[TIP][023] 1Z0-023 StudyNotes Lesson15-20

easyfree · 发表于 2002-4-17 10:47

[php]
* 审计 Auditing
目的: 审查可疑的数据库活动情况
获取数据库历史信息
规则: 确定审计用户/statement/objects
用by session 而非 by access
Successful or unsuccessful
监控审计结果
写入SYS.AUD$
写入操作系统审计结果文件中
要留出足够的空间写审计结果,要及时清理(DELETE/TRUNCATE)审计内容
控制审计权限(AUDIT ANY)
保护审计结果: AUDIT delete ON sys.aud$ BY ACCESS; -- 使仅有DELETE_CATALOG_ROLE role的用户可以操作SYS.AUD$
将审计结果移出SYSTEM表空间:
1 Ensure that auditing is currently disabled.
2 ALTER TABLE aud$ MOVE TABLESPACE AUDIT_TAB;
3 CREATE INDEX i_aud1 ON aud$(sessionid, ses$tid) TABLESPACE AUDIT_IDX;
4 Enable auditing for the instance.
种类
1. 特权操作审计 Auditing of Privileged Operations
下列数据库相关的活动始终被审计(记录到审计结果中)
Instance startup 记录内容包括: OS user 启动例程/terminal identifier/日期和时间戳/审计是否打开
Instance shutdown记录内容包括: OS user 关闭例程/terminal identifier/日期和时间戳
以管理权限连接数据库, 记录以SYSDBA/SYSOPER身份登录数据库
2. 数据库审计 Database Auditing
检查可疑的活动,如:审计连接到数据库的用户的所有成功或未成功的记录删除操作
监控和收集数据库活动信息,如: 收集在高峰期中多少表正在UPDATE,共有多少逻辑I/O,多少并发用户等等
3. 基于值的审计 Value-Based Auditing
数据库审计不记录列值的变化,如果需要,则要通过应用审计编程实现

[/php]

easyfree · 发表于 2002-4-17 10:49

[php]
应用
准备 1. 设置初始化参数 AUDIT_TRAIL = value
DB 激活审计,结果存入SYS.AUD$
OS 激活审计,结果存入OS文件
NONE 禁止审计(缺省值)
步骤 1. Enable Auditing
2. 指明审计参数
AUDIT {statement|system_priv}
-- SQL语句(CREATE/ALTER/DROP)或系统权限(owner权限->object权限->system权限)
[, {statement|system_priv} ]...
[BY user [, user ]... ] -- 仅审计列出的用户,省缺为所有用户
[BY {SESSION|ACCESS} ] -- 缺省=SESSION,对相同的SQL操作仅审计一次
-- BY ACCESS,对相同的SQL操作每执行一次就审计一次(DDL审计必须为此形式)
[WHENEVER [NOT] SUCCESSFUL] -- 指明仅在...状态下审计,缺省是两种情况均可
对象审计:
AUDIT statement [, statement ]...
ON {[schema.]object|DEFAULT} -- ON DEFAULT建立一个缺省的审计规则,以后所有用户的新创建的OBJECTS都按照此规则审计,查询ALL_DEF_AUDIT_OPTS看到当前缺省的审计规则,可用NOAUDIT .. ON DEFAULT取消(但原来通过此种方式获得审计的OBJECTS仍然有效,必须手工取消,检查

BA_OBJ_AUDIT_OPTS)
[BY {SESSION|ACCESS}]
[WHENEVER [NOT] SUCCESSFUL]
3. 执行SQL STATEMENTS -- 对于PL/SQL块,每条语句单独审计,所以可能产生多条审计记录
3. 生成审计结果数据 -- 审计在SQL执行过程中产生,所以不记录SQL语句分析过程中的错误,其产生的过程与事务不相关,所以即使用户事务回滚,审计记录依然存在
4. 查看审计结果 -- 查看SYS.AUD$或OS审计结果文件
说明对于SQL STATEMENT和系统权限的审计,使用AUDIT命令仅对后连接进来的SESSION生效,而OBJECT审计立即生效
对于NOAUDIT,必须和AUDIT一一对应,即: 仅取消完全对应的AUDIT语句的审计
如: AUDIT Create table by scott;
AUDIT Create table;
NOAUDIT Create table; -- 仅取消第二句,第一句的审计仍有效
相关数据字典和视图
Viewing Auditing Options
ALL_DEF_AUDIT_OPTS Default audit options
DBA_STMT_AUDIT_OPTS Statement auditing options
DBA_PRIV_AUDIT_OPTS Privilege auditing options
DBA_OBJ_AUDIT_OPTS Schema object auditing options
Viewing Auditing Results
DBA_AUDIT_TRAIL All audit trail entries
DBA_AUDIT_EXISTS Records for AUDIT EXISTS/NOT EXISTS
DBA_AUDIT_OBJECT Records concerning schema objects
DBA_AUDIT_SESSION All connect and disconnect entries
DBA_AUDIT_STATEMENT Statement auditing records

[/php]

easyfree · 发表于 2002-4-17 23:12

[php]
19 Managing Roles

* After completing this lesson, you should be able to do the following:
Create and modify roles
Control availability of roles
Remove roles
Use predefined roles
Display role information from the data dictionary
* 特性 -- 重点
1. 使用和权限一样的GRANT/REVOKE命令
2. 可以授权给用户或其他ROLE,除了自己(不论直接或间接都不允许)
3. 可以包括系统权限和对象权限
4. 对每一个赋予了ROLE的用户,可以ENABLE/DISABLE ?????
5. 可以对ENABLE设置口令
6. 每个ROLE名字唯一(且不能同用户名相同)
7. ROLE不属于任何SCHEMA也不属于任何用户
8. 描述存贮在数据字典中
* 优点
1. 简化授权操作
2. 动态权限管理
3. 可以临时性地ENABLE/DISABLE权限,可以检查某个用户是否已分配了某个角色 -- ????
4. 可以使用OS命令或工具来对用户分配角色
5. 角色撤销不会引发CASCADE -- ????
6. 提高性能: DISABLE角色,减少数据字典中存贮的GRANT数量,SQL执行中减少权限验证
* 管理
创建 CREATE ROLE role [NOT IDENTIFIED | IDENTIFIED {BY password | EXTERNALLY }]
-- 缺省不设置Enable口令 NOT IDENTIFIED
-- EXTERNALLY 表示Enable需要经过外部设备认证,如:OS或third-party service
使用OEM—>DBA Management Pack—>Security Manager
规则:
Users U1 U2 U3 U4 U5
| | | | |
User roles HR_CLERK HR_MANAGER PAY_CLERK
      |          | |       |
      | |---------    | |-------
Application Benefits Payroll
roles       |    |
      |    |
Application Benefits privileges Payroll privilege
privileges

1. 建立两个层次的ROLE: Application roles 和 User roles
2. Application roles直接面向权限, User roles直接面向用户
3. 避免直接授权给User roles
4. 若有变动,修改Application roles中的权限即可

[/php]

easyfree · 发表于 2002-4-17 23:13

[php]
使用
Role Name Description
---------------------------------------------------------------------------------
CONNECT,RESOURCE These two roles are provided for backward compatibility.
DBA All system privileges WITH ADMIN OPTION
EXP_FULL_DATABASE Privileges to export the database
IMP_FULL_DATABASE Privileges to import the database
DELETE_CATALOG_ROLE DELETE privileges on data dictionary tables
EXECUTE_CATALOG_ROLE EXECUTE privilege on data dictionary packages
SELECT_CATALOG_ROLE SELECT privilege on data dictionary tables
OSOPER,OSDBA 依赖系统
AQ_ADMINISTRATOR_ROLE 用于高级查询 dbmsaqad.sql创建
AQ_USER_ROLE ..

一些OS平台上(如:Solaris)获得RESOURCE角色就同时获得了UNLIMITED TABLESPACE权限
建议创建自己的角色,因为一些预定义的角色可能在将来的版本中不再创建

修改 ALTER ROLE role {NOT IDENTIFIED | IDENTIFIED {BY password | EXTERNALLY }};
分配 GRANT role [, role ]...
TO {user|role|PUBLIC} -- TO PUBLIC赋予所有用户
[, {user|role|PUBLIC} ]...
[WITH ADMIN OPTION] -- 让受让者成为此角色的管理者,可以ALTER/DROP/GRANT
-- 没有此选项的用户必须有GRANT ANY ROLE系统权限才能GRANT/REVOKE该ROLE
为用户指定DEFAULT ROLE: 用户log on时无需密码直接生效的缺省role -- 重点
ALTER USER user DEFAULT ROLE
{role [,role]... | ALL [EXCEPT role [,role]... ] | NONE}

ALL -- 所有GRANT给用户的ROLE都是缺省ROLE,这是缺省情况
NONE -- 所有GRANT给用户的ROLE都不是缺省ROLE,他们LOG ON时只有那些直接授权给他们的权限
-- 必须用SET ROLE命令ENABLE ROLE才能获得相应ROLE中的权限
ENABLE/DISABLE
描述
用户登录时,Default Role Enabled
Enable的角色必须已经GRANT
没有Enable的Role,其包含的权限不能使用,除非它们已经直接授权或通过其他Enabled角色授权给用户
Enable Role为Session级的,新Session连接时,恢复为Defalut Role
命令 SET ROLE {role [ IDENTIFIED BY PASSWORD ]
[, role [ IDENTIFIED BY PASSWORD ]]...
| ALL [ EXCEPT role [, role ] ...]
| NONE }
DBMS_SESSION.SET_ROLE
约束不能在存贮过程中ENABLE/DISABLE角色,可以在PL/SQL匿名块中执行(否则有:ORA-06565) -- 能否使用DBMS_SESSION.SET_ROLE?
如果设置了Role Enable的PASSWORD,则SET ROLE中也必须包括PASSWORD,或设置为Default Role无需口令
SET ROLE 将禁止所有此命令中ROLE以外的其他ROLE -- 包括default role????
The ALL option without the EXCEPT clause works only when every role that is enabled does not have a password.
规则
1. 将SELECT权限的ROLE置为DEFAULT ROLE -- 可以登录查询
2. 将DML权限的ROLE置为PASSWORD验证 -- 需要口令才能修改
3. 可将SET ROLE ... IDENTIFIED BY ... 写入应用程序中,通过应用程序控制口令录入

[/php]

easyfree · 发表于 2002-4-17 23:13

[php]
取消用户角色
REVOKE role [, role ]...
FROM {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
删除 DROP ROLE role
必须被授权WITH ADMIN OPTION 或有DROP ANY ROLE权限
删除ROLE时,Oracle Server从所有用户Revoke,从其他角色Revoke
* 相关数据字典和视图 -- 重点,注意各个视图的内容
DBA_ROLES All roles that exist in the database
DBA_ROLE_PRIVS Roles granted to users and roles
USER_ROLE_PRIVS
ROLE_ROLE_PRIVS Roles that are granted to roles
DBA_SYS_PRIVS System privileges granted to users and roles
ROLE_SYS_PRIVS System privileges granted to roles
ROLE_TAB_PRIVS Table privileges granted to roles
SESSION_ROLES Roles that the user currently has enabled
* Fine-Grained Access Control
定义: 使用函数实现的一种对表和视图进行访问的安全控制策略,它可以做到:
1. 对SELECT,INSERT,DELETE,UPDATE采用不同的策略
2. 仅在必要的时候使用安全策略
3. 对每个表可以使用多个安全策略,包括在应用中建立基本策略上的策略
应用: 使用DBMS_RLS包来增加,删除,ENABLE策略
原理: 通过动态更改SQL语句实现,访问OBJECT时,自动调用关联的策略函数,并将返回的条件(where)增加到SQL语句中,
然后SQL语句编译执行,对于多个策略函数,返回的条件用AND连接
-- finish ---
[/php]

easyfree · 发表于 2002-4-17 23:15

[php]
20 Using National Language Support

* After completing this lesson, you should be able to do the following:
Choose character set and national character set for a database
Specify the language-dependent behavior using initialization parameters, environment variables, and the ALTER SESSION command
Use the different types of National Language Support (NLS) parameters
Explain the influence on language-dependent application behavior
Obtain information about NLS usage
* NLS（National Language Support）特征
1. Language support 语言支持: 目前支持45种语言,包括西欧/东欧/中东/东亚/东南亚等语言; 用户能够交互存贮处理提取数据
2. Territory support 地理位置(区域)支持: 60个区域, 影响日期格式
3. Character set support 字符集支持: 包括单字节,多字节,固定宽度编码字符集
4. Linguistic sorting 按语言排序: 按各语言自己的格式
5. Message support 信息显示: 支持26种语言的数据库工具和错误信息显示
6. Date and time formats 日期时间格式: 根据ISO标准表示为: hour,day,month,year; 国家性历法支持: 罗马/日本/泰国/英国等等
7. Numeric formats 数据格式显示: 按本地格式
8. Monetary formats 货币格式: 货币符号和借贷标识按ISO标准
* 字符编码模式 character encoding schemes: 指明终端能显示和接收的数字编码
1. 单字节 Single-Byte Character Sets
7-bit ASCII 7-bit American (US7ASCII)
8-bit ISO 8859-1 West European (WE8ISO8859P1)
EBCDIC Code Page 500 8-bit West European (WE8EBCDIC500)
DEC 8-bit West European (WE8DEC)
2. 变长多字节 Varying-Width Multibyte Character Sets
Japanese Extended UNIX Code (JEUC)
Chinese GB2312-80 (CGB2312-80)
3. 定长多字节 Fixed-Width Multibyte Character Sets
JA16EUCFIXED,16-bit Japanese (a fixed-width subset of JA16EUC)
JA16SJISFIXED,16-bit Japanese (a fixed-width subset of JA16SIJS)
4. Unicode Character Set: 是个世界标准的编码格式,版本2支持38,885 characters.
UCS2 (Universal Character Set; 2-byte form) is a two-byte, fixed-width format;
UTF8 (Universal Character Set Transformation Format) is a multibyte, varying-width format.

[/php]

easyfree · 发表于 2002-4-17 23:16

[php]
* Character Sets and National Character Sets of a Database
--------------------------------------------------------------
Database Character Sets National Character Sets
--------------------------------------------------------------
Defined at creation time Defined at creation time
--------------------------------------------------------------
Cannot be changed without Cannot be changed without
re-creation re-creation
--------------------------------------------------------------
Store data columns of type Store data columns of type
CHAR, VARCHAR2, CLOB,LONG NCHAR, NVARCHAR2 and NCLOB
--------------------------------------------------------------
Can store varying-width Can store fixed-width and
character sets varying-width multibyte
character sets
--------------------------------------------------------------
* Guidelines
选用和自己语言相近的字符集
用固定宽度的字符集,速度要快些
用变宽字符集可以节省空间
* 影响字符集的操作 -- 重点,注意不同端的不同参数和其影响的内容
1. SERVER端的初始化参数(不会影响CLIENT端) 影响NLS_INSTANCE_PARAMETERS,不影响NLS_DATABASE_PARAMETERS
NLS_LANGUAGE 定义与语言相关的设置缺省=AMERICAN
Oracle Message
Day Month的名字和缩写 NLS_DATE_LANGUAGE=AMERICAN
a.m/p.m/A.D./B.C.的表示符号
缺省的字符排序 NLS_SORT=BINARY
可使用NLSSORT函数按语言方式排序而非BINARY方式 -- ???
NLS_TERRITORY 定义与区域相关的设置,如果名称中包含空格,必须使用""括起(如"SIMPLIFIED CHINESE"

缺省的日期格式 NLS_DATE_FORMAT=DD-MON-YY
十进制字符,组分隔符(.,) NLS_NUMERIC_CHARACTERS=,.
本地货币符号 NLS_CURRENCY=$
ISO货币符号 NLS_ISO_CURRENCY=AMERICA
双重货币格式支持(欧洲) NLS_DUAL_CURRENCY
ISO星期数计算方法
一个星期开始的天
NLS_CHARACTERSET 定义字符集缺省=WE8ISO8859P1
2. CLIENT端环境变量(覆盖SERVER端的缺省设置) 影响NLS_SESSION_PARAMETERS
NLS_LANG=<language>_<territory>.<charset>
-- 其中的charset设置在与server端通讯时将自动转换字符集
NLS_CREDIT
NLS_DEBIT
NLS_DISPLAY
NLS_LIST_SEPARATOR
NLS_MONETARY
NLS_NCHAR
上述参数只能在客户端设置,如果ORA_NLS33没有设置,则创建数据库只能用US7ASCII -- 重点
UNIX: $ORACLE_HOME/ocommon/nls/admin/data
NT: HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE 安装时自动设置
3. ALTER SESSION SET(覆盖SESSION的缺省设置)
DBMS_SESSION.SET_NLS('NLS_DATE_LANGUAGE','DD-MM-YYYY')
SQL*PLUS启动时,将从注册表读取环境变量,发出相应ALTER SESSION命令

[/php]

easyfree · 发表于 2002-4-17 23:17

[php]
* 在SQL函数中使用NLS
SQL字符函数支持单字节和多字节
将NLS参数直接作为SQL参数设置 -- 重点,注意NLS_SORT
Function NLS Parameter
-----------------------------------------------
TO_DATE NLS_DATE_LANGUAGE
NLS_CALENDAR
TO_NUMBER NLS_NUMERIC_CHARACTERS
NLS_CURRENCY
NLS_ISO_CURRENCY
TO_CHAR NLS_DATE_LANGUAGE
NLS_NUMERIC_CHARACTERS
NLS_CURRENCY
NLS_ISO_CURRENCY
NLS_CALENDAR
NLS_UPPER, NLS_LOWER, NLS_SORT
NLS_INITCAP, NLSSORT
-----------------------------------------------
Number Format Mask Elements
“D”for decimal separator
“G”for group (thousands) separator
“L”for local currency symbol
“C”for local ISO currency symbol
“U”for the dual currency symbol, used for the euro
Date Format Mask Elements
“RM, rm”for Roman month number
“IW”for ISO week number
“IYYY, IYY, IY,” and “I”for ISO year
* 与NLS相关的索引
可利用函数索引建立与语言相关的索引(如: NLSSORT)
动态初始化参数NLS_COMP(BINARY/ANSI, 缺省=BINARY), 设为ANSI后,比较操作符将根据语言排序顺序决定大小,受NLS_SORT影响
* 与NSL相关的Utility
EXP
IMP dmp文件中的字符集首先转换成Imp命令环境的字符集,再转换成Database字符集
SQL*LODER
常规路径: 数据转换为SESSION的字符集(有NLS_LANG决定)
直接路径: 数据直接转换为DATABASE字符集
命令指定: $sqlldr control=utl1case.ctl characterset=WE8ISO9959P1 指明DATA FILE用的字符集
* 相关数据字典和视图
NLS_DATABASE_PARAMETERS 数据库字符集设置,和NATIONAL字符集设置
NLS_INSTANCE_PARAMETERS 实例字符集设置,显示在初始参数文件中设置的NLS参数值
NLS_SESSION_PARAMETERS SESSION字符集设置
V$NLS_VALID_VALUES 所有合法的语言,字符集的值
V$NLS_PARAMETERS
-------------------------------------------------------------------------------------------------------------------------------
<完>
[/php]

[精华] [TIP][023] 1Z0-023 StudyNotes Lesson15-20

con....

con....

Lesson 19

con..

con...

Lesson 20

con...

last

浏览过的版块