转载

回收DBA角色的注意事项

   Oracle对于权限的划分粒度非常精细,为了方便管理条目众多权限,Oracle引入了角色(role)这个逻辑概念,也在系统中预先设置了很多角色。在实际的应用中,应用用户对于权限的需要可能较为复杂,因此为了方便授权,很多应用用户被授予DBA角色,DBA角色拥有较多的系统权限,这对于数据库的管理是非常不利的,违反了权限最小化的安全原则。出于安全的考虑,系统可能需要回收DBA角色,在回收权限的过程中,为了保证应用正常运行,需要注意一些细节,下文将对几个需要注意的点进行讨论。
  实验环境说明(本文中的结论适用于10g~11.2.0.4):
  1. SQL> select * from v$version;
  2. BANNER
  3. --------------------------------------------------------------------------------
  4. Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
  5. PL/SQL Release 11.2.0.3.0 - Production
  6. CORE    11.2.0.3.0    Production
  7. TNS for Linux: Version 11.2.0.3.0 - Production
  8. NLSRTL Version 11.2.0.3.0 - Production
 一、grant/revoke role操作的生效时间

  1. --创建一个新用户,并授予connect角色
  2. session 1:
  3. SQL> create user darren identified by darren;
  4. User created.
  5. SQL> grant connect to darren;
  6. Grant succeeded.
  7. --使用新用户登录数据库
  8. session 2:
  9. SQL> conn darren/darren
  10. Connected.
  11. SQL> select * from session_privs;
  12. PRIVILEGE
  13. ----------------------------------------
  14. CREATE SESSION
  15. SQL> select * from session_roles;
  16. ROLE
  17. ------------------------------
  18. CONNECT
  保持session 2不退出,在session 1中授予resource角色

  1. session 1:
  2. SQL> grant resource to darren;
  3. Grant succeeded.
  4. --session 2中查询用户拥有的系统权限和角色
  5. SQL> select * from session_privs;
  6. PRIVILEGE
  7. ----------------------------------------
  8. CREATE SESSION
  9. UNLIMITED TABLESPACE --新增加的系统权限
  10. SQL> select * from session_roles;
  11. ROLE
  12. ------------------------------
  13. CONNECT
  退出session,重新登录用户

  1. SQL> conn darren/darren
  2. Connected.
  3. SQL> select * from session_privs;
  4. PRIVILEGE
  5. ----------------------------------------
  6. CREATE SESSION
  7. UNLIMITED TABLESPACE
  8. CREATE TABLE
  9. CREATE CLUSTER
  10. CREATE SEQUENCE
  11. CREATE PROCEDURE
  12. CREATE TRIGGER
  13. CREATE TYPE
  14. CREATE OPERATOR
  15. CREATE INDEXTYPE
  16. 10 rows selected.
  17. SQL> select * from session_roles;
  18. ROLE
  19. ------------------------------
  20. CONNECT
  21. RESOURCE
  
   结论:1、UNLIMITED TABLESPACE系统权限会随resource角色授予用户,由于是作为单独的系统权限,因此会立即生效;
       2、grant/revoke角色不会立即生效,需要使用set role或者重新登录才生效(直接授予系统权限、对象权限是立即生效)。

  二、回收DBA角色时的影响
        继续上面的实验,在session 1中授予和回收用户DBA角色,session 2重新登录用户
  1. session 1:
  2. SQL> grant dba to darren;
  3. Grant succeeded.
  4. SQL> revoke dba from darren;
  5. Revoke succeeded.
  6. session 2:
  7. SQL> conn darren/darren
  8. Connected.
  9. SQL> select count(*) from session_privs;
  10.   COUNT(*)
  11. ----------
  12.      9
  13. SQL> select * from session_roles;
  14. ROLE
  15. ------------------------------
  16. CONNECT
  17. RESOURCE
  18. SQL> select * from session_privs; --注意,这里没有了UNLIMITED TABLESPACE权限
  19. PRIVILEGE
  20. ----------------------------------------
  21. CREATE SESSION
  22. CREATE TABLE
  23. CREATE CLUSTER
  24. CREATE SEQUENCE
  25. CREATE PROCEDURE
  26. CREATE TRIGGER
  27. CREATE TYPE
  28. CREATE OPERATOR
  29. CREATE INDEXTYPE
  在session 2中创建表并插入数据

  1. SQL> create table test1(a varchar2(20),b varchar2(10)); --这里能创建成功是由于11g的延迟段创建特性,在这里并没有在表空间中实际生成segment
  2. Table created.
  3. SQL> insert into test1 values('a','b');
  4. insert into test1 values('a','b')
  5.             *
  6. ERROR at line 1:
  7. ORA-01950: no privileges on tablespace 'USERS'
  
    结论:1、在回收DBA角色时,UNLIMITED TABLESPACE权限会被回收;
         2、回收UNLIMITED TABLESPACE权限后用户的表空间quota立即耗尽,即无法使用tablespace的存储空间。

 三、回收DBA权限后的处理
       1、由于回收DBA权限后用户的UNLIMITED TABLESPACE系统权限被回收,可以按下列方式之一给用户授权,以便用户能正常使用表空间:
  1. SQL> grant RESOURCE to DARREN;
  2. SQL> alter user DARREN quota unlimited on USERS;
  3. SQL> grant UNLIMITED TABLESPACE to DARREN;
        2、如果应用用户有特殊的权限需求,需要在回收DBA角色后单独为用户授予部分系统权限、对象权限。




正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 springcloud-demo Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 如何将Spring Cloud Task发布Data Flow上执行?
  2. 2 Spring Cloud Data Flow快速入门Demo
  3. 3 Spring Cloud Consul实现选举机制
  4. 4 Spring Boot集成ShedLock实现分布式定时任务
  5. 5 利用oss进行数据库和网站图片备份
  6. 6 Spring Cloud Stream实现数据流处理
  7. 7 Python3访问MySQL数据库快速入门Demo
  8. 8 Github开源项目作者可以免费申请 JetBrains 全家桶
  9. 9 Spring Cloud Vault快速入门Demo
  10. 10 Spring Cloud Gateway快速入门Demo
网站信息
  • 文章总数:82,716 篇
  • 文件总数:284,297 个
  • 标签总数:2,396 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:699 人
  • 运行天数:4,411天
  • 最后更新:2024年11月24日09点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG