Oracle 用戶管理權限
1、建立用戶的Profile文件sql
SQL> create profile student limit // student爲資源文件名數據庫
FAILED_LOGIN_ATTEMPTS 3 //指定鎖定用戶的登陸失敗次數安全
PASSWORD_LOCK_TIME 5 //指定用戶被鎖定天數服務器
PASSWORD_LIFE_TIME 30 //指定口令可用天數session
2、建立用戶oracle
SQL> Create User usernameapp
Identified by password --密碼,全是數字雙引號,ide
Default Tablespace tablespace--默認表空間,函數
Temporary Tablespace tablespace--零時表空間工具
Profile profile--用戶使用數據保存,
Quota integer/unlimited on tablespace;
---
create tablespace test_tablespace
datafile 'd:\oracle\oradata\test\test.dbf'
size 100M
建立表空間的語句
注意表空間的建立必須指定datafile以及文件的大小
例:
SQL> Create user acc01
identified by acc01 // 若是密碼是數字,請用雙引號括起來
default tablespace account
temporary tablespace temp
profile default
quota 50m on account;--最多50兆
SQL> grant connect, resource to acc01;
[*] 查詢用戶缺省表空間、臨時表空間
SQL> select username, default_tablespace, temporary_tablespace from dba_users;
[*] 查詢系統資源文件名:
SQL> select * from dba_profiles;
資源文件相似表,一旦建立就會保存在數據庫中。
SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;
SQL> create profile common limit
failed_login_attempts 5
idle_time 5;
SQL> Alter user acc01 profile common;
3、修改用戶:
SQL> Alter User 用戶名
Identified 口令
Default Tablespace tablespace
Temporary Tablespace tablespace
Profile profile
Quota integer/unlimited on tablespace;
一、修改口令字:
SQL>Alter user acc01 identified by "12345";
二、修改用戶缺省表空間:
SQL> Alter user acc01 default tablespace users;
三、修改用戶臨時表空間
SQL> Alter user acc01 temporary tablespace temp_data;
四、強制用戶修改口令字:
SQL> Alter user acc01 password expire;
五、將用戶加鎖
SQL> Alter user acc01 account lock; // 加鎖
SQL> Alter user acc01 account unlock; // 解鎖
4、刪除用戶
SQL>drop user 用戶名; //用戶沒有建任何實體
SQL> drop user 用戶名 CASCADE; // 將用戶及其所建實體所有刪除
*1. 當前正鏈接的用戶不得刪除。
5、監視用戶:
一、查詢用戶會話信息:
SQL> select username, sid, serial#, machine from v$session;
二、刪除用戶會話信息:
SQL> Alter system kill session 'sid, serial#';
三、查詢用戶SQL語句:
SQL> select user_name, sql_text from v$open_cursor;
ORACLE用戶權限管理整理
select username from dba_users; 查詢系統全部用戶
select * from dba_users where username = 'XXXX';查詢用戶相關信息
select * from dba_roles; 查詢系統全部角色
DBA_ROLE_PRIVS 查詢某個用戶具備的角色或者某個角色下的有哪些用戶
select * from dba_role_privs where grantee ='SYS';
select * fromdba_role_privs where granted_role ='RESOURCE';
DBA_SYS_PRIVS 查詢某個用戶具備的系統權限
select grantee,privilege from dba_sys_privs where grantee='XXXX';
ROLE_SYS_PRIVS顯示授予角色的系統權限
select* from role_sys_privs where role = 'RESOURCE';查詢RESOURCE角色相關的權限
ROLE_TAB_PRIVS顯示授予角色的表權限
管理用戶、角色和權限的DBA視圖:
DBA_USERS 提供用戶的信息
DBA_ROLES 顯示數據庫中全部角色
DBA_COL_PRIVS 顯示列級對象受權
DBA_ROLE_PRIVS 顯示用戶及其角色
DBA_SYS_PRIVS 顯示被授予系統權限的用戶
DBA_TAB_PRIVS 顯示用戶及他們在表上的權限
ROLE_ROLE_PRIVS 顯示授予角色的角色
ROLE_SYS_PRIVS 顯示授予角色的系統權限
ROLE_TAB_PRIVS 顯示授予角色的表權限
SESSION_PRIVS 顯示容許用戶使用的權限
SESSION_ROLES 顯示當前容許用戶使用的角色
select * from session_privs;查詢用戶自己擁有的權限
select * from user_role_privs;查詢用戶自己擁有的角色
select * from dba_sys_privs where grantee='CONNECT'; 查詢角色所擁有的權限
select * from role_sys_privs where role='CONNECT';查詢角色所擁有的權限
1、權限分類:
系統權限:系統規定用戶使用數據庫的權限。(系統權限是對用戶而言)。
實體權限:某種權限用戶對其它用戶的表或視圖的存取權限。(是針對表或視圖而言的)。
2、系統權限管理:
一、系統權限分類:
DBA: 擁有所有特權,是系統最高權限,只有DBA才能夠建立數據庫結構。
RESOURCE:擁有Resource權限的用戶只能夠建立實體,不能夠建立數據庫結構。
CONNECT:擁有Connect權限的用戶只能夠登陸Oracle,不能夠建立實體,不能夠建立數據庫結構。
對於普通用戶:授予connect, resource權限。
對於DBA管理用戶:授予connect,resource, dba權限。
二、系統權限受權命令:
[系統權限只能由DBA用戶授出:sys, system(最開始只能是這兩個用戶)]
受權命令:SQL> grant connect, resource, dba to 用戶名1 [,用戶名2]...;
[普通用戶經過受權能夠具備與system相同的用戶權限,但永遠不能達到與sys用戶相同的權限,system用戶的權限也能夠被回收。]
例:
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;
查詢用戶擁有哪裏權限:
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs;
刪除用戶:SQL> drop user 用戶名 cascade; //加上cascade則將用戶連同其建立的東西所有刪除
三、系統權限傳遞:
增長WITH ADMIN OPTION選項,則獲得的權限能夠傳遞。
SQL> grant connect, resorce to qwith admin option; //能夠傳遞所獲權限。
四、系統權限回收:系統權限只能由DBA用戶回收
命令:SQL> Revoke connect, resource from user50;
說明:
1)若是使用WITH ADMIN OPTION爲某個用戶授予系統權限,那麼對於被這個用戶授予相同權限的全部用戶來講,取消該用戶的系統權限並不會級聯取消這些用戶的相同權限。
2)系統權限無級聯,即A授予B權限,B授予C權限,若是A收回B的權限,C的權限不受影響;系統權限能夠跨用戶回收,即A能夠直接收回C用戶的權限。
3、實體權限管理
一、實體權限分類:select, update, insert, alter, index, delete, all //all包括全部權限
execute //執行存儲過程權限
user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;
user02:
SQL> select * from user01.product;
// 此時user02查user_tables,不包括user01.product這個表,但若是查all_tables則能夠查到,由於他能夠訪問。
2. 將表的操做權限授予全體用戶:
SQL> grant all on product to public; // public表示是全部的用戶,這裏的all權限不包括drop。
[實體權限數據字典]:
SQL> select owner, table_name from all_tables; // 用戶能夠查詢的表
SQL> select table_name from user_tables; // 用戶建立的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 獲權能夠存取的表(被受權的)
SQL> select grantee, owner, table_name, privilege from user_tab_privs; // 授出權限的表(授出的權限)
3. DBA用戶能夠操做全體用戶的任意基表(無需受權,包括刪除):
DBA用戶:
SQL> Create table stud02.product(
id number(10),
name varchar2(20));
SQL> drop table stud02.emp;
SQL> create table stud02.employee
as
select * from scott.emp;
4. 實體權限傳遞(with grant option):
user01:
SQL> grant select, update on product to user02 with grant option; // user02獲得權限,並能夠傳遞。
5. 實體權限回收:
user01:
SQL>Revoke select, update on product from user02; //傳遞的權限將所有丟失。
說明
1)若是取消某個用戶的對象權限,那麼對於這個用戶使用WITH GRANT OPTION授予權限的用戶來講,一樣還會取消這些用戶的相同權限,也就是說取消受權時級聯的。
總結:
--查看用戶系統權限
select * from dba_sys_privs;
select * from session_privs;
select * from user_sys_privs;
--查看用戶對象權限
select * from dba_tab_privs;
select * from all_tab_privs;
select * from user_tab_privs;
Oracle 角色管理
1、何爲角色
角色。角色是一組權限的集合,將角色賦給一個用戶,這個用戶就擁有了這個角色中的全部權限。
2、系統預約義角色
預約義角色是在數據庫安裝後,系統自動建立的一些經常使用的角色。下介簡單的介紹一下這些預約角色。角色所包含的權限能夠用如下語句查詢:
sql>select * from role_sys_privs where role='角色名';
1.CONNECT, RESOURCE, DBA
這些預約義角色主要是爲了向後兼容。其主要是用於數據庫管理。oracle建議用戶本身設計數據庫管理和安全的權限規劃,而不要簡單的使用這些預約角色。未來的版本中這些角色可能不會做爲預約義角色。
2.DELETE_CATALOG_ROLE, EXECUTE_CATALOG_ROLE, SELECT_CATALOG_ROLE
這些角色主要用於訪問數據字典視圖和包。
3.EXP_FULL_DATABASE, IMP_FULL_DATABASE
這兩個角色用於數據導入導出工具的使用。
4.AQ_USER_ROLE, AQ_ADMINISTRATOR_ROLE
AQ:Advanced Query。這兩個角色用於oracle高級查詢功能。
5. SNMPAGENT
用於oracle enterprise manager和Intelligent Agent
6.RECOVERY_CATALOG_OWNER
用於建立擁有恢復庫的用戶。關於恢復庫的信息,參考oracle文檔《Oracle9i User-Managed Backup and Recovery Guide》
7.HS_ADMIN_ROLE
A DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary.
3、管理角色
1.建一個角色
sql>create role role1;
2.受權給角色
sql>grant create any table,create procedure to role1;
3.授予角色給用戶
sql>grant role1 to user1;
4.查看角色所包含的權限
sql>select * from role_sys_privs;
5.建立帶有口令以角色(在生效帶有口令的角色時必須提供口令)
sql>create role role1 identified by password1;
6.修改角色:是否須要口令
sql>alter role role1 not identified;
sql>alter role role1 identified by password1;
7.設置當前用戶要生效的角色
(注:角色的生效是一個什麼概念呢?假設用戶a有b1,b2,b3三個角色,那麼若是b1未生效,則b1所包含的權限對於a來說是不擁有的,只有角色生效了,角色內的權限才做用於用戶,最大可生效角色數由參數MAX_ENABLED_ROLES設定;在用戶登陸後,oracle將全部直接賦給用戶的權限和用戶默認角色中的權限賦給用戶。)
sql>set role role1;//使role1生效
sql>set role role,role2;//使role1,role2生效
sql>set role role1 identified by password1;//使用帶有口令的role1生效
sql>set role all;//使用該用戶的全部角色生效
sql>set role none;//設置全部角色失效
sql>set role all except role1;//除role1外的該用戶的全部其它角色生效。
sql>select * from SESSION_ROLES;//查看當前用戶的生效的角色。
8.修改指定用戶,設置其默認角色
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1;
詳見oracle參考文檔
9.刪除角色
sql>drop role role1;
角色刪除後,原來擁用該角色的用戶就再也不擁有該角色了,相應的權限也就沒有了。
說明:
1)沒法使用WITH GRANT OPTION爲角色授予對象權限
2)可使用WITH ADMIN OPTION 爲角色授予系統權限,取消時不是級聯
數據字典
一、動態數據字典是以v$xxx開始的數據字典,在數據庫中約有150個左右,這些數據字典反映數據庫動態運行情況,在不一樣時間查詢會獲得不一樣的結果。
二、DBA數據字典是以DBA_xxx表示,該數據字典存儲數據庫結構,查詢DBA數據字典能夠反映數據庫結構設置,管理磁盤空間和表空間、事務與回退段、用戶與表空間等信息。
三、用戶數據字典是以USER_xxx表示,這些數據字典反應用戶所建立的實體信息。如,USER_TABLES、USER_VIEWS,數據庫管理員具備操做全體用戶全部實體的權限,能夠查詢這類數據字典,瞭解用戶所建立實體情況,必要時能夠將用戶建立的不正確的實體刪除。
四、ALL_xxx類數據字典,表示用戶所建立的實體及用戶有權能夠存取的實體。
select privilege from dba_SYS_privs where grantee=‘USERNAME’
Oracle查詢用戶權限
-- 肯定角色的權限
select * from role_tab_privs ; 包含了授予角色的對象權限
select * from role_role_privs ; 包含了授予另外一角色的角色
select * from role_sys_privs ; 包含了授予角色的系統權限
-- 肯定用戶賬戶所授予的權限
select * from DBA_tab_privs ; 直接授予用戶賬戶的對象權限
select * from DBA_role_privs ; 授予用戶賬戶的角色
select * from DBA_sys_privs ; 授予用戶賬戶的系統權限
查看當前用戶權限:
SQL> select * from session_privs;
PRIVILEGE
----------------------------------------
CREATE SESSION
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE PROCEDURE
CREATE TRIGGER
8 rows selected.
Oracle 自己的數據字典設計我我的以爲很合理, 由於DBA_xxx, ALL_xxx,USER_xxx 讓人一看大概就知道這個視圖是幹什麼用的. 本文簡要總結了一下與權限,角色相關的視圖.
一. 概述
與權限,角色相關的視圖大概有下面這些:
DBA_SYS_PRIVS: 查詢某個用戶所擁有的系統權限
USER_SYS_PRIVS: 當前用戶所擁有的系統權限
SESSION_PRIVS: 當前用戶所擁有的所有權限
ROLE_SYS_PRIVS: 某個角色所擁有的系統權限
注意: 要以SYS用戶登錄查詢這個視圖,不然返回空.
ROLE_ROLE_PRIVS: 當前角色被賦予的角色
SESSION_ROLES: 當前用戶被激活的角色
USER_ROLE_PRIVS: 當前用戶被授予的角色
另外還有針對表的訪問權限的視圖:
TABLE_PRIVILEGES
ALL_TAB_PRIVS
ROLE_TAB_PRIVS: 某個角色被賦予的相關表的權限
...
二. Examples
1. 查詢當前用戶所擁有的權限
Select * from session_privs;
2. 查詢某個用戶被賦予的系統權限.
能夠有多種方式
Select * from user_sys_privs;
或者: select * from DBA_SYS_PRIVS where grantee='XXX'
(須要當前用戶擁有DBA角色)
3. 查詢當前用戶被授予的角色:
1. Select * from SESSION_ROLES order by ROLE
說明: 這個查詢會返回當前用戶所被授予的所有角色, 其中包括
嵌套受權的角色. 例如將DBA角色授予了一個用戶,DBA角色
已經被授予的角色(例如 exp_full_database 和 imp_full_database)
也會被查詢出來
2. Select * from USER_ROLE_PRIVS
4. 查詢某一角色被賦予的系統權限
Select Privilege from ROLE_SYS_PRIVS where ROLE=&Role
輸入 role='CONNECT'
輸出:
PRIVILEGE
--------------------
ALTER SESSION
CREATE CLUSTER
CREATE DATABASE LINK
CREATE SEQUENCE
CREATE SESSION
CREATE SYNONYM
CREATE TABLE
CREATE VIEW
5. 查詢當前角色被授予的角色
Select GRANTED_ROLE from ROLE_ROLE_PRIVS where ROLE=&ROLE
輸入 role= 'DBA'
輸出:
GRANTED_ROLE
----------------------
DELETE_CATALOG_ROLE
EXECUTE_CATALOG_ROLE
EXP_FULL_DATABASE
IMP_FULL_DATABASE
PLUSTRACE
SELECT_CATALOG_ROLE
說明: PLUSTRACE這個角色是用於執行SQL AUTO TRACE的, 經過執行
$ORACLE_HOME/sqlplus/admin/plustrce.sql能夠生成這個角色.
-------------------------------------------------------------------------------------------------------------------------------------------------------------
如何查看oracle用戶權限?
ORACLE數據字典視圖的種類分別爲:USER,ALL 和 DBA。
USER_*:有關用戶所擁有的對象信息,即用戶本身建立的對象信息
ALL_*:有關用戶能夠訪問的對象的信息,即用戶本身建立的對象的信息加上
其餘用戶建立的對象但該用戶有權訪問的信息
DBA_*:有關整個數據庫中對象的信息
(這裏的*能夠爲TABLES,INDEXES,OBJECTS,USERS等。)
一、查看全部用戶
select * from dba_user;
select * from all_users;
select * from user_users;
二、查看用戶系統權限
select * from dba_sys_privs;
select * from all_sys_privs;
select * from user_sys_privs;
三、查看用戶對象權限
select * from dba_tab_privs;
select * from all_tab_privs;
select * from user_tab_privs;
四、查看全部角色
select * from dba_roles;
五、查看用戶所擁有的角色
select * from dba_role_privs;
select * from user_role_privs;
六、查看當前用戶的缺省表空間
select username,default_tablespace from user_users;
七、查看某個角色的具體權限
如grant connect,resource,create session,create view to TEST;
八、查看RESOURCE具備那些權限
用SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE='RESOURCE';
oracle的系統和對象權限列表
alter any cluster 修改任意簇的權限
alter any index 修改任意索引的權限
alter any role 修改任意角色的權限
alter any sequence 修改任意序列的權限
alter any snapshot 修改任意快照的權限
alter any table 修改任意表的權限
alter any trigger 修改任意觸發器的權限
alter cluster 修改擁有簇的權限
alter database 修改數據庫的權限
alter procedure 修改擁有的存儲過程權限
alter profile 修改資源限制簡表的權限
alter resource cost 設置佳話資源開銷的權限
alter rollback segment 修改回滾段的權限
alter sequence 修改擁有的序列權限
alter session 修改數據庫會話的權限
alter sytem 修改數據庫服務器設置的權限
alter table 修改擁有的表權限
alter tablespace 修改表空間的權限
alter user 修改用戶的權限
analyze 使用analyze命令分析數據庫中任意的表、索引和簇
audit any 爲任意的數據庫對象設置審計選項
audit system 容許系統操做審計
backup any table 備份任意表的權限
become user 切換用戶狀態的權限
commit any table 提交表的權限
create any cluster 爲任意用戶建立簇的權限
create any index 爲任意用戶建立索引的權限
create any procedure 爲任意用戶建立存儲過程的權限
create any sequence 爲任意用戶建立序列的權限
create any snapshot 爲任意用戶建立快照的權限
create any synonym 爲任意用戶建立同義名的權限
create any table 爲任意用戶建立表的權限
create any trigger 爲任意用戶建立觸發器的權限
create any view 爲任意用戶建立視圖的權限
create cluster 爲用戶建立簇的權限
create database link 爲用戶建立的權限
create procedure 爲用戶建立存儲過程的權限
create profile 建立資源限制簡表的權限
create public database link 建立公共數據庫鏈路的權限
create public synonym 建立公共同義名的權限
create role 建立角色的權限
create rollback segment 建立回滾段的權限
create session 建立會話的權限
create sequence 爲用戶建立序列的權限
create snapshot 爲用戶建立快照的權限
create synonym 爲用戶建立同義名的權限
create table 爲用戶建立表的權限
create tablespace 建立表空間的權限
create user 建立用戶的權限
create view 爲用戶建立視圖的權限
delete any table 刪除任意表行的權限
delete any view 刪除任意視圖行的權限
delete snapshot 刪除快照中行的權限
delete table 爲用戶刪除錶行的權限
delete view 爲用戶刪除視圖行的權限
drop any cluster 刪除任意簇的權限
drop any index 刪除任意索引的權限
drop any procedure 刪除任意存儲過程的權限
drop any role 刪除任意角色的權限
drop any sequence 刪除任意序列的權限
drop any snapshot 刪除任意快照的權限
drop any synonym 刪除任意同義名的權限
drop any table 刪除任意表的權限
drop any trigger 刪除任意觸發器的權限
drop any view 刪除任意視圖的權限
drop profile 刪除資源限制簡表的權限
drop public cluster 刪除公共簇的權限
drop public database link 刪除公共數據鏈路的權限
drop public synonym 刪除公共同義名的權限
drop rollback segment 刪除回滾段的權限
drop tablespace 刪除表空間的權限
drop user 刪除用戶的權限
execute any procedure 執行任意存儲過程的權限
execute function 執行存儲函數的權限
execute package 執行存儲包的權限
execute procedure 執行用戶存儲過程的權限
force any transaction 管理未提交的任意事務的輸出權限
force transaction 管理未提交的用戶事務的輸出權限
grant any privilege 授予任意系統特權的權限
grant any role 授予任意角色的權限
index table 給表加索引的權限
insert any table 向任意表中插入行的權限
insert snapshot 向快照中插入行的權限
insert table 向用戶表中插入行的權限
insert view 向用戶視圖中插行的權限
lock any table 給任意表加鎖的權限
manager tablespace 管理(備份可用性)表空間的權限
references table 參考表的權限
restricted session 建立有限制的數據庫會話的權限
select any sequence 使用任意序列的權限
select any table 使用任意表的權限
select snapshot 使用快照的權限
select sequence 使用用戶序列的權限
select table 使用用戶表的權限
select view 使用視圖的權限
unlimited tablespace 對錶空間大小不加限制的權限
update any table 修改任意表中行的權限
update snapshot 修改快照中行的權限
update table 修改用戶表中的行的權限
update view 修改視圖中行的權限
與權限安全相關的數據字典表有:
ALL_TAB_PRIVS
ALL_TAB_PRIVS_MADE
ALL_TAB_PRIVS_RECD
DBA_SYS_PRIVS
DBA_ROLES
DBA_ROLE_PRIVS
ROLE_ROLE_PRIVS
ROLE_SYS_PRIVS
ROLE_TAB_PRIVS
SESSION_PRIVS
SESSION_ROLES
USER_SYS_PRIVS
USER_TAB_PRIV