Oracle用户授权 不得不谨慎的事情

数据库 Oracle
本文将介绍Oracle用户授权的一些问题,这些问题是不得不谨慎处理的,弄不好会出现更大的纰漏。

Oracle用户授权看起来是很简单的事情,但是如果做过头了,很可能引发大问题。所以我们在做Oracle用户授权时,需要谨慎又谨慎。

看到有人提问关于Oracle用户授权的问题. 不由得想多说几句. Oracle 9i 以及以下版本的数据库,默认的数据库角色有些不太合理的地方. DBA 管理的过程中,如果不太注意的话,可能会带来麻烦或者潜在的隐忧. 比如最常见的 CONNECT 角色.

  1. User => FOO has been granted the following privileges 
  2. ====================================================================  
  3.         ROLE => CONNECT which contains =>  
  4.         SYS PRIV => ALTER SESSION   grantable => NO 
  5.         SYS PRIV => CREATE CLUSTER   grantable => NO 
  6.         SYS PRIV => CREATE DATABASE LINK  grantable => NO 
  7.         SYS PRIV => CREATE SEQUENCE   grantable => NO 
  8.         SYS PRIV => CREATE SESSION   grantable => NO 
  9.         SYS PRIV => CREATE SYNONYM   grantable => NO 
  10.         SYS PRIV => CREATE TABLE   grantable => NO 
  11.         SYS PRIV => CREATE VIEW   grantable => NO 

这里面的 ALTER SESSION 就是一个问题. 恶意的用户很容易利用这个权限给系统带来麻烦.举两个例子,一个是 修改当前 Session 的 cursor_sharing 参数值为 FORCE ,然后提交可触发 Oracle Bug 的查询(cursor_sharing 在 FORCE 模式下 Bug 很多) , 很容易让数据库崩溃. 或者恶意用户提交 alter session set hash_area_size ... 的修改语句, 给自己设定一个超大的 HASH_AREA_SIZE , 再提交一定的查询,也会给系统性能造成很糟糕的影响.

这个 CONNECT 角色在 Oracle 10g 中已经修改了,只有 create session 的权限.

再来一个角色的问题. 比如 REOURCE 角色, 包含的权限如下所示:

  1. User => FOO has been granted the following privileges 
  2. ====================================================================  
  3.         ROLE => RESOURCE which contains =>  
  4.         SYS PRIV => CREATE CLUSTER    grantable => NO 
  5.         SYS PRIV => CREATE INDEXTYPE   grantable => NO 
  6.         SYS PRIV => CREATE OPERATOR    grantable => NO 
  7.         SYS PRIV => CREATE PROCEDURE   grantable => NO 
  8.         SYS PRIV => CREATE SEQUENCE    grantable => NO 
  9.         SYS PRIV => CREATE TABLE    grantable => NO 
  10.         SYS PRIV => CREATE TRIGGER    grantable => NO 
  11.         SYS PRIV => CREATE TYPE    grantable => NO 
  12.         SYS PRIV => UNLIMITED TABLESPACE   grantable => NO 

注意是包含 UNLIMITED TABLESPACE 权限的(实际上是隐含的一个权限,Oracle为什么这样做,没有明确的文档说明,在 10g 中为了向后兼容,也是这样的.), 恶意用户利用这个造成麻烦很容易:在 SYSTEM 建立一个足够大的表即可让数据库宕机.

所以,DBA 在给用户授权的时候还是谨慎为是,建议利用"最小授权原则", 只给用户必须的权限.

 

责任编辑:彭凡 来源: dbanotes.net
相关推荐

2019-12-24 14:04:59

PythonExcel数据处理

2010-04-21 17:19:29

Oracle创建

2010-05-05 11:30:21

2011-04-27 10:31:29

兼容墨盒用户体验

2010-11-02 14:51:11

职场

2021-04-12 08:56:00

多线程Future模式

2020-07-09 12:50:29

JVM内存管理Java

2019-10-18 17:55:03

安全运营

2010-05-26 15:58:52

MySQL远程连接

2011-03-31 10:46:54

LinuxCLI软件

2019-11-14 15:38:46

AndroidRelease项目

2020-06-15 08:19:00

ZooKeeperEureka

2010-05-21 09:40:57

MySQL出错代码列表

2010-05-10 13:01:03

OracleDBA面试

2010-05-25 09:58:43

MySQL数据库

2011-09-23 09:24:26

豆瓣电台应用

2011-04-26 09:44:05

Power Cloud

2018-08-06 11:59:00

混合云数据中心上云

2015-08-31 14:12:12

DockerKubernetesPaaS

2014-10-30 13:38:55

编程算法程序员
点赞
收藏

51CTO技术栈公众号