Oracle数据库安全管理

Oracle数据库安全管理

---

---

目录

+  1.数据库安全控制策略概述

+  2.用户管理

+  3.资源限制与口令管理

+  4.权限管理

+  5.角色管理

+  6.审计

1.数据库安全控制策略概述

安全性是评估一个数据库的重要指标，Oracle数据库从3个层次上采起安全控制策略：

• 系统安全性。在系统级别上控制数据库的存取和使用机制，包括有效的用户名与口令、是否能够链接数据库、用户能够进行哪些系统操做等；
• 数据安全性。在数据库模式对象级别上控制数据库的存取和使用机制。用户要对某个模式对象进行操做，必需要有操做的权限；
• 网络安全性。Oracle经过分发Wallet、数字证书、SSL安全套接字和数据密钥等办法来保证数据库的网络传输安全性。

  数据库的安全能够从如下几个方面进行管理：

• 用户帐户管理
• 用户身份认证方式管理。Oracle提供多种级别的数据库用户身份认证方式，包括系统、数据库、网络3种类型的身份认证方式
• 权限和角色管理。经过管理权限和角色，限制用户对数据库的访问和操做
• 数据加密管理。经过数据加密来保证网络传输的安全性
• 表空间设置和配额。经过设置用户的存储表空间、临时表空间以及用户在表空间上使用的配额，能够有效控制用户对数据库存储空间的使用
• 用户资源限制。经过概要文件设置，能够限制用户对数据库资源的使用

数据库审计。监视和记录数据库中的活动，包括审计全部的SQL语句、审计SQL权限、审计模式对象以及审计网络活动等。

接下来将对数据库安全管理方法进行一 一讨论。

 2.用户管理

用户是数据库的使用者和管理者，Oracle经过设置用户及安全属性来控制用户对数据库的访问。Oracle的用户分两类，一类是建立数据库时系统预约义的用户，一类是根据应用由DBA建立的用户。

2.1 预约义用户

在oracle建立时建立的用户，咱们称为预约义用户，预约义用户根据做用不一样分为3类：

• 管理员用户：包括SYS,SYSTEM,SYSMAN,DBSNMP等。SYS是数据库中拥有最高权限的管理员，能够启动、关闭、修改数据库，拥有数据字典；SYSTEM是一个辅助的数据库管理员，不能启动和关闭数据库，可是能够进行一些管理工做，如建立和删除用户；SYSMAN是OEM的管理员，能够对OEM进行配置和管理；DBSNMP用户是OEM代理，用来监视数据库的。以上这些用户都不能删除。
• 示例方案用户：在安装Oracle或使用odbc建立数据库时，若是选择了”示例方案”，会建立一些用户，在这些用户对应的schema中，有产生一些数据库应用案例。这些用户包括：BI、HR、OE、PM、IX、SH等。默认状况下，这些用户均为锁定状态，口令过时。
• 内置用户：有一些Oracle特性或Oracle组件须要本身单独的模式，所以为他们建立了一些内置用户。如APEX_PUBLIC_USER、DIP等。默认状况下，这些用户均为锁定状态，口令过时。

此外还有2个特殊的用户SCOTT和PUBLIC，SCOTT是一个用于测试网络链接的用户，PUBLIC实际是一个用户组，数据库中任何用户都属于该用户组，若是要为数据库中的所有用户授予某种权限，只须要对PUBLIC受权便可。

2.2 用户属性

在建立用户时，必须使用安全属性对用户进行限制，用户的安全属性主要包括：

• 用户名：在同一个数据库中，用户名是惟一的，而且不能与角色名相同；
• 用户身份认证：Oracle采用多种方式进行身份认证，如数据库认证、操做系统认证、网络认证等；
• 默认表空间：用户建立数据库对象时，若是没有显式指明存储在哪一个表空间中，系统会自动将该数据库对象存储在当前用户的默认表空间，在Oracle 11g中，若是没有为用户指定默认表空间，则系统将数据库的默认表空间做为用户的默认表空间；
• 临时表空间：临时表空间分配与默认表空间类似，若是不显式指定，系统会将数据库的临时表空间做为用户的临时表空间；
• 表空间配额：表空间配额限制用户在永久表空间中可使用的存储空间的大小，默认新建用户在表空间都没有配额，能够为每一个用户在表空间上指定配额，也可授予用户UMLIMITED TABLESPACE系统权限，使用户在表空间的配额上不受限制。不须要分配临时表空间的配额；
• 概要文件：每一个用户必须具备一个概要文件，从会话级和调用级两个层次限制用户对数据库系统资源的使用，同时设置用户的口令管理策略。若是没有为用户指定概要文件，Oracle将自动为用户指定DEFAULT概要文件；
• 设置用户的默认角色
• 帐户状态：建立用户时，能够设定用户的初始状态，包括口令是否过时和帐户是否锁定等。

能够经过数据字典dba_users查询各个用户的属性（这里只截取了前面几列）：

SQL> select * from dba_users;                                                                                                               
                                                                                                                                            
USERNAME        USER_ID PASSWORD   ACCOUNT_STATUS    LOCK_DATE   EXPIRY_DATE DEFAULT_TABLESPACE  TEMPORARY_TABLESPACE   CREATED             
------------ ---------- ---------- ----------------- ----------- ----------- ------------------- ---------------------- -----------         
SCOTT                84            OPEN                          2017/8/20 0 USERS               TEMP                   2009/8/15 0         
LIJIAMAN             91            OPEN                          2017/10/31  USERS               TEMP                   2017/2/25 1         
ORACLE_OCM           21            EXPIRED & LOCKED  2009/8/15 0 2009/8/15 0 USERS               TEMP                   2009/8/15 0         
XS$NULL      2147483638            EXPIRED & LOCKED  2009/8/15 0 2009/8/15 0 USERS               TEMP                   2009/8/15 0    

2.3 建立用户

建立用户语法以下：

CREATE USER user_name  IDENTIFIED
[BY password] |
[EXTERNALLY [AS ‘certificate_DN’ | ‘kerberos_principal_name'] ] |
[GLOBALLY [AS 'directory_DN'] ]
[DEFAULT TABLESPACE tablespace_name]
[TEMPORARY TABLESPACE tablespace_name | tablespace_group_name]
[QUOTA  n K | M | UNLIMITED ON tablespace_name ]
[PROFILE profile_name]
[PASSWORD EXPIRE]
[ACCOUNT LOCK | UNLOCK];

其中：

-user_name：新建立的用户的名称；

-IDENTIFIED：指明用户认证方式；

-BY password：采用数据库身份认证，password为用户密码；

-EXTERNALLY：指定用户采用外部认证，其中：①AS ‘certificate_DN’指定用户采用ssl外部身份认证；②AS ‘kerberos_principal_name’指定用户采用kerberos外部身份认证；

-GLOBALLY AS ‘directory_DN’：指定用户采用全局身份认证；

-DEFAULT TABLESPACE tablespace_name：设置用户的默认表空间；

-TEMPORARY TABLESPACE tablespace_name | tablespace_group_name：设置用户临时表空间/表空间组；

-QUOTA n K|M|UNLIMITED ON tablespace_name：指定用户在特定表空间上的配额；

-PROFILE profile_name：为用户指定概要文件；

-PASSWORD EXPIRE：指定用户密码到期，用户首次登录时系统会要求改密码；

-ACCOUNT LOCK|UNLOCK：指定用户为锁定/非锁定状态，默认不锁定。

2.4 修改用户

修改用户采用ALTER实现，语句与CREATE USER基本相同，惟一不一样的是多了DEFAULT ROLE选项，用于指定用户的默认角色：

ALTER USER user_name  
...
[DEFAULT ROLE [role_list] | [ALL [EXCEPT role_list]] | NONE ]
...
;

 

其中：

 

-role_list：指定角色列表；

-ALL：指定所有角色；

-EXCEPT role_list：除了role_list指定的角色以外的角色；

-NONE：不指定角色 .

2.5 锁定与解锁用户

当用户被锁定后，就不能登陆数据库了，可是用户的全部数据库对象仍然能够继续使用，当用户解锁后，用户就能够正常链接到数据库。

在Oracle中，当帐户再也不使用时，就能够将其锁定。一般，对于不用的帐户，能够进行锁定，而不是删除。

例子，锁定与解锁scott用户：

/*使用SYS锁定SCOTT帐户，锁定以后没法在登陆*/ SQL> show user; USER 为 "SYS"
SQL> ALTER USER SCOTT ACCOUNT LOCK;

用户已更改。

SQL> conn scott/tiger
ERROR:
ORA-28000: the account is locked


警告: 您再也不链接到 ORACLE。 /*解锁SCOTT帐户，解锁后登陆到数据库*/ SQL> conn sys as sysdba
输入口令:
已链接。
SQL> ALTER USER SCOTT ACCOUNT UNLOCK;

用户已更改。

SQL> conn scott/tiger;
已链接。

2.6 删除用户

使用drop user删除用户，基本语法为：

DROP USER user_name [CASCADE];

 

若是用户拥有数据库对象，则必须使用CASCADE选项，Oracle先删除用户的数据库对象，再删除该用户。

2.7 查询用户信息

在Oracle中，包含用户信息的数据字典以下：

视图名称	说明
DBA_USERS	包含数据库的全部用户的详细信息（15项）
ALL_USERS	包含数据库全部用户的用户名、用户ID和用户建立时间（3项）
USER_USERS	包含当前用户的详细信息（10项）
DBA_TS_QUOTAS	包含全部用户的表空间配额信息
USER_TS_QUOTAS	包含当前用户的表空间配额信息
V$SESSION	包含用户会话信息
V$SESSTAT	包含用户会话统计信息

3.资源限制与口令管理

在数据库中，对用户的资源限制与用户口令管理是经过数据库概要文件（PROFILE）实现的，每一个数据库用户必须具备一个概要文件，一般DBA将用户分为几种类型，为每种类型的用户单首创建一个概要文件。概要文件不是一个具体的文件，而是存储在SYS模式的几个表中的信息的集合。

3.1 资源限制

概要文件经过一系列资源管理参数，从会话级和调用级两个级别对用户使用资源进行限制。会话资源限制是对用户在一个会话过程当中所能使用的资源进行限制，调用资源限制是对一条SQL语句在执行过程当中所能使用的资源总量进行限制。资源限制的参数以下：

• CPU使用时间：在一个会话或调用过程当中使用CPU的总量；
• 逻辑读：在一个会话或一个调用过程当中读取物理磁盘和逻辑内存数据块的总量；
• 每一个用户的并发会话数；
• 用户链接数据库的最长时间；
• 等

下面是scott用户的资源限制信息：

3.2 口令管理

oracle概要文件用于数据库口令管理的主要参数以下：

• FAILED_LOGIN_ATTEMPTS：限制用户失败次数，一旦达到失败次数，帐户锁定；
• PASSWORD_LOCK_TIME：用户登陆失败后，帐户锁定的时间长度；
• PASSWORD_LIFE_TIME：用户口令的有效天数，达到设定天数后，口令过时，须要从新设置新的口令；

• 等

下图是scott用户的口令管理参数设置信息：

3.3 查询概要文件信息

在Oracle 11g中，包含概要信息的数据字典以下：

视图名称	说明
DBA_USERS	包含数据库中全部用户属性信息，包括使用的概要文件（profile）
DBA_PROFILES	包含数据库中全部的概要文件及其资源设置、口令管理设置等信息
USER_PASSWORD_LIMITS	包含当前用户的概要文件的口令限制参数设置信息
USER_RESOURCE_LIMITS	包含当前用户的概要文件的资源限制参数设置信息
RESOURCE_COST	每一个会话使用资源的统计信息

4.权限管理

在Oracle数据库中，用户权限主要分为系统权限与对象权限两类。系统权限是指在数据库基本执行某些操做的权限，或针对某一类对象进行操做的权限，对象权限主要是针对数据库对象执行某些操做的权限，如对表的增删（删除数据）查改等。

4.1 系统权限

（4.1.1）系统权限概述

在Oracle 11g中，一共有200多项系统权限，可经过数据字典system_privilege_map得到全部的系统权限。

SQL> select * from system_privilege_map;                      
                                                              
 PRIVILEGE NAME                                       PROPERTY
---------- ---------------------------------------- ----------
        -3 ALTER SYSTEM                                      0
        -4 AUDIT SYSTEM                                      0
        -5 CREATE SESSION                                    0
        -6 ALTER SESSION                                     0
       ...          ...                                    ...
208 rows selected

（4.1.2）系统权限的授予

授予用户系统权限的SQL语法为：

GRANT system_privilege_list | [ALL PRIVILEGES] TO user_name_list | role_list | PUBLIC [WITH ADMIN OPTION];

 

其中：

-system_privilege_list：系统权限列表，以逗号分隔；

-ALL PRIVILEGES：全部系统权限；

-user_name_list：用户列表，以逗号分隔；

-role_list：角色列表，以逗号分隔；

-PUBLIC：给数据库中全部用户受权；

-WITH ADMIN OPTION：容许系统权限接收者再将权限授予其它用户

在授予用户系统权限时，须要注意：

• 只有DBA用户才有alter database；
• 应用开发者通常须要拥有create table、create view、create index等系统权限；
• 普通用户通常只需具备create session权限

• 在受权用户时带有with admin option子句时，用户能够将得到的权限再授予其它用户。

（4.1.3）系统权限的回收

回收用户系统权限的SQL语法以下：

REVOKE system_privilege_list | [ALL PRIVILEGES] FROM user_name_list | role_list | PUBLIC

 

回收用户系统权限须要注意如下3点：

• 多个管理员授予同一个用户相同的权限，其中一个管理员回收其授予用户的系统权限，该用户将再也不具备该系统权限；
• 为了回收用户系统权限的传递性（受权时使用了with admin option），须先回收该系统权限，在从新授予用户该权限；
• 若是一个用户的权限具备传递性，而且给其它用户受权，那么该用户系统权限被收回后，其它用户的系统权限并不会受影响；

4.2 对象权限

对象权限是指对某个特定模式对象的操做权限。数据库模式对象全部者拥有该对象的全部对象权限，对象权限的管理其实是对象全部者对其余用户操做该对象的权限管理。在Oracle数据库中，不一样类型的对象具备不一样的对象权限，而有的对象并无对象权限，只能经过系统权限进行管理，如簇、索引、触发器、数据库连接等。

（1）对象权限的授予

在Oracle数据库中，用户能够直接访问同名Schema下的数据库对象，若是须要访问其它Schema下的数据库对象，就须要具备相应的对象权限。对象权限授予的SQL语法为：

GRANT object_privilege_list | ALL [PRIVILEGES] [ (column,...) ] ON [schema.]object TO user_name_list | role_list | PUBLIC [WITH GRANT OPTION];

 

其中：

-object_privilege_list：对象权限列表，以逗号分隔；

-ALL PRIVILEGES：所有权限；

-[schema.]object：待受权的对象；

-user_name_list：用户列表，以逗号分隔；

-role_list：角色列表，以逗号分隔；

-PUBLIC：全部用户

（2）对象权限的回收

回收对象权限的SQL语法为：

REVOKE object_privilege_list | ALL [PRIVILEGES] ON [schema.]object FROM user_name_list | role_list | PUBLIC [CASCADE CONSTRAINTS] | [FORCE];

 

其中：

-CASCADE CONSTRAINTS：当回收REFERENCE对象权限或回收ALL PRIVILEGES，删除利用REFERENCES对象权限建立的外键约束；

-FORCE：当回收在表中被使用的用户自定义对象类型的EXECUTE权限时，必须指定FORCE关键字。

回收对象权限须要注意如下3点：

• 多个管理员授予同一个用户相同的对象权限，一个管理员将该对象权限回收后，该用户再也不具备该对象权限；
• 为了回收用户对象权限的传递性，须先回收该对象权限，再从新赋予给用户该对象权限；
• 若是一个用户的对象权限具备传递性，而且已经给其它用户受权，那么该用户的对象权限被回收后，其它用户的对象权限也将被收回。（值得注意的是，这一条与系统权限传递性的回收不相同）。

4.3 查询权限信息

视图名称	说明
DBA_SYS_PRIVS	包含全部用户和角色得到的系统权限信息
ALL_SYS_PRIVS	包含当前用户可见的所有用户和角色得到的系统权限信息
USER_SYS_PRIVS	当前用户得到的系统权限信息
DBA_TAB_PRIVS	包含全部用户和角色得到的对象权限信息
ALL_TAB_PRIVS	包含当前用户可见的所有用户和角色得到的对象权限信息
USER_TAB_PRIVS	当前用户得到的对象权限信息
DBA_COL_PRIVS	包含数据库中全部列对象的权限信息
ALL_COL_PRIVS	包含当前用户可见的全部列对象的权限信息
USER_COL_PRIVS	当前用户拥有的或授予其它用户的全部列对象的权限信息
SESSION_PRIVS	当前会话可使用的全部权限信息

5.角色管理

假如咱们直接给每个用户赋予权限，这将是一个巨大又麻烦的工做，同时也不方便DBA进行管理。经过采用角色，使得：

• 权限管理更方便。将角色赋予多个用户，实现不一样用户相同的受权。若是要修改这些用户的权限，只需修改角色便可；
• 角色的权限能够激活和关闭。使得DBA能够方便的选择是否赋予用户某个角色；
• 提升性能，使用角色减小了数据字典中受权记录的数量，经过关闭角色使得在语句执行过程当中减小了权限的确认。

                     图. 用户、角色、权限关系图

因为我的接触的数据库用户较少，没有单首创建角色，故角色的建立、修改、删除、激活、禁用、授予、回收再也不一一讲述，只要知道如何查询角色信息便可。

在Oracle中，包含角色的数据字典以下：

视图名称	说明
DBA_ROLE_PRIVS	包含数据库中全部用户拥有的角色信息
USER_ROLE_PRIVS	包含当前用户拥有的角色信息
ROLE_ROLE_PRIVS	角色拥有的角色信息
ROLE_SYS_PRIVS	角色拥有的系统权限信息
ROLE_TAB_PRIVS	角色拥有的对象权限信息
DBA_ROLES	当前数据库中全部角色及其描述信息
SESSION_ROLES	当前会话所具备的角色信息

6.审计

审计相关见另外2篇文章：

1.Audit（一）--认识Audit

2.Audit（二）--清理Audit数据