ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004

password User metadata Role metadata Audit data password Resource limits Adatbázis védelmi eszközök védelmi modellek: DAC MAC speciális felhasználók: SYS SYSTEM (DBA)

Oracle DAC védelmi modell A DAC védelmi modell: - decentralizált - hozzáférési mátrix alapú - tulajdonos szabja meg a jogokat - szubjektumok csoportokat alkothatnak objektum auto dolgozo kiado szerviz S,D - - S,I,D - S,I,U S - S S S S peterscottli234 szubjektum művelet, feltétel SELECT INSERT DELETE... hozzáférési mátrix

CREATE USER unev IDENTIFIED BY pwd | EXTERNALLY DEFAULT TABLESPACE ff TEMPORARY TABLESPACE ff QUOTA xx ON ff PROFILE ff Felhasználók regisztrálása DB azonosítás OS azonosítás objektumok táblatere ideiglenes munkaterület terület foglalási korlátok dinamikus erőforrás korlátok

az új felhasználó alapesetben jogosultság nélküli használható hely mérete: QUOTA lehet UNLIMITED is a felhasználóhoz tartozó erőforrások korlátjait legjobban a PROFILE mechanizmus fogja össze DROP USER nev CASCADE ALTER USER unev IDENTIFIED BY pwd | EXTERNALLY DEFAULT TABLESPACE ff QUOTA xx ON ff PROFILE ff Felhasználók regisztrálása

Felhasználók adminisztrálása (DBA Studio)

1. OS azonosítás engedélyezése INIT.ORA paraméterállomány : OS_AUTHENT_PREFIX=xx 2. Felhasználó azonosítás megadott névvel: CREATE USER xxNN IDENTIFIED BY EXTERNALLY NN utal az OS névre INSTANCE CONNECT / Az OS azonosítás működése

Profile kezelése CREATE PROFILE ppp LIMIT SESSION_PER_USER.. CPU_PER_SESSION... CONNECT_TIME … IDLE_TIME … LOGICAL_READ_PER_SESSION.. LOGICAL_READ_PER_CALL.. COMPOSITE_LIMIT.. párhuzamos bejelentkezések db. CPU korlát max. kapcsolati idő max. üresjárati idő max. IO művelet db. max. IO művelet egy utasításnál összetett költséglimit ALTER PROFILE ppp LIMIT … DROP PROFILE ppp

Profile adminisztrálása (DBA Studio)

DAC védelmi utasítások GRANT op ON obj TO user WITH GRANT OPTION GRANT op TO user WITH ADMIN OPTION GRANT RESOURCE meret ON tablaspace TO felh REVOKE op ON obj FROM user REVOKE op FROM user CREATE ROLE ri IDENTIFIED BY pwd DROP ROLE ri GRANT role1 TO role2 | user SET ROLE TO role ALTER USER user DEFAULT ROLE role

Felh.Obj. GRANT SELECT ON V TO T Jog GRANT UPDATE ON V TO T T TV T V +S +U REVOKE UPDATE ON V FROM T TV-S DENY SELECT ON V TO T REVOKE SELECT ON V FROM T grant select on dd to proba deny select on dd to proba revoke select on dd from proba create role r1 grant select on dd to proba grant select on dd to r1 grant r1 to proba deny select on dd to proba revoke select on dd from proba

DAC védelmi utasítások (DBA Studio)

Privilégiumok (DBA Studio)

CONNECT ALTER SESSION, CREATE CLUSTER, CREATE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM, CREATE TABLE, CREATE VIEW RESOURCE DBA EXP_FULL_DATABASE ADMINSITER RESOURCE MANAGER, BACKUP ANY TABLE, EXECUTE ANY PROCEDURE, EXECUTE ANY TYPE, SELECT ANY TABLE IMP_FULL_DATABASE Fontosabb gyári szerepkörök

Szerepkörök (DBA Studio)

Tevékenységek naplózása SQL AUDIT Audit data végrehajtási szint: - command - session objektum szint: - login - command - DB object - privileg eredmény szint: - successful - unsucessful

1. AUDIT engedélyezése (INIT. ORA): AUDIT_TRAIL=TRUE 2. Naplózás indítása: AUDIT sql ON obj BY SESSION | ACCESS WHENEVER SUCCESFUL | NOT SUCCESFUL 3. Naplózás leállításat: NOAUDIT … INSTANCE SQL AUD$ table DBA_AUDIT_SESSION