數據庫安全管理

一、Oracle身份認證方法

Oracle身份驗證主要有如下幾種方式：

• 操作系統認證

• 口令文件認證

• 數據庫密碼認證

• 外部身份驗證

• 網絡身份驗證

其中，操作系統認證和口令文件針對管理員賬戶；外部身份驗證類似于操作系統認證。

1、操作系統認證

 操作系統用戶添加到DBA組之后，可以直接用connect / as sysdba連接。如：

[root@mycentos ~]# useradd scott
[root@mycentos ~]# su scott
[scott@mycentos ~]$ export ORACLE_SID=orcl
[scott@mycentos ~]$ export ORACLE_BASE=/app/oracle
[scott@mycentos ~]$ export ORACLE_HOME=$ORACLE_BASE/product/11.2.0/db_1
[scott@mycentos ~]$ export PATH=$PATH:$ORACLE_HOME/bin
[scott@mycentos ~]$ export LANG=en_US.UTF-8
[scott@mycentos ~]$ alias sqlplus='rlwrap sqlplus';
[scott@mycentos ~]$ alias rman='rlwrap rman';
[scott@mycentos ~]$ sqlplus /nolog

SQL> conn /as sysdba
ERROR:
ORA-01031: insufficient privileges

#另一窗口中執行

[root@mycentos ~]# usermod -a -G dba scott
[root@mycentos ~]# grep scott /etc/group
dba:x:500:oracle,scott

#此時再執行

SQL> conn /as sysdba
Connected.

是否啟用操作系統驗證，由sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES參數控制，它具有如下三個值：

• NONE：作用是不允許通過 OS 系統用戶登錄數據庫，需要提供用戶名及密碼；

• ALL：作用是允許所有的登錄方式；

• NTS：作用是允許本地操作系統用戶認證；

當sqlnet.authentication_services=none時，只能使用密碼連接。

SQL> conn /as sysdba
ERROR:
ORA-01031: insufficient privileges
SQL> conn sys/asd as sysdba
Connected.

當sqlnet.authentication_services=all時，允許操作系統認證。

SQL> conn /as sysdba
Connected.

sqlnet.authentication_services=nts時，linux系統下不能使用操作系統認證。

2、口令文件的管理

[讀書筆記]密碼文件總結。

3、數據庫密碼認證

 簡而言之就是：conn user/pwd@服務名

4、外部身份驗證

創建用戶時使用externally參數。

5、網絡身份驗證

 一個用于管理身份的新興標準時使用 LDAP 服務器。Oracle Internet Directory(OID) 就是 Oracle 符合 LDAP 標準的一個產品，全局用戶就是在 LDAP 目錄中定義的用戶。[暫時還未接觸到,目前可以忽略,創建用戶時使用globally參數]

二、用戶管理

2.1創建用戶

create user user_name

[identified by password |externally| globally] #數據庫認證方式,數據庫認證、操作系統認證

[default collation collation_name]#很少用到

[default tablespace tablespace_name]

[[locla] temporary tablespace tablespace_name|tablespace group name]

[quota size_clause|unlimited on tablespace_name]

[profile profile_name] #概要文件，只做了解，oracle建議使用 Database Resource Manager

[password expire]#密碼立即失效

[account lock|unlock]

[enable editions]#應該是版本控制

[container=current|all]#CDB和PDB中使用

2.2修改用戶

alter user 開頭，后面的語句基本與create user相同。

2.3 刪除用戶

DROP USER user_name [ CASCADE ] ;

2.4 權限管理

oracle權限的分配與回收

1)權限分配官方文檔:

http://docs.oracle.com/cd/E11882_01/server.112/e41084/statements_9013.htm#SQLRF01603

2)權限回收官方文檔:

http://docs.oracle.com/cd/E11882_01/server.112/e41084/statements_9020.htm#SQLRF01609

三、角色管理

3.1 角色的創建

create role role_name;

3.2 權限分配

grant role to user/role;

3.3 角色刪除

drop role;

3.4 系統預定義的角色

connect:11.2中只有create session 的權限；

resource:具有創建數據對象和過程對象的權限，還包括unlimited tablespace的權限；

dba：處了啟動和關閉數據庫外幾乎所有權限

select_catalog_role：只有查看數據字典的權限，但沒有系統權限或針對用戶數據的權限。

scheduler_admin：擁有用于管理調度服務的調度程序作業所需的系統權限。

四、配置文件

ORACLE 配置文件

五、審計

【讀書筆記】數據庫審計