Oracle用户授权看起来是很简单的事情,但是如果做过头了,很可能引发大问题。所以我们在做Oracle用户授权时,需要谨慎又谨慎。
创新互联公司于2013年成立,是专业互联网技术服务公司,拥有项目成都网站建设、网站设计网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元徐水做网站,已为上家服务,为徐水各地企业和个人服务,联系电话:028-86922220
看到有人提问关于Oracle用户授权的问题. 不由得想多说几句. Oracle 9i 以及以下版本的数据库,默认的数据库角色有些不太合理的地方. DBA 管理的过程中,如果不太注意的话,可能会带来麻烦或者潜在的隐忧. 比如最常见的 CONNECT 角色.
- User => FOO has been granted the following privileges
- ====================================================================
- ROLE => CONNECT which contains =>
- SYS PRIV => ALTER SESSION grantable => NO
- SYS PRIV => CREATE CLUSTER grantable => NO
- SYS PRIV => CREATE DATABASE LINK grantable => NO
- SYS PRIV => CREATE SEQUENCE grantable => NO
- SYS PRIV => CREATE SESSION grantable => NO
- SYS PRIV => CREATE SYNONYM grantable => NO
- SYS PRIV => CREATE TABLE grantable => NO
- SYS PRIV => CREATE VIEW grantable => NO
这里面的 ALTER SESSION 就是一个问题. 恶意的用户很容易利用这个权限给系统带来麻烦.举两个例子,一个是 修改当前 Session 的 cursor_sharing 参数值为 FORCE ,然后提交可触发 Oracle Bug 的查询(cursor_sharing 在 FORCE 模式下 Bug 很多) , 很容易让数据库崩溃. 或者恶意用户提交 alter session set hash_area_size ... 的修改语句, 给自己设定一个超大的 HASH_AREA_SIZE , 再提交一定的查询,也会给系统性能造成很糟糕的影响.
这个 CONNECT 角色在 Oracle 10g 中已经修改了,只有 create session 的权限.
再来一个角色的问题. 比如 REOURCE 角色, 包含的权限如下所示:
- User => FOO has been granted the following privileges
- ====================================================================
- ROLE => RESOURCE which contains =>
- SYS PRIV => CREATE CLUSTER grantable => NO
- SYS PRIV => CREATE INDEXTYPE grantable => NO
- SYS PRIV => CREATE OPERATOR grantable => NO
- SYS PRIV => CREATE PROCEDURE grantable => NO
- SYS PRIV => CREATE SEQUENCE grantable => NO
- SYS PRIV => CREATE TABLE grantable => NO
- SYS PRIV => CREATE TRIGGER grantable => NO
- SYS PRIV => CREATE TYPE grantable => NO
- SYS PRIV => UNLIMITED TABLESPACE grantable => NO
注意是包含 UNLIMITED TABLESPACE 权限的(实际上是隐含的一个权限,Oracle为什么这样做,没有明确的文档说明,在 10g 中为了向后兼容,也是这样的.), 恶意用户利用这个造成麻烦很容易:在 SYSTEM 建立一个足够大的表即可让数据库宕机.
所以,DBA 在给用户授权的时候还是谨慎为是,建议利用"最小授权原则", 只给用户必须的权限.
网站名称:Oracle用户授权不得不谨慎的事情
网页链接:http://www.shufengxianlan.com/qtweb/news18/543268.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联