自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Oracle用戶授權(quán) 不得不謹(jǐn)慎的事情

作者:Fenng
數(shù)據(jù)庫 Oracle
本文將介紹Oracle用戶授權(quán)的一些問題,這些問題是不得不謹(jǐn)慎處理的,弄不好會(huì)出現(xiàn)更大的紕漏。

Oracle用戶授權(quán)看起來是很簡(jiǎn)單的事情,但是如果做過頭了,很可能引發(fā)大問題。所以我們?cè)谧鯫racle用戶授權(quán)時(shí),需要謹(jǐn)慎又謹(jǐn)慎。

看到有人提問關(guān)于Oracle用戶授權(quán)的問題. 不由得想多說幾句. Oracle 9i 以及以下版本的數(shù)據(jù)庫,默認(rèn)的數(shù)據(jù)庫角色有些不太合理的地方. DBA 管理的過程中,如果不太注意的話,可能會(huì)帶來麻煩或者潛在的隱憂. 比如最常見的 CONNECT 角色. 

  1. User => FOO has been granted the following privileges 
  2. ====================================================================  
  3.         ROLE => CONNECT which contains =>  
  4.         SYS PRIV => ALTER SESSION   grantable => NO 
  5.         SYS PRIV => CREATE CLUSTER   grantable => NO 
  6.         SYS PRIV => CREATE DATABASE LINK  grantable => NO 
  7.         SYS PRIV => CREATE SEQUENCE   grantable => NO 
  8.         SYS PRIV => CREATE SESSION   grantable => NO 
  9.         SYS PRIV => CREATE SYNONYM   grantable => NO 
  10.         SYS PRIV => CREATE TABLE   grantable => NO 
  11.         SYS PRIV => CREATE VIEW   grantable => NO 

這里面的 ALTER SESSION 就是一個(gè)問題. 惡意的用戶很容易利用這個(gè)權(quán)限給系統(tǒng)帶來麻煩.舉兩個(gè)例子,一個(gè)是 修改當(dāng)前 Session 的 cursor_sharing 參數(shù)值為 FORCE ,然后提交可觸發(fā) Oracle Bug 的查詢(cursor_sharing 在 FORCE 模式下 Bug 很多) , 很容易讓數(shù)據(jù)庫崩潰. 或者惡意用戶提交 alter session set hash_area_size ... 的修改語句, 給自己設(shè)定一個(gè)超大的 HASH_AREA_SIZE , 再提交一定的查詢,也會(huì)給系統(tǒng)性能造成很糟糕的影響.

這個(gè) CONNECT 角色在 Oracle 10g 中已經(jīng)修改了,只有 create session 的權(quán)限.

再來一個(gè)角色的問題. 比如 REOURCE 角色, 包含的權(quán)限如下所示:

  1. User => FOO has been granted the following privileges 
  2. ====================================================================  
  3.         ROLE => RESOURCE which contains =>  
  4.         SYS PRIV => CREATE CLUSTER    grantable => NO 
  5.         SYS PRIV => CREATE INDEXTYPE   grantable => NO 
  6.         SYS PRIV => CREATE OPERATOR    grantable => NO 
  7.         SYS PRIV => CREATE PROCEDURE   grantable => NO 
  8.         SYS PRIV => CREATE SEQUENCE    grantable => NO 
  9.         SYS PRIV => CREATE TABLE    grantable => NO 
  10.         SYS PRIV => CREATE TRIGGER    grantable => NO 
  11.         SYS PRIV => CREATE TYPE    grantable => NO 
  12.         SYS PRIV => UNLIMITED TABLESPACE   grantable => NO 

注意是包含 UNLIMITED TABLESPACE 權(quán)限的(實(shí)際上是隱含的一個(gè)權(quán)限,Oracle為什么這樣做,沒有明確的文檔說明,在 10g 中為了向后兼容,也是這樣的.), 惡意用戶利用這個(gè)造成麻煩很容易:在 SYSTEM 建立一個(gè)足夠大的表即可讓數(shù)據(jù)庫宕機(jī).

所以,DBA 在給用戶授權(quán)的時(shí)候還是謹(jǐn)慎為是,建議利用"最小授權(quán)原則", 只給用戶必須的權(quán)限.

 

責(zé)任編輯:彭凡 來源: dbanotes.net
Oracle用戶授權(quán)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)