黑帽联盟
标题: oracle用户安全管理及基础语法 [打印本页]
作者: yun 时间: 2016-11-28 23:43
标题: oracle用户安全管理及基础语法
Oracle用户管理
创建用户:
语法:create user 用户名 identified by 密码
修改密码:
语法:passw 用户
或
Alter user 用户名 identified by 新密码;
和mysql不同,mysql修改密码方式:
Set password for 用户名=password(‘密码‘);
用新用户登录oracle数据库
Conn 新用户/密码
ERROR:
ORA-01045: user CBH lacks CREATE SESSION privilege; logon denied
不允许登录数据库,需要授权才可。
和mysql不同,新建的用户可以直接登录mysql数据库
用户授权
一般都是用管理员进行授权
Grant
语法:grant 权限 to 用户;
用户权限
权限可分为系统权限和对象权限
系统权限:create user,create table,create view,create sequence等等
对象权限:insert,delete,update,select等等
用户角色
可分为:预定义角色和自定义角色
角色包括权限
预定义角色:dba,connect,resource
自定义角色:crud(即增删改查)
授予角色
语法:grant 角色 to 用户
回收角色
语法:revoke 角色 from 用户
删除用户
语法:drop user 用户
前提:此用户没有创建任何对象。否则不能删除,要想删除,需在后面加上cascade参数
如:drop user 用户 cascade(删除此用户的时候,此用户所创建的数据对象也会被一并删除)
如果想紧紧删除用户,不删除数据对象,可以先备份一下数据,然后在删除用户,接着再恢复数据。
Oracle方案
每当创建一个用户的额时候,并且用这个用户创建了数据对象,也就产生了相应的方案,方案名称和用户的名称一样
和mysql不同,在里面没有方案概念,刚创建的用户,授予他all权限,就可以查看当前数据库下的所有表,而oracle不同,它需要被授予查看某个方案里表的权限才可
案例:
Dingwei用户想查看scott方案里面的emp表,则需要管理员或者scott用户给dingwei用户进行授权,才可进行相应的操作。
Grant select on scott.emp to dingwei;
系统权限和对象权限的继承
系统权限继承:with admin option
对象对象继承:with grant option
案例:
1、 通过系统管理员system新建用户dingwei并授权可以查看scott方案里面的emp表,再通过dingwei用户授权给其它用户stu用户可以查看scott方案里面的emp表。
Conn scott/admin或者conn system/admin
Grant select on scott.emp to dingwei with grant option;
Conn dingwei/dingwei
Grant select on scott.emp to stu;
用户口令管理
Profile文件:profile是口令限制,资源限制的命令集合,当建立数据时,oracle会自动建立名称为default的profile,当建立用户没有指定profile选项,那oracle就会将default分配给用户。
Mysql没有profile口令历史管理文件
创建profile
语法:create profile profile文件名 limit failed_login_attempts 登录的次数 password_lock_time 天数;
分配profile文件给某个用户
语法:alter user 用户 profile profile文件;
案例(账户锁定)
例如:指定scott用户最多只能尝试3次登录,失败过后,锁定用户2天。
Create profile myprofle1 limit failed_login_attempts 3password_lock_time 2;
Alter user scott profile myprofile1;
为用户解锁
Alter user scott account unlock;
终止口令
用途:为了让用户定期修改密码可以使用终止口令来完成,同样这个命令需要dba身份来操作
语法:create profile profile文件 limit password_life_time 天数 password_grace_time 宽限日;
案例:
给所创建的用户dingwei创建一个profile文件,要求该用户每隔10天需修改登录密码,宽限期为2天。
Create profile myprofile2 limit password_life_time 10password_grace_time 2;
Alter user digwei profile myprofile2
切记:一个用户只要被分配了一次profile,要想再次分配的话,会在原有的基础上进行累加天数。和想要的结果不一样,即使删除之前分配过的profile。
口令历史
概述:当要求用户修改密码时,不能使用原有的旧密码,可使用口令历史。
语法:create profile profile文件 password_life_time 5 password_grace_time 2password_reuse_time 1;
删除profile
语法:drop profile profile文件;
Oracle登录认证方式
分为操作系统认证和数据库认证
操作系统认证(默认的认证方式)
Conn 不存在用户/随机密码 as sysdba(可以登录进去,并且是以超级用户登录进去)
Conn 存在的普通用户/随机密码 as sysdba(可以登录进去,并且是以超级用户登录进去)
原因:系统用户组ora_dba里面有当前用户,所以才会导致如此
解决方式:删除ora_dba组里面的用户即可。
数据库验证
对于普通用户验证,默认的是数据库验证
对于特权用户,如sys,是通过操作系统认证的,在这里可以修改数据库的认证登录方式,即修改sqlnet.ora文件
SQLNET.AUTHENTICATION_SERVICES= (NTS) 注:是通过操作系统认证的
SQLNET.AUTHENTICATION_SERVICES= (NONE) 注:是通过数据库验证的
SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS) 注:也可两者结合
再通过数据库验证的额时候,使用如下方式是登录不进去的。
Conn 不存在用户/随机密码 as sysdba
Conn 存在的普通用户/随机密码 as sysdba
Oracle管理员密码丢失
解决方法:
1、 在安装目录下找PWDorcl.ora文件,备份一下,再删除此文件
2、 在dos环境下,前提必须是操作系统管理员用户administrator,执行以下命令:
a) Orapwd file=PWDorcl.ora所在的全路径\PWDorcl.ora password=新的密码 entries=10。会生成一个新的PWDorcl.ora文件
注:entries是针对多个超级用户可以同时登录数据库。
欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) |
Powered by Discuz! X2.5 |