阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

回收DBA角色的注意事项

195次阅读
没有评论

共计 2956 个字符,预计需要花费 8 分钟才能阅读完成。

Oracle 对于权限的划分粒度非常精细,为了方便管理条目众多权限,Oracle 引入了角色(role)这个逻辑概念,也在系统中预先设置了很多角色。在实际的应用中,应用用户对于权限的需要可能较为复杂,因此为了方便授权,很多应用用户被授予 DBA 角色,DBA 角色拥有较多的系统权限,这对于数据库的管理是非常不利的,违反了权限最小化的安全原则。出于安全的考虑,系统可能需要回收 DBA 角色,在回收权限的过程中,为了保证应用正常运行,需要注意一些细节,下文将对几个需要注意的点进行讨论。

  实验环境说明(本文中的结论适用于 10g~11.2.0.4):
  1. SQL> select * from v$version;
  2. BANNER
  3. ——————————————————————————–
  4. Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 64bit Production
  5. PL/SQL Release 11.2.0.3.0 Production
  6. CORE    11.2.0.3.0    Production
  7. TNS for Linux: Version 11.2.0.3.0 Production
  8. NLSRTL Version 11.2.0.3.0 Production

 一、grant/revoke role 操作的生效时间

  1. – 创建一个新用户,并授予 connect 角色
  2. session 1:
  3. SQL> create user darren identified by darren;
  4. User created.
  5. SQL> grant connect to darren;
  6. Grant succeeded.
  7. – 使用新用户登录数据库
  8. session 2:
  9. SQL> conn darren/darren
  10. Connected.
  11. SQL> select * from session_privs;
  12. PRIVILEGE
  13. —————————————-
  14. CREATE SESSION
  15. SQL> select * from session_roles;
  16. ROLE
  17. ——————————
  18. CONNECT

  保持 session 2 不退出,在 session 1 中授予 resource 角色

  1. session 1:
  2. SQL> grant resource to darren;
  3. Grant succeeded.
  4. –session 2 中查询用户拥有的系统权限和角色
  5. SQL> select * from session_privs;
  6. PRIVILEGE
  7. —————————————-
  8. CREATE SESSION
  9. UNLIMITED TABLESPACE – 新增加的系统权限
  10. SQL> select * from session_roles;
  11. ROLE
  12. ——————————
  13. CONNECT

  退出 session,重新登录用户

  1. SQL> conn darren/darren
  2. Connected.
  3. SQL> select * from session_privs;
  4. PRIVILEGE
  5. —————————————-
  6. CREATE SESSION
  7. UNLIMITED TABLESPACE
  8. CREATE TABLE
  9. CREATE CLUSTER
  10. CREATE SEQUENCE
  11. CREATE PROCEDURE
  12. CREATE TRIGGER
  13. CREATE TYPE
  14. CREATE OPERATOR
  15. CREATE INDEXTYPE
  16. 10 rows selected.
  17. SQL> select * from session_roles;
  18. ROLE
  19. ——————————
  20. CONNECT
  21. RESOURCE

 

   结论:1、UNLIMITED TABLESPACE 系统权限会随 resource 角色授予用户,由于是作为单独的系统权限,因此会立即生效;
       2、grant/revoke 角色不会立即生效,需要使用 set role 或者重新登录才生效(直接授予系统权限、对象权限是立即生效)。

  二、回收 DBA 角色时的影响
        继续上面的实验,在 session 1 中授予和回收用户 DBA 角色,session 2 重新登录用户

  1. session 1:
  2. SQL> grant dba to darren;
  3. Grant succeeded.
  4. SQL> revoke dba from darren;
  5. Revoke succeeded.
  6. session 2:
  7. SQL> conn darren/darren
  8. Connected.
  9. SQL> select count(*) from session_privs;
  10.   COUNT(*)
  11. ———-
  12.     9
  13. SQL> select * from session_roles;
  14. ROLE
  15. ——————————
  16. CONNECT
  17. RESOURCE
  18. SQL> select * from session_privs; – 注意,这里没有了 UNLIMITED TABLESPACE 权限
  19. PRIVILEGE
  20. —————————————-
  21. CREATE SESSION
  22. CREATE TABLE
  23. CREATE CLUSTER
  24. CREATE SEQUENCE
  25. CREATE PROCEDURE
  26. CREATE TRIGGER
  27. CREATE TYPE
  28. CREATE OPERATOR
  29. CREATE INDEXTYPE

  在 session 2 中创建表并插入数据

  1. SQL> create table test1(a varchar2(20),b varchar2(10)); – 这里能创建成功是由于 11g 的延迟段创建特性,在这里并没有在表空间中实际生成 segment
  2. Table created.
  3. SQL> insert into test1 values(‘a’,‘b’);
  4. insert into test1 values(‘a’,‘b’)
  5.             *
  6. ERROR at line 1:
  7. ORA01950: no privileges on tablespace ‘USERS’

 

    结论:1、在回收 DBA 角色时,UNLIMITED TABLESPACE 权限会被回收;
         2、回收 UNLIMITED TABLESPACE 权限后用户的表空间 quota 立即耗尽,即无法使用 tablespace 的存储空间。

  三、回收 DBA 权限后的处理
       1、由于回收 DBA 权限后用户的 UNLIMITED TABLESPACE 系统权限被回收,可以按下列方式之一给用户授权,以便用户能正常使用表空间:

  1. SQL> grant RESOURCE to DARREN;
  2. SQL> alter user DARREN quota unlimited on USERS;
  3. SQL> grant UNLIMITED TABLESPACE to DARREN;

        2、如果应用用户有特殊的权限需求,需要在回收 DBA 角色后单独为用户授予部分系统权限、对象权限。

本文永久更新链接地址 :http://www.linuxidc.com/Linux/2016-06/132169.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-22发表,共计2956字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中