这本书刚刚收到,粗略的看一下 优点:很入门的东西,适合初学者,知识点涉及比较广,图文并茂,STEP BY SETP 不足:缺乏一定的实战经验,类似于操作手册,不太适合中级DBA人员开发和管理 |
1.你认为如何合理使用用户、权限和角色,最终保证数据库的安全? 一般授权原则: 权限最小化 一般授权方式: 权限 - 角色 / 组 - 用户 1、按照授权原则, 按照 角色 / 组 来进行控制,本着最小化原则,将权限细分给特定的 角色 / 组 2、定期检查(使用用户、权限数据字典表)无效用户和权限变更的用户,重新进行权限回收和所在 角色 / 组 调整 3、定期检查(使用用户、权限数据字典表)角色 / 组对一个的权限是否需要增加和回收 4、取消(Lock) 数据库默认用户 如 sys \ system , 并对默认用户密码进行变更 5、加强数据库登录的认证级别 2.说说读完试读章节后您的感想。 2.说说读完试读章节后您的感想。 1、从目录来看,类似于字典格式,便于有一定经验的人员进行知识点查询 2、除了用户、权限和角色的管理,对于数据库的安全还包括人为操作等 |
1.你认为如何合理使用用户、权限和角色,最终保证数据库的安全? a.对于权限 最小权限的准则意味着用户只被授予能完成的它的任务所需要的权限。 这样可以减少用户修改和查看(意外地或恶意地)他没的权限修改和查看的数据。 a.1 保护数据字典:O7_DICTIONARY_ACCESSIBILITY默认设置为FALSE,不要轻易修改它。 可以防止具有ANY TABEL系统权限的用户访问数据字典基表。也可以确保SYS用户可以只作为SYSDBA登录。 a.2 从PUBLIC回收不需要的权限:许多包对于应用程序非常有用,但需要正确的配置来安全地使用。 PUBLIC被授予了下面这些包的执行权限,UTL_SMTP、 UTL_TCP、UTL_HTTP、UTL_FILE。 在Oracle 11g中是通过访问控制列表(NCL)来控制网络访问的,特定的用户只允许访问特定的网络。 UTL_FILE访问被控制在2个层次:操作系统层次对文件和目录的访问权限;数据库层次通过DIRECTORY对象。 可以将DIRECTORY对象的读或读写权限授予给用户。对其它PL/SQL包的执行权限也需要仔细地控制。 b.对于角色 对角色也可以进行保护 角色默认是开启的,这意味着角色被授予用户,则用户就可以具有角色中的权限。 在用户连接时,默认的角色被授予给用户。 可以: b.1设置角色为非默认的,角色授予用户,如果没有指定DEFAULT选项,则角色中的权限可以执行之前,必须先开启角色。 b.2让角色需要额外的认证。 b.3创建安全应用角色,这种角色只有在成功地执行了PL/SQL过程进行验证后,才能开启。 (可以验证用户的网络地址、用户运行的应用程序、日期等) b.4使用Oracle Database Vault选项,可以简化角色的管理 c. 对于用户 要保护特权帐户 具有SYSDBA、SYSOPER、SYSASM权限的用户必须始终被验证。 当本地连接时,用户通过本地操作系统来验证,它是特权OS用户组的成员; 如果远程连接,使用口令文件来验证特权用户。如果口令文件被配置,首先会检查口令文件。 在Oracle 11g中这些口令是大小写敏感的。 Oacle 11g提供了其它的方法,来使远程管理员验证更安全,并且中心化了这些特权用户的管理。 2.说说读完试读章节后您的感想。 书不错,文笔流畅。知识点也比较准确。 |
先试读下再说 |
本帖最后由 jimn1982 于 2013-9-9 21:10 编辑 1.你认为如何合理使用用户、权限和角色,最终保证数据库的安全? Oracle数据库的用户管理和权限管理是确保数据安全的主要手段。数据库系统层的安全机制分系统安全机制和数据安全机制。 一般用于生产的账号都是用显示权限的设置加上基础的role权限 connect。不会用的权限绝对不能多。 2.说说读完试读章节后您的感想。 好书,精简易懂。 |
关注 |
1.你认为如何合理使用用户、权限和角色,最终保证数据库的安全? Oracle数据库的用户管理和权限管理是确保数据安全的主要手段。数据库系统层的安全机制分系统安全机制和数据安全机制。 对用户而言,只有授权用户才能访问数据库。Oracle初始状态下存在3个用户:sys、system、scott。前两者都是系统级用户,其中sys级别最高,而system是系统管理员,scott则是默认的测试用户,初始时被锁定。 Oracle数据库还有自带的用户,可通过数据字典dba_users进行查询。 在Oracle数据库,创建用户只是完成了用户设置的第一步。用户登录数据库后是不能做任何操作的。这就需要对用户授予权限。 Oracle的权限分为系统权限和对象权限。系统权限表示的是对数据库级的操作。对象权限表示的是对表对象、视图、存储过程、触发器等操作的权限。 Oracle的数据字典dba_sys_privs、system_privilege_map描述了各种系统权限及权限分配情况。 要注意,在使用Oracle创建用户后,只给用户分配最合适的访问权限,不要随意分配权限。 至于权限的传递,则是权限分配的技巧,正确使用它,可以省去一些工作量。 要注意,被授予的权限是可以收回的。从一个指定的用户那里收回所有的权限时,并没有从Oracle中删除那个用户,也没有销毁该用户所创建的表,只是禁用了该用户访问这些表。 权限是针对用户或角色的。 与用户相关的数据字典视图:user_users、all_users、dba_users。 查看当前会话中的资源限制,可以使用user_resource_limits数据字典视图。 查询表的权限的数据字典视图:user_tab_privs、dba_tab_privs。 列的权限的数据字典视图:user_col_privs。 系统权限的数据字典视图: dba_sys_privs、session_ privs、user_sys_privs。 当Oracle用户较多时,使用角色来授权,无疑很省事。角色是一组指定的权限,这些权限是系统权限、对象权限或者两者的结合,用于帮助简化权限的管理。 查看Oracle的角色,使用数据字典dba_roles。 要注意,角色之间的权限也是可以传递的,可以将一个角色授予另一个角色。 角色也可以禁用和启用。 概要文件简称profile,如果数据库没有创建概要文件,那么系统将使用默认的概要文件default。概要文件可以用于用户,但是本能在角色中使用。概要文件可以实现强密码管理和限制用户使用的资源。 在profile中,主要存放的是数据库中的系统资源或者数据库使用限制的一些内容。 2.说说读完试读章节后您的感想。 这是一本好书,感觉难度不大,易读、易上手是这本书的特点,语言平实,试读仅提供了第20章的内容,讲述了Oracle数据库的安全管理,安全管理涉及用户、权限、角色。读了后觉得Oracle安全这部分已经熟练掌握了。希望能有机会得到此书,从头读到尾。 |