管理用户安全性.ppt

管理用户安全性 课程目标 学完本课程后，应能完成以下工作： 创建和管理数据库用户帐户 验证用户 分配默认存储区（表空间） 授予和撤销权限 创建和管理角色 创建和管理概要文件 实施标准口令安全功能 控制用户的资源使用量 数据库用户帐户 每个数据库用户帐户都包括以下项： 唯一的用户名 验证方法 默认表空间 临时表空间 用户概要文件 初始使用者组 帐户状态 方案： 是数据库用户拥有的数据库对象的集合 与用户帐户具有相同的名称 数据库用户帐户完整注释页 预定义管理帐户 SYS 帐户： 被授予了DBA 角色以及几个其它角色 具有带 ADMIN OPTION 的所有权限 执行启动、关闭和某些维护命令时需要使用该帐户 拥有数据字典和自动工作量资料档案库 (AWR) SYSTEM 帐户被授予了 DBA 、MGMT_USER和AQ_ADMINISTRATOR_ROLE角色。 DBSNMP账户被授予OEM_MONITOR角色。 SYSMAN账户被授予MGMT_USER、RESOURCE和SELECT_CATALOG_ROLE角色。 常规操作不使用这两个账户。 创建用户 选择“Server Users （服务器 用户）”，然后单击“Create（创建）”按钮。 验证用户 口令 外部验证 全局验证 验证用户完整注释页 管理员验证 操作系统安全性 DBA 必须具有创建或删除文件的操作系统权限。 普通数据库用户不应具有创建或删除数据库文件的操作系统权限。 管理员安全性 对于 SYSDBA、SYSOPER 和 SYSASM 连接。 对于口令文件和严格验证方法，按名称审计 DBA 用户。 对于操作系统验证，审计操作系统帐户名。 对于 授权用户，操作系统验证优先于口令文件验证。 口令文件使用区分大小写的口令。 解除用户帐户的锁定并重置口令 权限 用户权限有两类： 系统：允许用户在数据库中执行特定的操作 对象：允许用户访问和操纵特定的对象 系统权限 系统权限完整注释页 对象权限 撤销带 ADMIN OPTION 的系统权限 撤销具有 GRANT OPTION 的对象权限 角色的优点 简化权限管理 动态进行权限管理 有选择地使用权限 将权限分配给角色以及将角色分配给用户 预定义角色 创建角色 选择“Server Roles（服务器 角色）”。 保护角色 将角色分配给用户 Quiz All passwords created in Oracle Database 11g are not case-sensitive by default. True False Quiz A database role: Can be enabled or disabled Can consist of system and object privileges Is owned by its creator Cannot be protected by a password 概要文件和用户 概要文件和用户完整注释页 实施口令安全功能 口令安全完整注释页 创建口令概要文件 提供的口令验证函数：VERIFY_FUNCTION_11G VERIFY_FUNCTION_11G函数可确保口令满足以下条件： 至少包含八个字符。 与用户名、带有一个数字的用户名以及逆序的用户名不同。 与数据库名以及带有一个数字的数据库名不同 是至少含有一个字母和一个数字的字符串 与之前的口令至少有三个字母不相同。 提示：使用此函数作为模板可创建自己的定制口令验证。 将限额分配给用户 没有 UNLIMITED TABLESPACE 系统权限的用户，必须先获得限额，然后才能在表空间中创建对象。 限额可以是： 以兆字节或千字节为单位的特定值 无限制 将限额分配给用户完整注释页 应用最少权限原则 保护数据字典： 撤消不必要的PUBLIC 权限 使用访问控制列表（ACL)来控制网络访问 限制用户可访问的目录 限制具有管理权限的用户 限制远程数据库验证： 应用最少权限原则完整备注页 保护授权帐户 授权帐户的保护方式有： 使用口令区分大小写的口令文件 对管理员角色启用严格的验证方法 Quiz Applying the principle of least privilege is not enough to harden the Oracle database. True False Quiz With RESOURCE_LIMIT set at its default value of FAL