管理密码安全用户角色和数据库权限.ppt

,管理口令安全性和资源,目标,完成本课后,您应当能够执行下列操作:使用配置文件管理口令管理配置文件使用配置文件控制资源使用获取有关配置文件,口令管理和资源的信息,配置文件,命名的口令和资源限制集通过CREATEUSER或ALTERUSER命令分配用户可以启用或禁用可与DEFAULT配置文件相关,Accountlocking,Securitydomain,Directprivileges,Temporarytablespace,Defaulttablespace,Tablespacequotas,Authenticationmechanism,Roleprivileges,Resourcelimits,口令管理,启用口令管理,使用配置文件设置口令管理并向用户分配口令使用下列命令锁定,解除锁定帐户和使帐户失效CREATEUSER或ALTERUSER命令始终执行口令限制,口令帐户锁定,ParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIME,DescriptionNumberoffailedloginattemptsbeforelockoutoftheaccountNumberofdaysforwhichtheaccountremainslockeduponpasswordexpiration,口令失效和过期,ParameterPASSWORD_LIFE_TIMEPASSWORD_GRACE_TIME,DescriptionLifetimeofthepasswordindaysafterwhichthepasswordexpiresGraceperiodindaysforchangingthepasswordafterthefirstsuccessfulloginafterthepasswordhasexpired,控制帐户锁定和口令,ALTERUSERhanneIDENTIFIEDBYrueACCOUNTUNLOCK;,口令历史记录,ParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAX,DescriptionNumberofdaysbeforeapasswordcanbereusedMaximumnumberoftimesapasswordcanbereused,口令验证,ParameterPASSWORD_VERIFY_FUNCTION,DescriptionPL/SQLfunctionthatmakesapasswordcomplexitycheckbeforeapasswordisassigned,用户提供的口令函数,必须在SYS方案中创建函数,且函数必须具有下列说明:,function_name(userid_parameterINVARCHAR2(30),password_parameterINVARCHAR2(30),old_password_parameterINVARCHAR2(30)RETURNBOOLEAN,口令验证函数VERIFY_FUNCTION,长度至少为4个字符口令不应与用户名相同口令至少应包含一个字母,一个数字和一个特殊字符新口令应至少有3个字母与原口令不同,创建配置文件:,CREATEPROFILEgrace_5LIMITFAILED_LOGIN_ATTEMPTS3PASSWORD_LOCK_TIMEUNLIMITEDPASSWORD_LIFE_TIME30PASSWORD_REUSE_TIME30PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_GRACE_TIME5;,改变配置文件,ALTERPROFILEdefaultFAILED_LOGIN_ATTEMPTS3PASSWORD_LIFE_TIME60PASSWORD_GRACE_TIME10;,删除配置文件,DROPPROFILEdeveloper_prof;,DROPPROFILEdeveloper_profCASCADE;,用配置文件管理资源,1.用CREATEPROFILE命令创建配置文件2.使用CREATE或ALTERUSER命令向用户分配配置文件3.使用以下参数或命令启用资源限制:RESOURCE_LIMIT初始化参数ALTERSYSTEM命令,设置会话级资源限制,设置调用级资源限制,ResourceCPU_PER_CALLLOGICAL_READS_PER_CALL,DescriptionCPUtimepercallinhundredthsofsecondsNumberofdatablocksthatcanbereadpercall,创建配置文件:资源限制,CREATEPROFILEdeveloper_profLIMITSESSIONS_PER_USER2CPU_PER_SESSION10000IDLE_TIME60CONNECT_TIME480;,启用资源限制,将初始化参数RESOURCE_LIMIT设置为TRUE使用ALTERSYSTEM命令启用参数,从而执行资源限制,ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;,查看口令和资源限制信息,DBA_USERSprofileusernameaccount_statuslock_dateexpiry_dateDBA_PROFILESprofileresource_nameresource_type(PASSWORD,KERNEL)limit,小结,在本课中,您应该已经学会如何:管理口令管理配置文件管理资源限制,管理用户,目标,完成本课后,您应当能够执行下列操作:创建新的数据库用户改变和删除现有的数据库用户监视有关现有用户的信息,用户和安全,Accountlocking,Tablespacequotas,Temporarytablespace,Defaulttablespace,Roleprivileges,Resourcelimits,Securitydomain,Directprivileges,Authenticationmechanism,数据库方案,TablesTriggersConstraintsIndexesViewsSequencesStoredprogramunitsSynonymsUser-defineddatatypesDatabaselinks,创建用户的核对清单,1.选择用户名和验证机制2.识别用户需用于存储对象的表空间3.决定每个表空间的限额4.分配缺省表空间和临时表空间5.创建用户6.向用户授予权限和角色,创建新用户:数据库验证,设置初始口令:,CREATEUSERpeterIDENTIFIEDBYmy1stsonDEFAULTTABLESPACEdataTEMPORARYTABLESPACEtempQUOTA15mONdataPASSWORDEXPIRE;,创建新用户:操作系统验证,使用OS_AUTHENT_PREFIX示例:osUser=user15,RemoteLoginPossible,OS_AUTHENT_PREFIXOS_emptystring“OPS$(default),DatabaseUserOS_USER15USER15OPS$USER15(default),No,No,Yes,创建新用户:原则,首先选择标准口令;尽量少用操作系统验证使用EXPIRE关键字强制用户重置口令始终分配临时表空间仅向少数几个用户分配限额;慎用QUOTAUNLIMITED培训用户:连接更改口令,更改表空间中的用户限额,ALTERUSERpeterQUOTA0ONdata;,删除用户,如果方案包含对象,则使用CASCADE子句,DROPUSERpeter;,DROPUSERpeterCASCADE;,监视用户,DBA_USERSUSERNAMEUSER_IDCREATEDACCOUNT_STATUSLOCK_DATEEXPIRY_DATEDEFAULT_TABLESPACETEMPORARY_TABLESPACE,DBA_TS_QUOTASUSERNAMETABLESPACE_NAMEBYTESMAX_BYTESBLOCKSMAX_BLOCKS,小结,在本课中,您应该已经学会如何:创建指定适当口令机制的用户控制用户的空间使用,管理权限,管理权限,目标,完成本课后,您应当能够执行下列操作:识别系统和对象权限授予和撤消权限控制操作系统或口令文件验证识别审计功能,管理权限,两种类型的权限:系统:使用户可以在数据库中执行特定的操作对象:使用户可以访问和操纵特定的对象,系统权限,有大约126种系统权限权限中的ANY关键字表示用户在每个方案中都具有权限GRANT命令向用户或用户组添加权限REVOKE命令删除权限,系统权限:示例,CategoryExamplesINDEXCREATEANYINDEXALTERANYINDEXDROPANYINDEXTABLECREATETABLECREATEANYTABLEALTERANYTABLEDROPANYTABLESELECTANYTABLEUPDATEANYTABLEDELETEANYTABLESESSIONCREATESESSIONALTERSESSIONRESTRICTEDSESSIONTABLESPACECREATETABLESPACEALTERTABLESPACEDROPTABLESPACEUNLIMITEDTABLESPACE,授予系统权限,GRANTCREATESESSION,CREATETABLETOmanagers;,GRANTCREATESESSIONTOscottWITHADMINOPTION;,SYSDBA和SYSOPER权限,CategoryExamplesSYSOPERSTARTUPSHUTDOWNALTERDATABASEOPEN|MOUNTALTERDATABASEBACKUPCONTROLFILEALTERTABLESPACEBEGIN/ENDBACKUPRECOVERDATABASEALTERDATABASEARCHIVELOGRESTRICTEDSESSIONSYSDBASYSOPERprivilegesWITHADMINOPTIONCREATEDATABASERECOVERDATABASEUNTIL,口令文件验证,1.检查是否已创建口令文件;如果没有,则使用ORAPWD创建2.检查初始化参数REMOTE_LOGIN_PASSWORD_FILE已设置为EXCLUSIVE3.向用户授予SYSOPER和SYSDBA权限4.查询V$PWFILE_USERS以验证口令文件成员,显示系统权限,DBA_SYS_PRIVSGRANTEEPRIVILEGEADMINOPTION,SESSION_PRIVSPRIVILEGE,DatabaseLevel,SessionLevel,系统权限限制,O7_DICTIONARY_ACCESSIBILITY=TRUE还原为Oracle7的行为使用ANY关键字删除对系统权限的限制缺省值为TRUE,撤消系统权限,REVOKECREATETABLEFROMkaren;,REVOKECREATESESSIONFROMscott;,使用WITHADMINOPTION,grantrevoke,KAREN,SCOTT,DBA,KAREN,SCOTT,DBA,使用WITHADMINOPTION,结果,DBA,KAREN,SCOTT,对象权限,对象权限表视图序列过程ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE,授予对象权限,GRANTEXECUTEONdbms_pipeTOpublic;,GRANTUPDATE(first_name,salary)ONemployeeTOkarenWITHGRANTOPTION;,显示对象权限,DBA_TAB_PRIVS,DBA_COL_PRIVS,GRANTEEOWNERTABLE_NAMEGRANTORPRIVILEGEGRANTABLE,GRANTEEOWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRANTABLE,撤消对象权限,REVOKEexecuteONdbms_pipeFROMscott;,使用WITHGRANTOPTION,GRANT,REVOKE,SCOTT,SCOTT,USER1,USER1,USER2,USER2,使用WITHGRANTOPTION,RESULT,SCOTT,USER1,USER2,审计原则,确定审计目的可疑的数据库操作采集历史信息确定要审计的内容审计用户,语句或对象按会话成功或未成功管理审计线索监视审计线索的增长保护审计线索以避免未经授权地访问,审计类别,审计已授权的操作始终审计启动,关闭和SYSDBA连接数据库审计由DBA启用无法记录列值基于值的审计或应用程序审计通过代码实现可以记录列值用于追踪对表所做的更改,启用审计选项,语句审计权限审计方案对象审计,AUDITuser;,AUDITselectanytableBYsummitBYACCESS;,AUDITLOCKONsummit.employeeBYACCESSWHENEVERSUCCESSFUL;,查看审计选项,DataDictionaryViewALL_DEF_AUDIT_OPTSDBA_STMT_AUDIT_OPTSDBA_PRIV_AUDIT_OPTSDBA_OBJ_AUDIT_OPTS,DescriptionDefaultauditoptionsStatementauditingoptionsPrivilegeauditingoptionsSchemaobjectauditingoptions,查看审计结果,AuditTrailViewDBA_AUDIT_TRAILDBA_AUDIT_EXISTSDBA_AUDIT_OBJECTDBA_AUDIT_SESSIONDBA_AUDIT_STATEMENT,DescriptionAllaudittrailentriesRecordsforAUDITEXISTS/NOTEXISTSRecordsconcerningschemaobjectsAllconnectanddisconnectentriesStatementauditingrecords,小结,在本课中,您应该已经学会如何:控制系统和对象权限使用数据库审计,