实验5oracle安全管理

数据库的安全管理
开发语言及实现平台或实验环境
Oracle 11g
实践目的
(1) 掌握概要文件的建立、修改、查看、删除操作。

(2) 掌握用户的建立、修改、查看、删除操作。

(3) 掌握权限的建立、修改、查看、删除操作。

(4) 掌握角色的建立、修改、查看、删除操作。

实践要求
(1) 记录执行命令和操作过程中遇到的问题及解决方法，注意从原理上解释原因。

(2) 记录利用企业管理器管理概要文件、用户、权限和角色的方法。

(3) 记录利用SQL*Plus或iSQL*Plus管理概要文件、用户、权限和角色的命令。

实践内容
(1) 创建概要文件。

①利用企业管理器创建概要文件“ygbx+学号_pro”，要求在此概要文件中CPU/会话为1000，读取数/会话为2000，登录失败次数为3，锁定天数为10。

②利用SQL*Plus或iSQL*Plus，创建概要文件“ygbx+学号_pro_sql”，其结构与“ygbx+学号_pro”一致。

(2) 查看概要文件。

①利用企业管理器查看概要文件“ygbx+学号_pro”的信息。

②利用SQL*Plus或iSQL*Plus，从DBA_PROFILES数据字典中查看“ygbx+学号_pro_sql”概要文件的资源名称和资源值等信息。

(3) 修改概要文件。

①利用企业管理器，修改“ygbx+学号_pro”概要文件，将CPU/会话改为4000，连接时间为60。

②利用SQL*Plus或iSQL*Plus，修改“ygbx+学号_pro_sql”概要文件，将并行会话设为20，读取数/会话设为DEFAULT。

(4) 创建用户。

①利用企业管理器，创建“ygbxuser+学号”用户，密码为“user+学号”，默认表空间为“users”。

②利用SQL*Plus或iSQL*Plus，创建“ygbxuser+学号_sql”用户，密码为“user+学号+sql”，该用户处于锁状态。

③利用SQL*Plus或iSQL*Plus，将“ygbx+学号_pro”概要文件赋予“ygbxuser+学号”用户。

④利用SQL*Plus或iSQL*Plus，将“ygbx+学号_pro_sql”概要文件赋予“ygbxuser+学号
_sql”用户。

(5) 查看用户。

①利用企业管理器，查看“ygbxuser+学号”用户的信息。

②利用SQL*Plus或iSQL*Plus，查看“ygbxuser+学号_sql”用户的信息，并查看该用户验证的方式。

③利用SQL*Plus或iSQL*Plus，从DBA_USERS数据字典中查看“ygbxuser+学号_sql”用户的默认表空间和临时表空间的信息。

(6) 修改用户。

①利用SQL*Plus或iSQL*Plus，修改“ygbxuser+学号_sql”用户，将该用户解锁，并将密码改为“sql+学号+user”。

(7) 权限管理。

①利用企业管理器，授予“ygbxuser+学号”用户“CREATE ANY TABLE”、“CREATE ANY INDEX”、“ALTER ANY TABLE”、“ALTER ANY INDEX”、“DROP ANY TABLE”和“DROP ANY INDEX”系统权限。

②利用SQL*Plus或iSQL*Plus，授予“ygbxuser+学号_sql”用户“SYSOPER”系统权限。

③利用企业管理器，将“ygbxuser+学号”用户增加到“SYSTEM”方案中对“help”表的查看、修改、删除等对象权限。

④利用SQL*Plus或iSQL*Plus，收回“ygbxuser+学号_sql”用户在“SYSTEM”方案中对“help”表的查看、修改、删除等对象权限。

⑤利用SQL*Plus或iSQL*Plus，收回“ygbxuser+学号_sql”用户的“SYSOPER”系统权限。

(8) 创建角色。

①利用企业管理器，创建“ygbxrole+学号”角色，赋予该角色能对表、索引、存储过程、序列、同义词进行基本操作的权限。

②利用SQL*Plus或iSQL*Plus，创建“ygbxrole+学号_sql”角色，该角色具有“SYSDBA”系统权限，并将该角色赋予“ygbx user+学号_sql”用户。

(9) 查看角色。

①利用企业管理器，查看“ygbxrole+学号”角色所具有的所有权限。

②利用SQL*Plus或iSQL*Plus，查看“ygbxrole+学号_sql”角色所具有的所有权限。

(10) 修改角色。

①利用企业管理器，修改“ygbxrole+学号”角色，增加对角色的基本操作，并收回存储过程和序列的操作权限。

②利用SQL*Plus或iSQL*Plus，修改“ygbxrole+学号_sql”角色，收回“SYSDBA”系统，而授予“SELECT ANY TABLE”系统权限。

(11) 删除角色。

① 利用企业管理器，删除“ygbxrole+学号”角色。

② 利用SQL*Plus 或iSQL*Plus ，删除“ygbxrole+学号_sql”角色。

(12) 删除概要文件。

① 利用企业管理器，删除“ygbx+学号_pro”概要文件，查看“ygbxuser+学号”用户的概要文件。

② 利用SQL*Plus 或iSQL*Plus ，删除“ygbx+学号_pro_sql”概要文件，查看“ygbxuser+学号_sql”用户的概要文件。

(13) 删除用户。

① 利用企业管理器，删除“ygbxuser+学号”用户。

② 利用SQL*Plus 或iSQL*Plus ，删除“ygbxuser+学号_sql”用户。

常用系统权限
常用系统权限如表1所示。

表4-6 常用系统权限
常见问题分析
(1) 授权重复的问题。

A用户本身具有了对A表的创建、删除的操作权限，而B用户同时具有对A表的创建、删除的操作权限。

这时，B用户授予A用户对A表的创建、删除的操作权限时，系统不报重复授权的错误。

(2) 收回系统权限的问题。

当A用户授权B用户对A表的操作系统权限，B用户又授予C用户对A表的操作系统权限时，如果A用户收回B用户对A表的操作系统权限，那么C用户对A表的操作系统权限不会被级联收回。

(3) 收回对象权限的问题。

当A用户授权B用户对A对象的操作对象权限，B用户又授予C用户对A对象的操作对象权限时，如果A用户收回B用户对A对象的操作对象权限，那么C用户对A表的操作对象权限会被级联收回。

实验四安全管理(2015软件12级曾用)
（1）创建一个口令认证的数据库用户usera_exer,口令为usera，默认的表空间为USERS，配额为10MB，初始账户为锁定状态
提示：create user 用户名identified by密码
default tablespace 表空间名
quota 10MB on 表空间名
profile 概要文件名//当不指定是，系统会默认为default
account lock|unlock
（2）创建一个口令认证的数据库用户userb_exer,口令为userb
（3）为usera_exer用户授予CREATE SESSION权限，scott.emp的SELECT权限和UPDATE权限。

同时准许该用户将获得的权限授予其他用户
（4）将用户usera_exer的账户解锁
（5）用usera_exer登陆数据库，查询scott.emp中的数据，同时将scott.emp的SELECT 和UPDATE权限授予用户userb_exer
（6）创建角色rolea和roleb，将CREATE TABLE权限，scott.emp的INSERT权限和DELETE权限授予rolea;将CONNECT，RESOURCE角色授予roleb
（7）将角色rolea,roleb授予用户usera_exer
（8）屏蔽用户的usera_exer的roleb角色
（9）为用户usera_exer创建一个概要文件，限定该用户的最长会话时间为30分钟，如果连续10分钟空闲，则结束会话。

同时，限定其口令有效期为20天，连续登陆4次失败后将锁定账户，10天后自动解锁。

（10）OEM下进行用户管理（添加、修改、删除）、权限管理（授权、回收）、角色管理（创建、修改、把角色授予用户等相关练习）（可以把1-9题在OEM中操作一遍）。