Системные Привилегии

Рубрика: Администрирование Пользовательской Безопасности

Системные Привилегии

Чтобы предоставить системные привилегии, щелкните по вкладке Systems Privileges на странице Edit User. Выберите соответствующие привилегии из списка доступных привилегий, и переместите их в список Selected System Privileges, щелкая по стрелке Перемещения.

Предоставление привилегии с пунктом ANY означает, что привилегия распространяется на все схемы. Например, если у Вас есть привилегия CREATE TABLE, можно создать таблицу — но только в Вашей собственной схеме. Привилегия SELECT ANY TABLE позволяет Вам выбирать из таблиц, принадлежащих другим пользователям. Пользователю SYS и пользователям с ролью DBA предоставлены все ANY привилегии; поэтому эти пользователи могут сделать что-либо с любым объектом данных. Охват системных привилегий ANY можно контролировать, используя Oracle Database Vault Option.

Выбор флажка Admin Option позволяет пользователю администрировать привилегию и предоставить системную привилегию другим пользователям.

Синтаксис SQL для того, чтобы предоставлять системные привилегии:

    

GRANT <system_privilege> TO <grantee clause> [WITH ADMIN OPTION]

Тщательно рассмотрите требования безопасности прежде, чем предоставлять системные привилегии. Некоторые системные привилегии обычно предоставляются только администраторам:

  • RESTRICTED SESSION: Эта привилегия позволяет Вам входить в систему, даже если база данных была открыта в ограниченном режиме.

  • SYSDBA и SYSOPER: Эти привилегии позволяют Вам завершать работу экземпляра, запускать его и выполнять восстановление и другие задачи администрирования в базе данных. SYSOPER позволяет пользователю выполнять основные операционные задачи, но без возможности получать доступ к пользовательским данным. Она включает следующие системные привилегии:

    • STARTUP и SHUTDOWN

    • CREATE SPFILE

    • ALTER DATABASE OPEN/MOUNT/BACKUP

    • ALTER DATABASE ARCHIVELOG

    • ALTER DATABASE RECOVER (Только полное восстановление. Любая форма неполного восстановления, такая как UNTIL TIME|CHANGE|CANCEL|CONTROLFILE, требует подключения как SYSDBA.)

    • RESTRICTED SESSION

    Системная привилегия SYSDBA дополнительно авторизует неполное восстановление и удаление базы данных. Фактически, системная привилегия SYSDBA позволяет пользователю соединяться как пользователь SYS.

SYSASM: Это привилегия позволяет Вам запускать, завершать работу и администрировать экземпляр ASM.

DROP ANY object: Привилегия DROP ANY позволяет Вам удалять объекты, которыми владеют другие пользователи схемы.

CREATE, MANAGE, DROP и ALTER TABLESPACE: Эти привилегии позволяют администрировать табличные пространства, включая создание, удаление и изменение атрибутов табличного пространства.

CREATE LIBRARY: База данных Oracle позволяет разработчикам создавать и вызывать внешний код (например, библиотеку C) из PL/SQL. Библиотеку нужно назвать объектом LIBRARY в базе данных. Привилегия CREATE LIBRARY позволяет пользователю создавать произвольную библиотеку кода, которая может быть выполнена из PL/SQL.

CREATE ANY DIRECTORY: Как мера безопасности, каталог операционной системы, где находится код, должен быть соединен с виртуальным объектом каталога Oracle. С привилегией CREATE ANY DIRECTORY можно потенциально вызвать небезопасные объекты кода.
Привилегия CREATE ANY DIRECTORY позволяет пользователю создавать объект каталога (с доступом для чтения и доступом для записи) для любого каталога, к которому может получить доступ владелец программного обеспечения Oracle. Это означает, что пользователь может получить доступ к внешним процедурам в этих каталогах. Пользователь может попытаться непосредственно читать и записывать в любой файл базы данных, такой как файл данных, журнал транзакций и журналы аудита. Убедитесь, что у Вашей организации есть стратегия безопасности, которая предотвращает неправильное использование таких мощных привилегий, как эта.

GRANT ANY OBJECT PRIVILEGE: Эта привилегия позволяет Вам предоставлять объектные привилегии для объектов, которыми Вы не владеете.

ALTER DATABASE и ALTER SYSTEM: Эти очень мощные привилегии позволяют Вам изменять базу данных и экземпляр Oracle (например, переименовывать файл данных или сбрасывать буферный кэш).

Далее: Разделение Обязанностей

Смотрите также
Комментарии
Написать

(обязательно)

(обязательно)

Это не спам (обязательно)