日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Oracle用戶(hù)授權(quán)不得不謹(jǐn)慎的事情

Oracle用戶(hù)授權(quán)看起來(lái)是很簡(jiǎn)單的事情,但是如果做過(guò)頭了,很可能引發(fā)大問(wèn)題。所以我們?cè)谧鯫racle用戶(hù)授權(quán)時(shí),需要謹(jǐn)慎又謹(jǐn)慎。

創(chuàng)新互聯(lián)公司于2013年成立,是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元徐水做網(wǎng)站,已為上家服務(wù),為徐水各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):028-86922220

看到有人提問(wèn)關(guān)于Oracle用戶(hù)授權(quán)的問(wèn)題. 不由得想多說(shuō)幾句. Oracle 9i 以及以下版本的數(shù)據(jù)庫(kù),默認(rèn)的數(shù)據(jù)庫(kù)角色有些不太合理的地方. DBA 管理的過(guò)程中,如果不太注意的話(huà),可能會(huì)帶來(lái)麻煩或者潛在的隱憂(yōu). 比如最常見(jiàn)的 CONNECT 角色. 

 
 
    
  
  
  1. User => FOO has been granted the following privileges 
    2. 
  
  
  2. ====================================================================  
    3. 
  
  
  3.         ROLE => CONNECT which contains =>  
    4. 
  
  
  4.         SYS PRIV => ALTER SESSION   grantable => NO 
    5. 
  
  
  5.         SYS PRIV => CREATE CLUSTER   grantable => NO 
    6. 
  
  
  6.         SYS PRIV => CREATE DATABASE LINK  grantable => NO 
    7. 
  
  
  7.         SYS PRIV => CREATE SEQUENCE   grantable => NO 
    8. 
  
  
  8.         SYS PRIV => CREATE SESSION   grantable => NO 
    9. 
  
  
  9.         SYS PRIV => CREATE SYNONYM   grantable => NO 
    10. 
  
  
  10.         SYS PRIV => CREATE TABLE   grantable => NO 
    11. 
  
  
  11.         SYS PRIV => CREATE VIEW   grantable => NO 
    12.

這里面的 ALTER SESSION 就是一個(gè)問(wèn)題. 惡意的用戶(hù)很容易利用這個(gè)權(quán)限給系統(tǒng)帶來(lái)麻煩.舉兩個(gè)例子,一個(gè)是 修改當(dāng)前 Session 的 cursor_sharing 參數(shù)值為 FORCE ,然后提交可觸發(fā) Oracle Bug 的查詢(xún)(cursor_sharing 在 FORCE 模式下 Bug 很多) , 很容易讓數(shù)據(jù)庫(kù)崩潰. 或者惡意用戶(hù)提交 alter session set hash_area_size ... 的修改語(yǔ)句, 給自己設(shè)定一個(gè)超大的 HASH_AREA_SIZE , 再提交一定的查詢(xún),也會(huì)給系統(tǒng)性能造成很糟糕的影響.

這個(gè) CONNECT 角色在 Oracle 10g 中已經(jīng)修改了,只有 create session 的權(quán)限.

再來(lái)一個(gè)角色的問(wèn)題. 比如 REOURCE 角色, 包含的權(quán)限如下所示:

 
 
    
  
  
  1. User => FOO has been granted the following privileges 
    2. 
  
  
  2. ====================================================================  
    3. 
  
  
  3.         ROLE => RESOURCE which contains =>  
    4. 
  
  
  4.         SYS PRIV => CREATE CLUSTER    grantable => NO 
    5. 
  
  
  5.         SYS PRIV => CREATE INDEXTYPE   grantable => NO 
    6. 
  
  
  6.         SYS PRIV => CREATE OPERATOR    grantable => NO 
    7. 
  
  
  7.         SYS PRIV => CREATE PROCEDURE   grantable => NO 
    8. 
  
  
  8.         SYS PRIV => CREATE SEQUENCE    grantable => NO 
    9. 
  
  
  9.         SYS PRIV => CREATE TABLE    grantable => NO 
    10. 
  
  
  10.         SYS PRIV => CREATE TRIGGER    grantable => NO 
    11. 
  
  
  11.         SYS PRIV => CREATE TYPE    grantable => NO 
    12. 
  
  
  12.         SYS PRIV => UNLIMITED TABLESPACE   grantable => NO 
    13.

注意是包含 UNLIMITED TABLESPACE 權(quán)限的(實(shí)際上是隱含的一個(gè)權(quán)限,Oracle為什么這樣做,沒(méi)有明確的文檔說(shuō)明,在 10g 中為了向后兼容,也是這樣的.), 惡意用戶(hù)利用這個(gè)造成麻煩很容易:在 SYSTEM 建立一個(gè)足夠大的表即可讓數(shù)據(jù)庫(kù)宕機(jī).

所以,DBA 在給用戶(hù)授權(quán)的時(shí)候還是謹(jǐn)慎為是,建議利用"最小授權(quán)原則", 只給用戶(hù)必須的權(quán)限.


網(wǎng)頁(yè)標(biāo)題:Oracle用戶(hù)授權(quán)不得不謹(jǐn)慎的事情
地址分享:http://www.dlmjj.cn/article/copcdcs.html