190 likes | 306 Views
ORACLE ORDBMS. adminisztrációs feladatok 3. rész. 2004. dr. Kovács László. Adatbázis védelmi eszközök. User metadata. Role metadata. Resource limits. Audit data. password. password. speciális felhasználók: SYS SYSTEM (DBA). védelmi modellek: DAC MAC.
E N D
ORACLE ORDBMS adminisztrációs feladatok 3. rész 2004 dr. Kovács László
Adatbázis védelmi eszközök User metadata Role metadata Resource limits Audit data password password speciális felhasználók: SYS SYSTEM (DBA) védelmi modellek: DAC MAC
Oracle DAC védelmi modell A DAC védelmi modell: - decentralizált - hozzáférési mátrix alapú - tulajdonos szabja meg a jogokat - szubjektumok csoportokat alkothatnak szubjektum peter scott li234 művelet, feltétel SELECT INSERT DELETE ... auto S,D - S dolgozo - S,I,U S kiado - S S objektum szerviz S,I,D - S hozzáférési mátrix
Felhasználók regisztrálása CREATE USER unev IDENTIFIED BY pwd | EXTERNALLY DEFAULT TABLESPACE ff TEMPORARY TABLESPACE ff QUOTA xx ON ff PROFILE ff DB azonosítás objektumok táblatere OS azonosítás ideiglenes munkaterület dinamikus erőforrás korlátok terület foglalási korlátok
Felhasználók regisztrálása DROP USER nev CASCADE ALTER USER unev IDENTIFIED BY pwd | EXTERNALLY DEFAULT TABLESPACE ff QUOTA xx ON ff PROFILE ff az új felhasználó alapesetben jogosultság nélküli használható hely mérete: QUOTA lehet UNLIMITED is a felhasználóhoz tartozó erőforrások korlátjait legjobban a PROFILE mechanizmus fogja össze
Az OS azonosítás működése 1. OS azonosítás engedélyezése INIT.ORA paraméterállomány : OS_AUTHENT_PREFIX=xx 2. Felhasználó azonosítás megadott névvel: CREATE USER xxNN IDENTIFIED BY EXTERNALLY NN utal az OS névre CONNECT / INSTANCE
Profile kezelése párhuzamos bejelentkezések db. CREATE PROFILE ppp LIMIT SESSION_PER_USER .. CPU_PER_SESSION ... CONNECT_TIME … IDLE_TIME … LOGICAL_READ_PER_SESSION .. LOGICAL_READ_PER_CALL .. COMPOSITE_LIMIT .. CPU korlát max. kapcsolati idő max. üresjárati idő max. IO művelet db. max. IO művelet egy utasításnál összetett költséglimit ALTER PROFILE ppp LIMIT … DROP PROFILE ppp
DAC védelmi utasítások GRANT op ON obj TO user WITH GRANT OPTION GRANT op TO user WITH ADMIN OPTION GRANT RESOURCE meret ON tablaspace TO felh REVOKE op ON obj FROM user REVOKE op FROM user CREATE ROLE ri IDENTIFIED BY pwd DROP ROLE ri GRANT role1 TO role2 | user SET ROLE TO role ALTER USER user DEFAULT ROLE role
GRANT SELECT ON V TO T Felh. Obj. Jog GRANT UPDATE ON V TO T T V +S V +U T REVOKE UPDATE ON V FROM T T DENY SELECT ON V TO T T V -S REVOKE SELECT ON V FROM T grant select on dd to proba deny select on dd to proba revoke select on dd from proba create role r1 grant select on dd to proba grant select on dd to r1 grant r1 to proba deny select on dd to proba revoke select on dd from proba
Fontosabb gyári szerepkörök CONNECT ALTER SESSION, CREATE CLUSTER, CREATE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM , CREATE TABLE, CREATE VIEW RESOURCE DBA EXP_FULL_DATABASE ADMINSITER RESOURCE MANAGER, BACKUP ANY TABLE, EXECUTE ANY PROCEDURE, EXECUTE ANY TYPE, SELECT ANY TABLE IMP_FULL_DATABASE
Tevékenységek naplózása SQL Audit data AUDIT • végrehajtási szint: • command • session • objektum szint: • - login • command • DB object • privileg • eredmény szint: • successful • unsucessful
1. AUDIT engedélyezése (INIT. ORA): AUDIT_TRAIL=TRUE 2. Naplózás indítása: AUDIT sql ON obj BY SESSION | ACCESS WHENEVER SUCCESFUL | NOT SUCCESFUL 3. Naplózás leállításat: NOAUDIT … SQL INSTANCE AUD$ table DBA_AUDIT_SESSION