Oracle数据库的管理

安全的实现 在多用户环境中 有效管理Oracle数据库最重要的方面就是创建一个安全模式来控制对数据库的访问和更改 在一个Oracle中 可以对单独的用户或数据库角色授予安全许可 安全管理一般在 个级别中执行 ·数据库级· *** 作系统级·网络安全级 用户名 权限 组和角色 DBA或数据库安全管理员创建用户名（username）来提供有效的用户标识符 用来和数据库连接 在安装过程中自动创建两个赋予DBA角色的用户账号 SYS和SYSTEM 角色（role）是权限的命名组 可以被创建 更改或删除 在大多数实现中 DBA或安全管理员为用户创建用户名并分配角色 从而赋予用户一个权限集 每个数据库都有个伪角色 称为PUBLIC 它包含所有的拥护 所有的用户都可以赋予PUBLIC权限 如果通过关键字PUBLIC创建了数据库链接 那么对于所有用户这些链接都是可见的 安全权限 有 个基本的安全权限可适用于Oracle数据库中的数据 ·SELECT 执行查询·INSERT 在表或视图中插入行·UPDATE 更新表或视图中的行·DELETE 从表 表分区或视图中删除行除了这些数据特定的权限外 还有以下用于数据库模式中对象的权限 ·CREATE 在模式中创建表·DROP 在模式中删除表·ALTER 更改表或视图所有权限都是通过两个SQL命令来处理 GRANT命令把一个特定的权限赋予一个用户或角色 REVOKE命令用于取消某个特定的权限其中任何一个命令都可以结合关键字PUBLIC对所有的用户赋予或取消某个权限 默认角色和权限 默认角色和权限集是Oracle安装过程中预先定义的每个版本的默认角色都有所变化CONNECT可用于注册登录到数据库 创建对象和执行导出 RESOURCE可用于创建过程 触发器 以及用户模式区内的类型 DBA赋予无限制的权限 SYSOPER权限集 允许远程地建立与数据库的连接 并执行有限的已授权的 *** 作 包括启动和关闭 SYSDBA权限集 和DBA角色十分相近 包含了SYSOPER权限集以及ADMIN OPTION所有的权限 可用于与远程数据库连接 并远程执行已授权的 *** 作 如关闭或启动数据库 EXP_FULL_DATABASE允许执行任何数据库对象导出 *** 作 并且将导出 *** 作记录在数据字典中 IMP_FULL_DATABASE可用于成为数据库的用户 这样用户的对象就可以导入适当的模式内 DELETE_CATALOG_ROLE可用于从SYS AUD$审计表中删除行 EXECUTE_CATALOG_ROLE可用于执行恢复目录中列出的所有导出包 SELECT_CATALOG_ROLE可用于从所有导出恢复目录视图和表中选择角色 RECOVERY_CATALOG_OWNER可用于创建恢复目录的所有者 SNMPAGENT可用于Oracle企业智能代理 DBA角色STARTUP启动一个数据库实例 SHUTDOWN关闭数据库实例 ALTER DATABASE OPEN打开一个已安装的但是关闭的数据库 ALTER DATABASE MOUNT通过前面的启动实例来安装一个数据库 ALTER DATABASE BACKUP例如 启动一个控制文件的备份 但是现在用的大多是通过RMAN来备份ALTER DATABASE ARCHIVELOG指定在日志文件组可以重用之前 日志文件组的内容必须归档 ALTER DATABASE RECOVER逐个地应用日志或启动日志文件的自动化应用 CREATE DATABASE创建并命名一个数据库 指定数据文件和大小 并指定日志文件及其大小 还要设置参数限制RESTRICTED SESSION可用于与受限（Restricted）模式中启动的数据库相连接 设计受限模式的目的是使用户避免进行某些数据库 *** 作DBA角色的权限一般用于对用户分配表空间配额 设置系统资源限制以及建立审计 安全审计 lishixinzhi/Article/program/Oracle/201311/16942

角色是一个强大的工具，使您得以将用户集中到一个单元中，然后对该单元应用权限。对一个角色授予、拒绝或废除的权限也适用于该角色的任何成员。可以建立一个角色来代表单位中一类工作人员所执行的工作，然后给这个角色授予适当的权限。当工作人员开始工作时，只须将他们添加为该角色成员，当他们离开工作时，将他们从该角色中删除。而不必在每个人接受或离开工作时，反复授予、拒绝和废除其权限。权限在用户成为角色成员时自动生效。

Microsoft®WindowsNT®和Windows®2000组的使用方式与角色很相似。有关更多信息，请参见组。

如果根据工作职能定义了一系列角色，并给每个角色指派了适合这项工作的权限，则很容易在数据库中管理这些权限。之后，不用管理各个用户的权限，而只须在角色之间移动用户即可。如果工作职能发生改变，则只须更改一次角色的权限，并使更改自动应用于角色的所有成员， *** 作比较容易。

在Microsoft®SQLServer™2000和SQLServer70版中，用户可属于多个角色。

以下脚本说明登录、用户和角色的添加，并为角色授予权限。

USEmaster

GO

sp_grantlogin'NETDOMAIN\John'

GO

sp_defaultdb'NETDOMAIN\John','courses'

GO

sp_grantlogin'NETDOMAIN\Sarah'

GO

sp_defaultdb'NETDOMAIN\Sarah','courses'

GO

sp_grantlogin'NETDOMAIN\Betty'

GO

sp_defaultdb'NETDOMAIN\Betty','courses'

GO

sp_grantlogin'NETDOMAIN\Ralph'

GO

sp_defaultdb'NETDOMAIN\Ralph','courses'

GO

sp_grantlogin'NETDOMAIN\Diane'

GO

sp_defaultdb'NETDOMAIN\Diane','courses'

GO

USEcourses

GO

sp_grantdbaess'NETDOMAIN\John'

GO

sp_grantdbaess'NETDOMAIN\Sarah'

GO

sp_grantdbaess'NETDOMAIN\Betty'

GO

sp_grantdbaess'NETDOMAIN\Ralph'

GO

sp_grantdbaess'NETDOMAIN\Diane'

GO

sp_addrole'Professor'

GO

sp_addrole'Student'

GO

sp_'Professor','NETDOMAIN\John'

GO

sp_'Professor','NETDOMAIN\Sarah'

GO

sp_'Professor','NETDOMAIN\Diane'

GO

sp_'Student','NETDOMAIN\Betty'

GO

sp_'Student','NETDOMAIN\Ralph'

GO

sp_'Student','NETDOMAIN\Diane'

GO

GRANTSELECTONTOStudent

GO

GRANTSELECT,UPDATEONTOProfessor

GO

该脚本给John和Sarah教授提供了更新学生成绩的权限，而学生Betty和Ralph只能选择他们自己的成绩。Diane因同时教两个班，所以添加到两个角色中。视图应将教授限制在自己班学生的行上，而应限制学生只能选择自己的成绩。

SQLServer2000和SQLServer70版在安装过程中定义几个固定角色。可以在这些角色中添加用户以获得相关的管理权限。下面是服务器范围内的角色。

固定服务器角色

描述

sysadmin

可以在SQLServer中执行任何活动。

serveradmin

可以设置服务器范围的配置选项，关闭服务器。

setupadmin

可以管理链接服务器和启动过程。

可以管理登录和CREATEDATABASE权限，还可以读取错误日志和更改密码。

可以管理在SQLServer中运行的进程。

dbcreator

可以创建、更改和除去数据库。

diskadmin

可以管理磁盘文件。

bulkadmin

可以执行BULKINSERT语句。

可以从sp_helpsrvrole获得固定服务器角色的列表，可以从sp_获得每个角色的特定权限。

每个数据库都有一系列固定数据库角色。虽然每个数据库中都存在名称相同的角色，但各个角色的作用域只是在特定的数据库内。例如，如果Database1和Database2中都有叫UserX的用户ID，将Database1中的UserX添加到Database1的db_owner固定数据库角色中，对Database2中的UserX是否是Database2的db_owner角色成员没有任何影响。

固定数据库角色

描述

db_owner

在数据库中有全部权限。

db_aessadmin

可以添加或删除用户ID。

db_

可以管理全部权限、对象所有权、角色和角色成员资格。

db_ddladmin

可以发出ALLDDL，但不能发出GRANT、REVOKE或DENY语句。

db_

可以发出DBCC、CHECKPOINT和BACKUP语句。

db_datareader

可以选择数据库内任何用户表中的所有数据。

db_datawriter

可以更改数据库内任何用户表中的所有数据。

db_

不能选择数据库内任何用户表中的任何数据。

db_denydatawriter

不能更改数据库内任何用户表中的任何数据。

可以从sp_helpdbfixedrole获得固定数据库角色的列表，可以从sp_dbfixedrolepermission获得每个角色的特定权限。

数据库中的每个用户都属于public数据库角色。如果想让数据库中的每个用户都能有某个特定的权限，则将该权限指派给public角色。如果没有给用户专门授予对某个对象的权限，他们就使用指派给public角色的权限。

开始，运行输入cmd或是wind+r输入cmd

使用dba登录。

先创建一个用户：使用命令：create user 用户名 identified by 密码

给该用户解锁：使用命令：用户解锁 alter user 用户名 account unlock（不解锁无法登陆）

给该用户授权：grant create session to 用户名。这里是给的登录权限。如果想把dba的权限授权给该用户。

权限和角色的区别在那里。

当刚刚建立用户时，用户没有任何权限，也不能执行任何 *** 作。如果要执行某种特定的数据库 *** 作，则必须为其授予系统的权限；如果用户要访问其它方案的对象，则必须为其授予对象的权限。为了简化权限的管理，可以使用角色。

权限是指执行特定类型sql命令或是访问其它方案对象的权利，包括系统权限和对象权限两种。

系统权限

 系统权限介绍

系统权限是指执行特定类型sql命令的权利。它用于控制用户可以执行的一个或是一组数据库 *** 作。比如当用户具有create table权限时，可以在其方案中建表，当用户具有create any table权限时，可以在任何方案中建表。oracle提供了100多种系统权限。

常用的有：

create session 连接数据库 create table 建表

create view 建视图 create public synonym 建同义词

create procedure 建过程、函数、包 create trigger 建触发器

create cluster 建簇

 显示系统权限

oracle提供了100多种系统权限，而且oracle的版本越高，提供的系统权限就越多，我们可以查询数据字典视图system_privilege_map，可以显示所有系统权限。

select from system_privilege_map order by name;

 授予系统权限

一般情况，授予系统权限是由dba完成的，如果用其他用户来授予系统权限，则要求该用户必须具有grant any privilege的系统权限。在授予系统权限时，可以带有with admin option选项，这样，被授予权限的用户或是角色还可以将该系统权限授予其它的用户或是角色。为了让大家快速理解，我们举例说明：

1创建两个用户ken，tom。初始阶段他们没有任何权限，如果登录就会给出错误的信息。

create user ken identfied by ken;

2 给用户ken授权

1) grant create session, create table to ken with admin option;

2) grant create view to ken;

3 给用户tom授权

我们可以通过ken给tom授权，因为with admin option是加上的。当然也可以通过dba给tom授权，我们就用ken给tom授权：

1 grant create session, create table to tom;

2 grant create view to ken; --ok吗？不ok

 回收系统权限

一般情况下，回收系统权限是dba来完成的，如果其它的用户来回收系统权限，要求该用户必须具有相应系统权限及转授系统权限的选项（with admin option）。回收系统权限使用revoke来完成。

当回收了系统权限后，用户就不能执行相应的 *** 作了，但是请注意，系统权限级联收回的问题[不是级联回收！]

system --------->ken ---------->tom

(create session)(create session)( create session)

用system执行如下 *** 作：

revoke create session from ken; --请思考tom还能登录吗？

答案：能，可以登录

对象权限

 对象权限介绍

指访问其它方案对象的权利，用户可以直接访问自己方案的对象，但是如果要访问别的方案的对象，则必须具有对象的权限。

比如smith用户要访问scottemp表（scott：方案，emp：表）

常用的有：

alter 修改 delete 删除 select 查询 insert 添加

update 修改 index 索引 references 引用 execute 执行

 显示对象权限

通过数据字段视图可以显示用户或是角色所具有的对象权限。视图为dba_tab_privs

SQL> conn system/manager;

SQL> select distinct privilege from dba_tab_privs;

SQL> select grantor, owner, table_name, privilege from dba_tab_privs where grantee = 'BLAKE';

1授予对象权限

在oracle9i前，授予对象权限是由对象的所有者来完成的，如果用其它的用户来 *** 作，则需要用户具有相应的（with grant option）权限，从oracle9i开始，dba用户（sys，system）可以将任何对象上的对象权限授予其它用户。授予对象权限是用grant命令来完成的。

对象权限可以授予用户，角色，和public。在授予权限时，如果带有with grant option选项，则可以将该权限转授给其它用户。但是要注意with grant option选项不能被授予角色。

1monkey用户要 *** 作scottemp表，则必须授予相应的对象权限

1) 希望monkey可以查询scottemp表的数据，怎样 *** 作？

grant select on emp to monkey;

2) 希望monkey可以修改scottemp的表数据，怎样 *** 作？

grant update on emp to monkey;

3) 希望monkey可以删除scottemp的表数据，怎样 *** 作？

grant delete on emp to monkey;

4) 有没有更加简单的方法，一次把所有权限赋给monkey？

grant all on emp to monkey;

2能否对monkey访问权限更加精细控制。（授予列权限）

1) 希望monkey只可以修改scottemp的表的sal字段，怎样 *** 作？

grant update on emp(sal) to monkey

2)希望monkey只可以查询scottemp的表的ename，sal数据，怎样 *** 作？

grant select on emp(ename,sal) to monkey

3授予alter权限

如果black用户要修改scottemp表的结构，则必须授予alter对象权限

SQL> conn scott/tiger

SQL> grant alter on emp to blake;

当然也可以用system，sys来完成这件事。

4授予execute权限

如果用户想要执行其它方案的包/过程/函数，则须有execute权限。

比如为了让ken可以执行包dbms_transaction，可以授予execute权限。

SQL> conn system/manager

SQL> grant execute on dbms_transaction to ken;

5授予index权限

如果想在别的方案的表上建立索引，则必须具有index对象权限。

如果为了让black可以在scottemp表上建立索引，就给其index的对象权限

SQL> conn scott/tiger

SQL> grant index on scottemp to blake;

6使用with grant option选项

该选项用于转授对象权限。但是该选项只能被授予用户，而不能授予角色

SQL> conn scott/tiger;

SQL> grant select on emp to blake with grant option;

SQL> conn black/shunping

SQL> grant select on scottemp to jones;

 回收对象权限

在oracle9i中，收回对象的权限可以由对象的所有者来完成，也可以用dba用户（sys，system）来完成。

这里要说明的是：收回对象权限后，用户就不能执行相应的sql命令，但是要注意的是对象的权限是否会被级联收回？级联回收

如：scott------------->blake-------------->jones

select on emp select on emp select on emp

SQL> conn scott/tiger@accp

SQL> revoke select on emp from blake

请大家思考，jones能否查询scottemp表数据。

答案：查不了了（和系统权限不一样，刚好相反）

角色:

角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理，假定有用户a，b，c为了让他们都拥有权限

1 连接数据库

2 在scottemp表上select，insert，update。

如果采用直接授权 *** 作，则需要进行12次授权。

因为要进行12次授权 *** 作，所以比较麻烦喔！怎么办？

如果我们采用角色就可以简化：

首先将creat session，select on scottemp，insert on scottemp， update on scottemp授予角色，然后将该角色授予a，b，c用户，这样就可以三次授权搞定。

角色分为预定义和自定义角色两类：

 预定义角色

预定义角色是指oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面我们介绍常用的预定义角色connect，resource，dba

1connect角色

connect角色具有一般应用开发人员需要的大部分权限，当建立了一个用户后，多数情况下，只要给用户授予connect和resource角色就够了，那么connect角色具有哪些系统权限呢？

alter session

create cluster

create database link

create session

create table

create view

create sequence

2resource角色

resource角色具有应用开发人员所需要的其它权限，比如建立存储过程，触发器等。这里需要注意的是resource角色隐含了unlimited tablespace系统权限。

resource角色包含以下系统权限：

create cluster

create indextype

create table

create sequence

create type

create procedure

create trigger

3dba角色

dba角色具有所有的系统权限，及with admin option选项，默认的dba用户为sys和system，它们可以将任何系统权限授予其他用户。但是要注意的是dba角色不具备sysdba和sysoper的特权（启动和关闭数据库）。

 自定义角色

顾名思义就是自己定义的角色，根据自己的需要来定义。一般是dba来建立，如果用别的用户来建立，则需要具有create role的系统权限。在建立角色时可以指定验证方式（不验证，数据库验证等）。

1建立角色（不验证）

如果角色是公用的角色，可以采用不验证的方式建立角色。

create role 角色名 not identified;

2建立角色（数据库验证）

采用这样的方式时，角色名、口令存放在数据库中。当激活该角色时，必须提供口令。在建立这种角色时，需要为其提供口令。

create role 角色名 identified by 密码;

角色授权

当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。

1给角色授权

给角色授予权限和给用户授权没有太多区别，但是要注意，系统权限的unlimited tablespace和对象权限的with grant option选项是不能授予角色的。

SQL> conn system/manager;

SQL> grant create session to 角色名 with admin option

SQL> conn scott/tiger@myoral;

SQL> grant select on scottemp to 角色名;

SQL> grant insert, update, delete on scottemp to 角色名;

通过上面的步骤，就给角色授权了。

2分配角色给某个用户

一般分配角色是由dba来完成的，如果要以其它用户身份分配角色，则要求用户必须具有grant any role的系统权限。

SQL> conn system/manager;

SQL> grant 角色名 to blake with admin option;

因为我给了with admin option选项，所以，blake可以把system分配给它的角色分配给别的用户。

 删除角色

使用drop role，一般是dba来执行，如果其它用户则要求该用户具有drop any role系统权限。

SQL> conn system/manager;

SQL> drop role 角色名;

问题：如果角色被删除，那么被授予角色的用户是否还具有之前角色里的权限？

答案：不具有了

 显示角色信息

1显示所有角色

SQL> select from dba_roles;

2显示角色具有的系统权限

SQL> select privilege, admin_option from role_sys_privs where role='角色名';

3显示角色具有的对象权限

通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。

4显示用户具有的角色，及默认角色

当以用户的身份连接到数据库时，oracle会自动的激活默认的角色，通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色及当前默认的角色

SQL> select granted_role, default_role from dba_role_privs where grantee = ‘用户名’;

 精细访问控制

精细访问控制是指用户可以使用函数，策略实现更加细微的安全访问控制。如果使用精细访问控制，则当在客户端发出sql语句（select，insert，update，delete）时，oracle会自动在sql语句后追加谓词（where子句），并执行新的sql语句，通过这样的控制，可以使得不同的数据库用户在访问相同表时，返回不同的数据信息，如：

用户 scott blake jones

策略 emp_access

数据库表 emp

如上图所示，通过策略emp_access，用户scott，black，jones在执行相同的sql语句时，可以返回不同的结果。例如：当执行select ename from emp; 时，根据实际情况可以返回不同的结果。

实际上角色有点像JAVA中的代码重构预定义角色和自定义角色就像是吃饭时的套餐和自助餐

下面介绍几种常用的、主要的预定义角色及其相关的权限：

1 CONNECT

2 RESOURCE

3 DBA

4 EXP_FULL_DATABASE

5 IMP_FULL_DATABASE

6 DELETE_CATALOG_ROLE

7 EXECUTE_CATALOG_ROLE

8 SELECT_CATALOG_ROLE

说明：

1-3：是为了同Oracle老版本中的概念相兼容而提供的，不能只依赖于这些ROLE；4-5：是为了使用Import和Export实用程序的方便而提供的；6-8：是为了数据字典视图和包的卸载而提供的。

1-3前面已经提到过，下面补充学习：4-8

6DELETE_CATALOG_ROLE角色，具有从数据字典中删除数据的权利；7 EXECUTE_CATALOG_ROLE角色，具有从数据字典中执行部分过程和函数的权利。

8 SELECT_CATALOG_ROLE角色，具有从数据字典查询的权利。

你可以通过下面SQL语句查看自己版本的ORACLE的角色有那些权限，如

Select Privilege from ROLE_SYS_PRIVS where ROLE='CONNECT' (注意DBA登录）

或select privilege from dba_sys_privs where grantee like 'CONNECT';

PRIVILEGE

--------------------------------------------------------------------------------

CREATE SESSION

同样用这个语句查用户的权限

select privilege from DBA_SYS_PRIVS where grantee='SCOTT';

以上就是关于Oracle数据库的管理全部的内容，包括:Oracle数据库的管理、数据库里什么叫角色分几种、怎么给oracle数据库创建用户，并赋权限等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！