授予数据库账号dba权限_oracle数据库限制dba权限
2011年10月10日星期一
最小化原则,宁少勿滥,尤其对any系统权限,需要谨慎控制
主要角色及dba权限说明,详见压缩包中excel文件:
数据库系统管理员,sys用户默认具有sysdba权限,详细权限列表,可以参看压缩包中excel文件:
可以进行如下管理活动:
启动和关闭数据库
挂载、打开、备份数据库,并且修改字符集
创建数据库
删除数据库
创建服务器参数文件
更改数据库归档模式
执行数据库恢复操作,包括完全恢复和不完全恢复
启用限制会话模式
通常通过操作系统认证,是权限最高的oracle数据库用户,可以认为,sysdba用户,可以对数据库做任任何事情。
数据库管理员,system用户默认具有dba权限,详细权限列表及说明,可以参看压缩包中excel文件:
dba用户可以进行日常的大多数数据库维护操作,可创建、修改、删除任何大多数数据库对象,可创建用户,可修改用户,可修改数据库、数据库系统配置,可审计 、调优数据库,可建立自制任务,可影响会话,可备份任何表等等,权限等级仅次于sysdba。
在创建某个用户,并且该用户创建了一些数据库对象(当然,前提是具有相应的create或者create any 的权限),oracle会默认创建并维护一个schema,并且,该用户具有对所创建用户的all权限。
通常,某个用户作为数据库主要的开发用户,赋予该用户connect + resource角色权限即可,connect角色中包含create session系统权限,resource角色权限,详细参见
如果该用户需要创建物化视图,则需要另外赋予系统权限:
CREATE MATERIALIZED VIEW
在创建普通用户后,应首先赋予create session系统权限,或者connect角色权限,并限定使用的默认表空间及表空间配额。普通用户默认具有public角色权限,public角色权限详细参见:
普通用户的权限需要做到细粒度控制:需要的时候给,不需要的时候立即取消权限。对表的访问,可建立合理视图,再赋予普通用户视图的select权限。对于procedure,切忌赋予execute any procedure权限!!!对于表的更改、插入操作,需要普通用户操作的,可以建立procedure,并赋予该普通用户execute权限。注意在procedure做好审计记录。
在很多时候,为了企业的数据安全,需要dba只进行一些管理操作,而不能访问业务数据。限制dba是很困难的,限制过严,则dba很多工作不能做,最终转化为sysdba的负担。
dba对业务数据访问的权限,可以是以下几种:
dba本身具有SELECT ANY TABLE的系统权限,可以访问业务数据;
dba本身具有GRANT ANY PRIVILEGE的权限,可以给自己赋予SELECT ANY TABLE的权限,从而访问业务数据;
dba本身具有GRANT ANY OBJECT PRIVILEGE的权限,可以给自己赋予对相应业务数据表的访问权限,以实现访问目的;
dba本身具有DATAPUMP_IMP_FULL_DATABASE、OLAP_DBA等角色权限,这些角色权限中具有select any table的系统权限,或者GRANT ANY PRIVILEGE、GRANT ANY OBJECT PRIVILEGE的权限,也可以通过相应的赋权,获得对业务数据的访问。
dba本身具有EXECUTE ANY PROCEDURE的权限,可以通过一些系统包的存储过程,实现给自己赋权,从而访问业务数据。
dba具有ALTER USER的权限,可以通过修改相应schema用户的密码,用shemale user连接数据库,访问业务数据。
要限制dba对业务数据的访问,就要将这些方面杜绝。为此,可以创建新的dba角色,将敏感的、不需要的权限,从dba角色中剔除,再建立新的dba账户时,赋予新的dba角色,以起到限制dba的目的。
注意:不要试图直接修改dba角色的权限,这个操作很危险!!!
在压缩包中,scripts文件夹中,包含了限制dba需要的sql脚本,包括获得dba角色权限的脚本,应该赋予自定义dba角色权限的脚本,供参考。
具有GRANT权限的角色:
具有SELECT ANY TABLE权限的角色:
具有EXECUTE ANY PROCEDURE权限的角色:
需要创建awr报告的,只需对包dbms_workload_repository的execute权限。
授予数据库账号dba权限_oracle数据库限制dba权限相关推荐
- oracle19c 安装权限_Oracle 数据库安装系列一:19C 软件安装和补丁升级
点击上方蓝字关注我们-我们的文章会在微信公众号"Oracle恢复实录"和博客网站"rescureora.com" 同步更新 ,欢迎关注收藏,也欢迎大家转载,但是 ...
- Oracle XTTS跨平台数据库迁移(从Unix迁移数据库到Linux)_Oracle数据库迁移项
Oracle数据库迁移教程04 Oracle XTTS跨平台数据库迁移实战 (真正超越OCP/OCM的项目实战系列教程) 本套风哥Oracle教程学习内容 1.Oracle XTTS技术基础知识 2. ...
- Linux查询pg数据库账号密码,PostgreSQL登录数据库
添加新用户和新数据库以后,就要以新用户的名义登录数据库,这时使用的是psql命令. psql -U dbuser -d exampledb -h 127.0.0.1 -p 5432 上面命令的参数含义 ...
- 备份数据库的expdp语句_Oracle数据库备份恢复Data Pump Expdp/Impdp参数详解与案例介绍...
oracle数据库备份恢复Data Pump Expdp/Impdp参数详解与案例介绍 目 录 1 Oracle数据泵的介绍 3 2 Oracle expdp/impdp参数使用介绍 3 2.1 Or ...
- oracle数据库时分秒格式_Oracle数据库日期格式大全
Oracle中TO_DATE格式2009-04-14 10:53TO_DATE格式(以时间:2007-11-02 13:45:25为例) Year: yy two digits 两位年 ...
- oracle账号密码修改后特别容易锁定_Oracle数据库账号总是被锁?通过这里就可以发现是哪个IP造成的...
概述 简单说下背景,公司对数据库密码复杂度有一定要求,所以需要改数据库密码,因为涉及到应用这块要对应修改,但运维和开发人员却不知道具体有哪些地方配置了数据库账号密码,导致数据库账号总是被锁,所以需要看 ...
- Oracle账号_Oracle数据库账号总是被锁?通过这里就可以发现是哪个IP造成的
概述 简单说下背景,公司对数据库密码复杂度有一定要求,所以需要改数据库密码,因为涉及到应用这块要对应修改,但运维和开发人员却不知道具体有哪些地方配置了数据库账号密码,导致数据库账号总是被锁,所以需要看 ...
- 【金猿产品展】齐治DSG数据库安全网关系统——统一的数据库操作管控平台
齐治科技产品 本项目由齐治科技投递并参与"数据猿年度金猿策划活动--2021大数据产业创新服务产品榜单及奖项"评选. 数据智能产业创新服务媒体 --聚焦数智 · 改变商业 齐治数据 ...
- 授予数据库账号dba权限_从自建Oracle迁移至云原生数据仓库AnalyticDB PostgreSQL
#本示例以名称为dtstest的数据库账号为例介绍授权命令,需要对PDB和CDB同时授权 #PDB授权示例: create user dtstest IDENTIFIED BY rdsdt_dtsac ...
最新文章
- (转)Unity Assets目录下的特殊文件夹名称(作用和是否会被打包到build中)
- 在Linux系统下编译并执行C++程序
- SAP 如何得到交货单上的序列号清单?
- 怎么简述计算机网络的含义,计算机网络复习资料-含简答题参考答案
- Go 语言的%d,%p,%v等占位符的使用
- MyBatis 源码解读-执行SQL
- |洛谷|动态规划|P1164 小A点菜
- java ssh 那一层应该捕获异常_ssh经典异常!
- Spring容器,控制反转,依赖注入
- leetcode题解179-最大数
- 提交form前先使用JS进行验证
- 网络安全实验2 信息搜集与主机发现
- linux基础知识考试试题
- 前端必备Javascript 书籍测评【含红宝书和绿皮书】
- 【转】DVI转HDMI没声音怎么办
- ionic ionc-item去掉下划线
- C++线程编程-内存顺序
- 哪个软件可以测试服装的衣服,测试男生穿什么衣服的软件:男生脸型测试软件...
- Wordpress 网站添加打赏插件
- 第五课:实现花样流水灯