Kovács Tibor Krisztián. Tartalom  A felhasználói biztonságról  Felhasználói fiókok létrehozása  Felhasználói fiókok módosítása  Felhasználói erőforrások.

Slides:



Advertisements
Hasonló előadás
Windows OS Ambrus Attila 2010 Vay Ádám Gimnázium Szakközépiskola Szakiskola és Kollégium Rendszergazda.
Advertisements

ADATBÁZISOK.
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
C++ programozási nyelv Gyakorlat hét
Adatbázisok SQL. TARTALOM Szijártó M.2 Témakörök  Az SQL tulajdonságai  A műveletek fajtái  Objektum-műveletek  Lekérdezések Tulajdonságok és műveletek.
Architektúra (Oracle Library – Concepts)
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
15. tétel Adatbázis felhasználói és jogosultságaik
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
Hálózati architektúrák
Adatbázis kezelés. Hierarchikus modell Legrégebbi modell, ma már nem használatos. Az adatokat fákban tároljuk, ahol minden pont a szegmens adatokat, és.
– SQL 2: Adatok kezelése – Tarcsi Ádám, január 30. Adatbázis gyakorlat.
Dinamikus tömbök.
Rácskai Benjámin and Kovács D. 15.TÉTEL. ADATVÉDELEM Egy cég vagy magánszemély valamely rendszerben tárolt, nem publikus adatainak illetéktelen hozzáféréstől.
Programozás II. 3. Gyakorlat C++ alapok.
Adatbázis rendszerek II.
Kovács Tibor Krisztián. Tartalom  Az útmutatókról  Útmutatók A felhasználói fiókok és jogosultságaik biztonságossá tételéről Szerepkörök biztonságossá.
Készítette: Sárközi Anikó
A körlevél készítésének menete
2006. október 2.Markó Tamás, PTE TTK1 Az Oracle SQL 5. Nézettáblák létrehozása, módosítása és törlése.
SQL92 lehetőségek KL A tábla B tábla C view adatok VIEW működése utasítás: SELECT.. FROM A,B … SELECT.. FROM C Az adatok a hivatkozáskor állítódnak elő.
ORACLE ORDBMS adminisztrációs feladatok 2. rész dr. Kovács László 2004.
ADATBÁZISOK
Delphi programozás 8. ELŐADÁS ADO ActiveX Data Objects.
Nézettáblák létrehozása, módosítása és törlése
Module 1: A Microsoft Windows XP Professional telepítése
Microsoft Access Űrlapok tervezése.
PHP VII Sütik, munkamenetek. Sütik Mi az a süti? A süti (cookie) állapotot tárol a felhasználó böngészőjében. Pl. ha egy oldalon beállítható, hogy milyen.
P ROGRAMOZÁS C# - BAN Kivételkezelés. P ÉLDA I. Nullával való osztás miatt kapjuk a hibaüzenetet.
DML. Új rekord beszúrása: INSERT INTO tábla (oszlop1,oszlop2,…) VALUES (érték1,érték2,…); Rekord módosítása: UPDATE tábla SET oszlop = érték WHERE feltétel;
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
DDL – Adatdefiníciós nyelv
Adatbázis adminisztrátori ismeretek
Adattáblák létrehozása, módosítása, tranzakciók, megszorítások Rózsa Győző.
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
Adatbázis-kezelés SQL-lel
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Felhasználók és jogosultságok
SQL DDL DATA DEFINITION LANGUAGE. Táblák létrehozása CREATE TABLE táblanév ( oszlopnév1 típus(méret) /DEFAULT érték/ /NOT NULL/, oszlopnév2 típus(méret)
Készítette: Tóth Ervin
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
SQL-Structured Query Language. Parancs(utasítás) csoportok CREATE - táblák létrehozása ALTER – táblák módosítása DROP – táblák törlése DDL –Data Definition.
SQL.
1 Verseny 2000 gyakorlat ODBC Adatforrás létrehozása.
Adatbázis kezelés.
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
Kérelem elektronikus benyújtása a Szolgáltatói Nyilvántartásba
Tarcsi Ádám, Adatbázis gyakorlat – Adattáblák – Tarcsi Ádám, január.
Enterpise JavaBeans Simon Balázs
5. gyakorlat Fleiner Rita.
Webprogramozó tanfolyam
1 Verseny 2000 gyakorlat SQL 2000 Server Portál adatbázis létrehozása.
Adatbáziskezelés. Adat és információ Információ –Új ismeret Adat –Az információ formai oldala –Jelsorozat.
Data Link I/O terület 4-4. Data Link terület A Data Link terület a CIO től CIO ig terjedő szavak tartománya. (CIO CIO ) A.
Számítógépes grafika I. AUTOCAD alapok
Fórum használata A fórum főoldala alapállapotban.
Webes MES keretrendszer fejlesztése Kiss Miklós Dániel G-5S8 Tervezésvezető: Dr. Hornyák Olivér.
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
Telepítés és használat ICON100 központhoz Modern Alarm Hungary.
Modern Alarm Hungary.  A szoftver telepítése előtt telepítse a hardware kulcs drivert (ne csatlakoztassa a hardware kulcsot amíg nem telepítette a drivert)
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Felhasználók, felhasználócsoportok, jogosultságok.
A ROM ÉS A BIOS. K ÉSZÍTETTE R ELL P ATRIK A ROM A ROM egy olyan elektrotechnikai eszköz, amely csak olvasható adatok tárolására alkalmas memória. Tartalma.
1 SQL jogosultság-kezelés Privilégiumok Grant és Revoke Grant Diagrammok.
PHP függvények MySQL adatbázisok kezelésére
Programozás C# -ban Elágazások.
Hálózati architektúrák
Hálózati struktúrák, jogosultságok
Előadás másolata:

Kovács Tibor Krisztián

Tartalom  A felhasználói biztonságról  Felhasználói fiókok létrehozása  Felhasználói fiókok módosítása  Felhasználói erőforrások beállítása  Felhasználói fiókok törlése  Információk szerzése felhasználókról és profilokról

A felhasználói biztonságról  Az adatbázis egy példányához való csatlakozáshoz szükség van egy érvényes felhasználói névre az adatbázisban.  Felhasználói fiókok létrehozásakor a fiókokra különböző limitek állíthatók be.  Az Oracle DB több nézettáblát is biztosít a felhasználókhoz tartozó erőforrások és munkafolyamatok lekérdezésére.  Létrehozhatók profilok, amik a felhasználókra alkalmazható attribútumok egy kollekciója.

Felhasználói fiókok létrehozása  Létrehozáshoz rendelkezni kell CREATE USER rendszerjogosultsággal. (rendszerint csak a dbadmin vagy a security admin rendelkezik vele)  Az új felhasználó nem csatlakozhat az adatbázishoz amíg nem engedélyeztük neki a CREATE SESSION jogosultságot.  Az Oracle Enterprise Manager teljesítménymonitorozó eszköz használatához a SELECT ANY DICTIONARY jogosultság szükséges.

Felhasználói fiók létrehozása  CREATE USER pelda IDENTIFIED BY jelszo DEFAULT TABLESPACE adat_ts QUOTA 100M ON teszt_ts QUOTA 500K ON adat_ts TEMPORARY TABLESPACE temp_ts PROFILE clerk;

A felhasználó neve  A felhasználói névnek egyedinek kell lennie.  A szerepkörök és a felhasználók neveinek különböznie kell.  Minden felhasználónak van egy sémája.

Táblaterület kiosztása  Minden felhasználónak rendelkeznie kell alapbeállított táblaterülettel.  Az alapbeállítás szerint az összes felhasználó alapértelmezett táblaterülete a SYSTEM.  SYSTEM-től különböző tartósan alapértelmezett táblaterületet létrehozni a CREATE TABLESPACE utasítással tudunk.

Táblaterület kiosztása  Tartósan alapértelmezett táblaterület nem törölhető.  Felhasználó létrehozása közben is megadható alapértelmezett táblaterület, amit később az ALTER USER segítségével módosíthatunk majd.  Az alapértelmezett táblaterület kiosztása után adjunk meg hozzátartozó kvótát is.

Táblaterülethez tartozó kvóta  A felhasználó összes táblaterületéhez, kivéve az ideiglenest, kiosztható kvóta.  Az Oracle DB limitálja a felhasználó objektumának tárolására felhasználható tárterület méretét a táblaterületein belül.  Alapból egy adatbázis táblaterülethez sincs kvótája a felhasználónak.  Hogy a felhasználó létrehozhasson objektumokat, rendelkeznie kell legalább egy táblaterülethez kvótával.

Táblaterülethez tartozó kvóta  A kvóta megakadályozza a felhasználó objektumainak túl nagy méretét.  Kvóta későbbi módosításakor, ha kevesebb kvótát adunk meg mint a felhasználó objektumainak összesített mérete, akkor nem hozhat létre új objektumot a felhasználó.  Ha azt szeretnénk hogy a felhasználó ne hozhasson létre új objektumokat adott táblaterületen belül, akkor állítsuk azt a kvótáját nullára.

Az UNLIMITED TABLESPACE jog  Ezzel a jogosultsággal a felhasználónak (szerepkörnek nem adható) korlátlan tárterület használatot biztosíthatunk bármely táblaterülethez.  Felülírja a felhasználó összes explicit kvótáját.  Visszavonva a jogosultságot újra az explicit kvóták lépnek érvénybe.  Ezzel a jogosultsággal rendelkező felhasználótól egyetlen kiválasztott táblaterületnek az elérési jogosultságát sem vonhatjuk vissza.

Ideiglenes táblaterület kiosztása  Minden felhasználónak érdemes kiosztani ideiglenes táblaterületet.  Ideiglenes táblaterületet az adatbázisban a CREATE TEMORARY TABLESPACE utasítással tudunk létrehozni.  Amennyiben ilyet nem osztunk ki a felhasználónak, a DB létrehozásakor megadott alapbeállítottat fogja megkapni, ha nincs ilyen akkor a SYSTEM-et.  Ideiglenes táblaterülethez kvótát csak a SYS felhasználó adhat.

Profil és szerepkör megadása  A profil limitek halmaza az adatbázis erőforrásaira és jelszavakra.  Amennyiben nem adunk meg a felhasználónak profilt, akkor a DB az alapértelmezettet állítja be.  A szerepkör jogosultságok elnevezett csoportja, amit felhasználóknak vagy más szerepköröknek oszthatunk ki.  Amikor a felhasználó létrehoz egy munkafolyamatot a rá alapértelmezett szerepkör automatikusan érvénybe lép.

Alapértelmezett szerepkörök  A CREATE USER utasítással nem adható meg szerepkör, így a felhasználó első létrehozásakor ez az ALL lesz, ami az összes szerepkört engedélyezi.  ALTER USER segítségével megváltoztathatjuk a felhasználó alapértelmezett szerepkörét.  De az új szerepkört előtte engedélyeznünk kell a felhasználó számára: GRANT USER pelda pl_szk ALTER USER pelda DEFAULT ROLE pl_szk

Felhasználói fiókok módosítása  A felhasználó csak a jelszavát változtathatja meg.  Bármi más megváltoztatásához szükség van az ALTER USER jogosultságra, amivel legtöbbször csak a security admin rendelkezik.  Ez a jogosultság magába foglalja tetszőleges táblaterület és ahhoz tartozó kvóta beállítását a felhasználó számára.  A felhasználói fiók módosítása a felhasználó aktuális munkafolyamára nincs hatással.

A jelszó megváltoztatása  A legtöbb felhasználó változtathat jelszót. Ezt legfeljebb kétféle képen teheti: PASSWORD felh ALTER USER felh IDENTIFIED BY ujpass  A kettő közül az előbbit érdemes használni, mert ez nem írja ki az új jelszót a monitorra.  Autentikációs módszer váltásához mind PASSWOR mind ALTER USER joggal rendelkezni kell. Ezekkel legtöbbször csak valamelyik DB admin rendelkezik.

Felhasználói erőforrások beállítása  Minden felhasználó számára egyénien beállítható a rendszererőforrásokhoz való hozzáférésének mértéke.  Ez az erőforráslimitek beállítási lehetősége hasznos tud lenni nagy, többfelhasználós rendszerekben, ahol egy-két felhasználónak felelőtlenül kiosztott limitek komolyan befolyásolhatnak más felhasználókat.  Ez a probléma nem lényeges egy vagy kevés felhasználóval rendelkező rendszerben.

Felhasználói erőforrások beállítása  A DB Resource Manager segítségével kezelhetjük az erőforráslimiteket.  A jelszókezelési beállításokat profilokon keresztül valósíthatjuk meg.  A security admin be vagy kikapcsolhatja a profilok erőforráslimitjeinek az általános végrehajtását.  Az erőforráslimitek megadásával enyhe teljesítménycsökkenés lesz észlelhető a felhasználók bejelentkezésekor, mivel a DB minden csatlakozáskor betölti a felhasználó összes erőforráslimitjét.

Erőforráslimitek típusai  Oracle DB több típusú rendszererőforrást is limitálhat. Általánosságban ezeket az erőforrásokat munkafolyamat vagy hívási szinten (vagy mindkettő) vezérelhetjük.  Minden alkalommal amikor a felhasználó az adatbázishoz csatlakozik egy munkafolyamat jön létre.  Minden SQL utasítás feldolgozása több lépésben történik, ezalatt a különböző utasítás-feldolgozási fázisok részeként több hívás keletkezik az adatbázis felé.

Munkafolyam limit elérése  Ekkor a DB visszagörgeti az aktuális utasítást, és visszatér egy hibaüzenettel. A tranzakció összes eddig végrehajtott utasítása megmarad, de a felhasználó csak a COMMIT, ROLLBACK vagy a kilépés között választhat (utóbbi esetben kommitálódik a tranzakció). Minden egyéb művelet hibát generál, így a felhasználó nem hajthat végre további utasításokat ezen a munkafolyamaton belül.

Híváslimit elérése  Ekkor a DB felfüggeszti az utasítás végrehajtását, visszagörgeti, és visszatér egy hibaüzenettel. Az eddigi tranzakcióban lefutott utasítások sértetlenek maradnak, és a munkafolyamat továbbra is elérhető.

CPU idő limitálása  Bizonyos mennyiségű CPU idő minden lekérdezéshez szükséges.  Nagy adatmennyiséget mozgató, vagy elhúzódó lekérdezések sok CPU időt felélhetnek.  A kontrollálatlan CPU idő felhasználás elkerülése érdekében megadhatunk dinamikus, vagy statikus limiteket, mind az egyes hívások, mind a munkafolyamatbeli összes hívás idejére századmásodpercben (0.01 sec).

Logikai olvasások limitálása  Az I/O műveletek a legköltségesebbek az adatbázisok szempontjából, és az I/O intenzív SQL utasítások teljesen kisajátíthatják a memória és a merevlemez használatát.  Ennek elkerülésére limitálni lehet az egyes hívások által, vagy a munkafolyamat alatt beolvasott logikai blokkok mennyiségét is, darabszámban.  A logikai blokkba a merevlemezről és memóriából beolvasott blokkok is beletartoznak.

Egyéb limitálható erőforrások  A felhasználó által egyszerre indított munkafolyamatok száma.  A munkafolyamat tétlenségi idejét.  A munkafolyamat megkezdésétől eltelt idő. (Ezt az adatbázis csak bizonyos időközönként ellenőrzi.)  Az SGA (System Global Area) terület mérete. Ez csak elosztott szerver konfigurációt használó rendszereknél lényeges. Bájtban lehet megadni.

Limitek meghatározása  A profilokhoz tartozó erőforráslimitek helyes értékei a felhasználói csoportok által tipikusan végzett műveleteken keresztül állapíthatóak meg.  Legtöbbször az adott felhasználó eddigi műveletei alapján lehet a legjobban meghatározni az egyes erőforrások limitjeit.

Erőforrások kezelése profilokon keresztül  A profilokra csak akkor van szükség ha az erőforrások limitálása beletartozik az adatbázis védelmi politikájába.  Profilok létrehozása előtt érdemes felmérni a felhasználók csoportjait, majd ezen csoportokra meghatározni az erőforráslimiteket.  A profilok könnyen beállíthatóak a Data Resource Manager segítségével. Ez a program elsősorban az erőforrások kiosztását és korlátozását kezeli.

Erőforrások kezelése profilokon keresztül  A profilok erőforráslimitjei csak akkor jutnak érvényre, ha a RESOURCE_LIMIT inicializáló paraméterrel vagy az ALTER SYSTEM utasítással engedélyeztük azokat.  A profilokban beállított jelszavakra vonatkozó paraméterek mindig engedélyezettek.

Profilok létrehozása  Minden erre jogosult DB felhasználó bármikor létrehozhat, hozzárendelhet felhasználóhoz, módosíthat, és törölhet profilokat a CREAT és ALTER USER utasítással.  Profilok csak felhasználókhoz rendelhetőek, nem szerepkörökhöz.  Az aktuális munkafolyamatra nem hat.  Az aktuális profilbeállításokat a DBA_PROFILES nézettábla lekérdezésével nézhetjük meg.

Profilok törlése  Profil törléséhez rendelkezni kell a DROP PROFILE jogosultsággal.  Ha a törölni kívánt profillal rendelkezik felhasználó, akkor a CASCADE opciót is meg kell adni.  Görgetett törlés után a törölt profillal rendelkező felhasználók az alapbeállított profilt kapják meg.  Alapbeállított profil nem törölhető.

Felhasználói fiókok törlése  A felhasználó törlésekor a DB törli a fiókot, a hozzá tartozó sémát, és a sémából az összes objektumot is.  A SYS és SYSTEM felhasználókat nem ajánlott törölni.  Ha a felhasználó objektumait nem akarjuk törölni, csak kitiltani az adatbázisból, akkor vonjuk meg tőle a CREATE SESSION jogosultságot.  A jelenleg csatlakozott felhasználó sem törölhető.

Felhasználói fiókok törlése  Bejelentkezett felhasználó törléséhez előbb rúgjuk ki az adatbázisból az ALTER SYSTEM KILL SESSION sid utasítás segítségével.  A bejelentkezett felhasználók és sid-jeik lekérdezhető a V$SESSION nézettáblából.  Felhasználó a DROP USER utasítással törölhető.  A DROP USER jogosultság elég jelentős, ezért rendszerint csak a security admin rendelkezik vele.

Felhasználói fiókok törlése  Ha a törlendő felhasználónak vannak függő sémaobjektumai a CASCADE opciót is meg kell adni, különben a felhasználó nem törlődik.  A felhasználó objektumait lekérdezhetjük a DBA_OBJECTS nézettáblából.

Információk szerzése felhasználókról és profilokról  Nézettáblák a felhasználók és profilok információiról: ALL_OBJECTS: felhasználó által látható objektumok ALL_USER: felhasználó által látható más felhasználók DBA_PROFILES: összes profil és azok limitjei DBA_TS_QUOTAS: felhasználók táblaterület kvótái DBA_OBJECTS: összes DB objektum DBA_USERS: összes DB felhasználó DBA_USERS_WITH_DEFPWD: alapbeállított jelszóval rendelkező felhasználók PROXY_USERS: olyan felhasználók akik más felhasználókat imitálhatnak.

Információk szerzése felhasználókról és profilokról RESOURCE_COST: az összes erőforrás CPU ideje USER_PASSWORD_LIMITS: a felhasználónak kiosztott jelszó profil paramétereinek beállításai USER_RESOURCE_LIMITS: felhasználó erőforráslimitjei. USER_TS_QUOTAS: felhasználó táblaterület kvótái USER_OBJECTS: felhasználó összes objektuma USER_USERS: a jelenlegi felhasználó V$SESSION: az összes jelenlegi munkafolyamat információi V$SESSTAT: felhasználó munkafolyamatának statisztikái V$STATNAME: statisztikák nevei a V$SESSTAT nézethez