【正文】 tified by password。其中password為您為用戶設置的密碼。Oracle服務器實用例程的安全性：以下是保護Oracle服務器不被非法用戶使用的幾條建議：(1) 確保$ORACLE_HOME/bin目錄下的所有程序的擁有權(quán)歸Oracle軟件擁有者所有；(2) 給所有用戶實用便程(sqiplus,sqiforms,exp,imp等)711權(quán)限，使服務器上所有的用戶都可訪問Oracle服務器；(3) 給所有的DBA實用例程(比如SQL*DBA)700權(quán)限。Oracle服務器和Unix組當訪問本地的服務時，您可以通過在操作系統(tǒng)下把Oracle服務器的角色映射到Unix的組的方式來使用Unix管理服務器的安全性，這種方法適應于本地訪問。在Unix中指定Oracle服務器角色的格式如下：ora_sid_role[_dla]其中 sid 是您Oracle數(shù)據(jù)庫的oracle_sid；role 是Oracle服務器中角色的名字；d (可選)表示這個角色是缺省值；a (可選)表示這個角色帶有WITH ADMIN選項，您只可以把這個角色授予其他角色，不能是其他用戶。以下是在/etc/group文件中設置的例子：ora_test_osoper_d:NONE:1:jim,narry,scottora_test_osdba_a:NONE:3:patora_test_role1:NONE:4:bob,jane,tom,mary,jimbin: NONE:5:root,oracle,dbaroot:NONE:7:root詞組“ora_test_osoper_d”表示組的名字；詞組“NONE”表示這個組的密碼；數(shù)字1表示這個組的ID；接下來的是這個組的成員。前兩行是 Oracle服務器角色的例子，使用test作為sid，osoper和osdba作為Oracle服務器角色的名字。osoper是分配給用戶的缺省角色，osdba帶有WITH ADMIN選項。為了使這些數(shù)據(jù)庫角色起作用，您必須shutdown您的數(shù)據(jù)庫系統(tǒng)，設置Oracle數(shù)據(jù)庫參數(shù)文件 ，然后重新啟動您的數(shù)據(jù)庫。如果您想讓這些角色有connect internal權(quán)限，運行orapwd為這些角色設置密碼。當您嘗試connect internal時，您鍵入的密碼表示了角色所對應的權(quán)限。SQL*DBA命令的安全性：如果您沒有SQL*PLUS應用程序，您也可以使用SQL*DBA作SQL查權(quán)限相關的命令只能分配給Oracle軟件擁有者和DBA組的用戶，因為這些命令被授予了特殊的系統(tǒng)權(quán)限。(1) startup(2) shutdown(3) connect internal數(shù)據(jù)庫文件的安全性：Oracle軟件的擁有者應該這些數(shù)據(jù)庫文件($ORACLE_HOME/dbs/*.dbf)設置這些文件的使用權(quán)限為0600：文件的擁有者可讀可寫，同組的和其他組的用戶沒有寫的權(quán)限。Oracle軟件的擁有者應該擁有包含數(shù)據(jù)庫文件的目錄，為了增加安全性，建議收回同組和其他組用戶對這些文件的可讀權(quán)限。網(wǎng)絡安全性：當處理網(wǎng)絡安全性時，以下是額外要考慮的幾個問題。(1) 在網(wǎng)絡上使用密碼在網(wǎng)上的遠端用戶可以通過加密或不加密方式鍵入密碼，當您用不加密方式鍵入密碼時，您的密碼很有可能被非法用戶截獲，導致破壞了系統(tǒng)的安全性。(2) 網(wǎng)絡上的DBA權(quán)限控制您可以通過下列兩種方式對網(wǎng)絡上的DBA權(quán)限進行控制：A 設置成拒絕遠程DBA訪問；B 通過orapwd給DBA設置特殊的密碼。建立安全性策略：系統(tǒng)安全性策略(1) 管理數(shù)據(jù)庫用戶：數(shù)據(jù)庫用戶是訪問Oracle數(shù)據(jù)庫信息的途徑，因此，應該很好地維護管理數(shù)據(jù)庫用戶的安全性。按照數(shù)據(jù)庫系統(tǒng)的大小和管理數(shù)據(jù)庫用戶所需的工作量，數(shù)據(jù)庫安全性管理者可能只是擁有create，alter，或drop數(shù)據(jù)庫用戶的一個特殊用戶，或者是擁有這些權(quán)限的一組用戶，應注意的是，只有那些值得信任的個人才應該有管理數(shù)據(jù)庫用戶的權(quán)限。(2) 用戶身份確認：數(shù)據(jù)庫用戶可以通過操作系統(tǒng)，網(wǎng)絡服務，或數(shù)據(jù)庫進行身份確認，通過主機操作系統(tǒng)進行用戶身份認證的優(yōu)點有：A 用戶能更快，更方便地聯(lián)入數(shù)據(jù)庫；B 通過操作系統(tǒng)對用戶身份確認進行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫用戶信息一致，Oracle無須存儲和管理用戶名以及密碼；C 用戶進入數(shù)據(jù)庫和操作系統(tǒng)審計信息一致。(3) 操作系統(tǒng)安全性A 數(shù)據(jù)庫管理員必須有create和delete文件的操作系統(tǒng)權(quán)限；B 一般數(shù)據(jù)庫用戶不應該有create或delete與數(shù)據(jù)庫相關文件的操作系統(tǒng)權(quán)限；C 如果操作系統(tǒng)能為數(shù)據(jù)庫用戶分配角色，那么安全性管理者必須有修改操作系統(tǒng)帳戶安全性區(qū)域的操作系統(tǒng)權(quán)限。數(shù)據(jù)的安全性策略：數(shù)據(jù)的生考慮應基于數(shù)據(jù)的重要性。如果數(shù)據(jù)不是很重要，那么數(shù)據(jù)的安全性策略可以稍稍放松一些。然而，如果數(shù)據(jù)很重要，那么應該有一謹慎的安全性策略，用它來維護對數(shù)據(jù)對象訪問的有效控制。用戶安全性策略：(1) 一般用戶的安全性：A 密碼的安全性：如果用戶是通過數(shù)據(jù)庫進行用戶身份的確認，那么建議使用密碼加密的方式與數(shù)據(jù)庫進行連接。這種方式的設置方法如下：；。B 權(quán)限管理：對于那些用戶很多，應用程序和數(shù)據(jù)對象很豐富的數(shù)據(jù)庫，應充分利用“角色”這個機制所帶的方便性對權(quán)限進行有效管理。對于復雜的系統(tǒng)環(huán)境，“角色”能大大地簡化權(quán)限的理。(2) 終端用戶的安全性：您必須針對終端用戶制定安全性策略。例如，對于一個有很多用戶的大規(guī)模數(shù)據(jù)庫，安全性管理者可以決定用戶組分類為這些用戶組創(chuàng)建用戶角色，把所需的權(quán)限和應用程序角色授予每一個用戶角色，以及為用戶分配相應的用戶角色。當處理特殊的應用要求時，安全性管理者也必須明確地把一些特定的權(quán)限要求授予給用戶。您可以使用“角色”對終端用戶進行權(quán)限管理。數(shù)據(jù)庫管理者安全性策略：(1) 保護作為sys和system用戶的連接：當數(shù)據(jù)庫創(chuàng)建好以后，立即更改有管理權(quán)限的sys和system用戶的密碼，防止非法用戶訪問數(shù)據(jù)庫。當作為sys和system用戶連入數(shù)據(jù)庫后，用戶有強大的權(quán)限用各種方式對數(shù)據(jù)庫進行改動。(2) 保護管理者與數(shù)據(jù)庫的連接：應該只有數(shù)據(jù)庫管理者能用管理權(quán)限連入數(shù)據(jù)庫，當以sysdba或startup，shutdown，和recover或數(shù)據(jù)庫對象(例如create,drop，和delete等)進行沒有任何限制的操作。(3) 使用角色對管理者權(quán)限進行管理應用程序開發(fā)者的安全性策略：(1) 應用程序開發(fā)者和他們的權(quán)限數(shù)據(jù)庫應用程序開發(fā)者是唯一一類需要特殊權(quán)限組完成自己工作的數(shù)據(jù)庫用戶。開發(fā)者需要諸如create table,create，procedure等系統(tǒng)權(quán)限，然而，為了限制開發(fā)者對數(shù)據(jù)庫的操作，只應該把一些特定的系統(tǒng)權(quán)限授予開發(fā)者。(2) 應用程序開發(fā)者的環(huán)境：A 程序開發(fā)者不應與終端用戶競爭數(shù)據(jù)庫資源；B 用程序開發(fā)者不能損害數(shù)據(jù)庫其他應用產(chǎn)品。(3) free和controlled應用程序開發(fā)應用程序開發(fā)者有一下兩種權(quán)限：A free development應用程序開發(fā)者允許創(chuàng)建新的模式對象，包括table,index,procedure,package等，它允許應用程序開發(fā)者開發(fā)獨立于其他對象的應用程序。B controlled development應用程序開發(fā)者不允許創(chuàng)建新的模式對象。所有需要table,indes procedure等都由數(shù)據(jù)庫管理者創(chuàng)建，它保證了數(shù)據(jù)庫管理者能完全控制數(shù)據(jù)空間的使用以及訪問數(shù)據(jù)庫信息的途徑。但有時應用程序開發(fā)者也需這兩種權(quán)限的混和。(4) 應用程序開發(fā)者的角色和權(quán)限數(shù)據(jù)庫安全性管理者能創(chuàng)建角色來管理典型的應用程序開發(fā)者的權(quán)限要求。A create系統(tǒng)權(quán)限常常授予給應用程序開發(fā)者，以至于他們能創(chuàng)建他的數(shù)據(jù)對象。B 數(shù)據(jù)對象角色幾乎不會授予給應用程序開發(fā)者使用的角色。(5) 加強應用程序開發(fā)者的空間限制作為數(shù)據(jù)庫安全性管理者，您應該特別地為每個應用程序開發(fā)者設置以下的一些限制：A 開發(fā)者可以創(chuàng)建table或index的表空間；B 在每一個表空間中，開發(fā)者所擁有的空間份額。應用程序管理者的安全在有許多數(shù)據(jù)庫應用程序的數(shù)據(jù)庫系統(tǒng)中，您可能需要一應用程序管理者，應用程序管理者應負責起以下的任務：a）為每一個應用程序創(chuàng)建角色以及管理每一個應用程序的角色；b）創(chuàng)建和管理數(shù)據(jù)庫應用程序使用的數(shù)據(jù)對象；c）需要的話，維護和更新應用程序代碼和Oracle的存儲過程和程序包。我相信有了以上的這些建議，作為一個Oracle的管理者絕對可以做好他本職的工作了。可是，我們再怎么努力，都始終得面對這樣一個現(xiàn)實，那就是 Oracle畢竟是其他人開發(fā)的，而我們卻在使用。所以，Oracle到底有多少漏洞我想這個不是你和我所能解決的。不過既然作為一篇討論 Oracle數(shù)據(jù)安全的文章，我認為有必要把漏洞這一塊也寫進去，畢竟這也是“安全”必不可少的一部分。呵呵！所以……【Oracle漏洞舉例】：Oracle9iAS Web Cache遠程拒絕服務攻擊漏洞（20021028）Oracle Oracle 9iAS OracleJSP 泄漏JSP文件信息漏洞Linux ORACLE 16 / 1