系統管理Lesson 06. Administering User Security
系統管理Lesson 06. Administering User Security
- 1. 一個 Oracle 使用者賬戶必須具備哪些安全特徵?
- 2. 資料庫建立好後,有哪幾個預定義的管理賬戶,各自的功能是什麼 ?
- 3. 驗證授權賬戶的方法有哪幾個?
- 4. 請寫出解鎖賬戶和修改賬戶密碼的 SQL 語句。
- 5. 在用 grant 命令時,with admin option 和 with grant option 選項的作用分別時什麼?
- 6. 什麼是角色,使用角色有哪些好處?
- 7. 請談談使用 DBMS_PRIVILEGE_CAPTURE 進行許可權分析時的基本流程。
- 8. 一個使用者賬戶的概要檔案(Profiles)都有哪些功能?
- 9. 為什麼 Oracle 建議不要對 SYS、SYSMAN 和 DBSNMP 這些管理賬戶使用概要檔案進行口令限制?
- 10. 請談談你對「使用最小許可權原則」這一最佳實踐要求的理解。
- 11. 請把下面內容翻譯成中文:
1. 一個 Oracle 使用者賬戶必須具備哪些安全特徵?
- A unique username
- An authentication
- A default tablespace
- A temporary tablespace
- A user profile
- An initial consumer group
- An account status
翻譯 - 唯一的使用者名稱
- 驗證方法
- 預設表空間
- 臨時表空間
- 使用者概要檔案
- 初始使用者組
- 賬戶狀態
2. 資料庫建立好後,有哪幾個預定義的管理賬戶,各自的功能是什麼 ?
SYS:
- Owns the data dictionary and the Automatic Workload Repository(AWR)
- Used for startup and shutdown of the database instance
SYSTEM:Owns additional administrative tables and views
SYSBACKUP:Facilitates Oracle Recouvery Manager(RMAN) backup and recovery operations
SYSDG:Facilitates Oracle Data Guard operations
SYSKM:Facilitates Transparent Data Encryption wallet operatioins
翻譯
SYS:
- 擁有資料字典和
自動工作量資料檔案庫(AWR) - 用於資料庫範例的啟動和關閉
SYSTEM:擁有附加管理表和檢視
SYSBACKUP:實施Oracle recovery Manager(RMAN)備份和恢復操作
SYSDG:實施Oracle Data Guard操作
SYSKM:實施透明資料加密金鑰操作
3. 驗證授權賬戶的方法有哪幾個?
Password:User definition includes a password that must be supplied when the user attempts to log in to the database
External:Authentication by a method outside the database(operating system, Kerberos, or Radius)
Global:Users are identified by using an LDAP-based directory service
翻譯
口令驗證:使用者定義包括使用者嘗試登入資料庫時必須提供的口令
外部驗證:通過資料庫外部的方法進行身份驗證(operating system, Kerberos, or Radius)
全域性驗證:通過使用基於LDAP的目錄服務來標識使用者
4. 請寫出解鎖賬戶和修改賬戶密碼的 SQL 語句。
解鎖賬戶
alter user 賬戶 account unlock;
修改賬戶密碼
alter user 賬戶 identified by 密碼;
5. 在用 grant 命令時,with admin option 和 with grant option 選項的作用分別時什麼?
with admin option
被授予該許可權的使用者有權將某個許可權(如create any table)授予其他使用者或角色
取消是不級聯的
場景
- DBA 將帶 ADMIN OPTION 的 CREATE TABLE 系統許可權授予 Joe。
- Joe 建立表。
- Joe 將 CREATE TABLE 系統許可權授予 Emily。
- Emily 建立表。
- DBA 復原 Joe 的 CREATE TABLE 系統許可權。
結果
Joe 的表仍舊存在,但是 Joe 不能再建立新表。Emily 的表仍舊存在,而且她仍舊具有 CREATE TABLE 系統許可權。
with grant option
許可權賦予/取消是級聯的
被授予的使用者也可把此物件許可權授予其他使用者或角色,管理員收回使用者物件許可權時,許可權會因傳播而失效
場景
- Joe 被授予了對 EMPLOYEES 的 SELECT 物件許可權(帶 GRANT OPTION)。
- Joe 將對 EMPLOYEES 的 SELECT 許可權授予 Emily。
- 復原 Joe 的 SELECT 許可權。此復原也級聯到 Emily。
6. 什麼是角色,使用角色有哪些好處?
Roles:
- Used to group together privileges and roles
- Facilitate granting of multiple privileges or roles to uers
Benefits of roles:
- Easier privilege management
- Dynamic privilege management
- Selective availability of privileges
角色:
- 用於將許可權和角色分組
- 方便向使用者授予多個許可權或角色
好處:
- 簡化許可權管理
- 進行動態許可權管理
- 有選擇地提供許可權
7. 請談談使用 DBMS_PRIVILEGE_CAPTURE 進行許可權分析時的基本流程。
a. Create analysis
b. Start analyzing used privileges
c. Stop analyzing
d. Generate report
e. Compare with unused privileges
f. Revoke unuesd privileges
翻譯
a、 建立分析
b、 開始分析使用的許可權
c、 停止分析
d、 生成報告
e、 與未使用的許可權進行比較
f、 撤消未使用的許可權
8. 一個使用者賬戶的概要檔案(Profiles)都有哪些功能?
Users are assigned onlu one profile at a time.
Profiles:
- Control resource consumption
- Manage account status and password expiration
翻譯:
使用者一次只能分配一個組態檔。
組態檔:
- 控制資源使用量
- 管理帳戶狀態和口令過期
管理員使用概要檔案控制系統資源(CPU、網路/記憶體、磁碟I/O)
9. 為什麼 Oracle 建議不要對 SYS、SYSMAN 和 DBSNMP 這些管理賬戶使用概要檔案進行口令限制?
使SYS、SYSMAN 和 DBSNMP帳戶口令到期和鎖定這些帳戶,會導致OracleEnterpriseManager無法正常執行。
應用程式必須捕獲「口令到期」警告訊息並處理口令更改;否則,寬限期一到期,就會鎖定使用者而不通知原因。
鎖定後就涼了,得找Oracle公司,Oracle公司收費灰常高滴。
10. 請談談你對「使用最小許可權原則」這一最佳實踐要求的理解。
1️⃣must要在操作者在操作以前為他指派許可權(定義操作者的許可權邊界)。
當操作者要對某個資源進行操作時,系統會在他的許可權邊界內匹配是否有對該資源的操作許可權,有就可以讓他進行操作,沒有就拒絕。
2️⃣ 必須為使用者授予高效地完成任務所需的許可權。
降低使用者修改或檢視(無意或惡意)他們無權修改或檢視資料的機率。
11. 請把下面內容翻譯成中文:
Oracle資料庫包括五個管理特權,這些特權是為了便於職責分離而提供的。
SYSDBA和SYSOPER管理許可權用於執行各種標準資料庫操作,包括啟動資料庫範例和關閉資料庫範例。
有關SYSDBA和SYSOPER許可權的授權操作的完整列表,請參閱《Oracle資料庫管理員指南》。
SYSBACKUP、SYSDG和SYSKM是Oracle Database 12c的新功能,它們是針對特定的備份和恢復、Oracle Data Guard和透明資料加密金鑰管理的管理任務。
在以前的版本中,這些任務需要SYSDBA許可權。
這些特權使您能夠連線到資料庫,即使資料庫未開啟。
有關SYSBACKUP、SYSDG和SYSKM許可權的支援操作列表,請參閱racle Database Security Guide。