范
對ORACLE數(shù)據(jù)庫編程的用戶具有CONNECT加RESOURCE權(quán)限就足以完成其工作。假如
要開發(fā)在INTERNET上可執(zhí)行的應(yīng)用程序,我們建議用ORACLE WEB SERVER治理端口
創(chuàng)建SQL*PLUS編程新用戶。在 ORACLE WEB SERVER ADMINISTRATION中選PL/SQL
AGENT。
舉例:
●創(chuàng)建一個SQL*PLUS編程新用戶new (窗口菜單方式)
再選CREATE NEW DCD
選SUBMIT NEW SERVICE按紐后,屏幕提示CREATE DCD SUCCESS!這個過程不
僅創(chuàng)建了ORACLE的新用戶,還安裝了WEB SERVER的PL/SQL工具包,并確定了其有
效的INTERNET瀏覽端口。
選CONFIGURE 80
選Directory Mappings
做好端口相應(yīng)INTERNET資源配置
修改WEB請求插件80
加入新用戶WEB請求的應(yīng)用和路徑
做好端口相應(yīng)INTERNET資源配置和加入新用戶的WEB請求插件后,DBA切記要
改變用戶的缺省表空間,由系統(tǒng)表空間改到為相關(guān)應(yīng)用而創(chuàng)建的表空間。這樣,
有效的面向INTERNET的SQL*PLUS編程用戶就規(guī)劃好了。
⑶、密碼和用戶名的規(guī)范
有相當(dāng)數(shù)量的ORACLE用戶名和密碼一致,這是個很不安全的因素。我們建議
ORACLE用戶名和密碼一定不要一樣,密碼最好在五,六位字符以上。不同用戶間
不應(yīng)該使用相同的密碼。用戶名的定義可根據(jù)實(shí)際應(yīng)用的英文名來設(shè),而依據(jù)編
程人員的姓名定義的用戶名實(shí)際上不規(guī)范,可在日后的工作中結(jié)合上述有關(guān)存儲
結(jié)構(gòu)規(guī)范的說明逐步改進(jìn)。
3、非凡要求用戶的規(guī)范
在ORACLE數(shù)據(jù)庫使用過程中,還會碰到一些有非凡要求的用戶:非編程人員
需要對某個表有查詢、增加、刪除、修改的權(quán)利。DBA應(yīng)創(chuàng)建一個這樣的用戶,先
確定用戶名和密碼,再規(guī)定相關(guān)應(yīng)用所在缺省表空間(包含某個表)和臨時表空間,
最后TABLE屬主給其授權(quán):賦予CONNECT角色加SELECT、INSERT、DELETE、UPDATE
ON THE TABLE的對象級權(quán)限,這可根據(jù)實(shí)際需求自由取舍。
舉例:●給新用戶授于對象級權(quán)限(命令行方式):
假設(shè)新用戶NEW2需要有查詢、刪除、修改DCD用戶的表EMP。
%svrmgrl
SVRMGR>connect internal;
以系統(tǒng)治理員登錄
SVRMGR>create user new2 identified by new2345 default tablespace app;
SVRMGR>connect dcd/dcdpwd; 以dcd用戶登錄
SVRMGR>grant connect to new2;
SVRMGR>grant select on emp to new2;
SVRMGR>grant delete on emp to new2;
SVRMGR>grant update on emp to new2;
