【許可權】使用O7_DICTIONARY_ACCESSIBILITY引數實現真正的“select any table”授權
Oracle 8之前的資料庫,具有“select any table”許可權的使用者可以查詢資料字典。因為這樣會存在安全隱患,所以,在Oracle 8及以後的版本中,Oracle引入了這個O7_DICTIONARY_ACCESSIBILITY引數。該引數的預設值是FALSE,表示使用者即使被授予“select any table”許可權也不允許查詢SYS使用者下的資料字典,及不是真正的“select any table”許可權。
下面我來演示一下這個引數在10g資料庫中生效方法和效力。這裡僅僅是演示而已,您沒有必要在自己的系統中做這樣的調整,Oracle之所以引入這個引數目的也只是向前(Oracle 7)相容而已,可以說,Oracle已經放棄了原有“select any table”許可權含義,Oracle的許可權控制向更深更細的道路發展。
1.先來看看在10gR2環境中這個引數的預設內容和註釋資訊
1)Oracle版本資訊
sys@ora10g> select * from v$version where rownum<2;
BANNER
----------------------------------------------------------------
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - 64bi
2)使用show parameter命令檢視引數內容
sys@ora10g> show parameter O7_DICTIONARY_ACCESSIBILITY
NAME TYPE VALUE
---------------------------- --------- -------------------
O7_DICTIONARY_ACCESSIBILITY boolean FALSE
3)使用比較高階的方法檢視一下這個引數在資料庫中的註釋資訊,註釋中已經說明,這個引數在Oracle 7版本中使用
sys@ora10g> select a.ksppinm name,b.ksppstvl value,a.ksppdesc description
2 from x$ksppi a,x$ksppcv b
3 where a.indx = b.indx
4 and a.ksppinm = 'O7_DICTIONARY_ACCESSIBILITY'
5 /
NAME VALUE DESCRIPTION
--------------------------- ------ -------------------------------------------
O7_DICTIONARY_ACCESSIBILITY FALSE Version 7 Dictionary Accessibility Support
2.我們首先將“select any table”許可權授予普通使用者sec,在sec使用者下嘗試查詢SYS使用者下的V$SESSION檢視
sec@ora10g> conn / as sysdba
Connected.
sys@ora10g> grant select any table to sec;
Grant succeeded.
sys@ora10g> conn sec/sec
Connected.
sec@ora10g> select * from v$session;
select * from v$session
*
ERROR at line 1:
ORA-00942: table or view does not exist
sec@ora10g> select count(*) from sys.v_$session;
select count(*) from sys.v_$session
*
ERROR at line 1:
ORA-00942: table or view does not exist
結果是顯然的,在O7_DICTIONARY_ACCESSIBILITY引數為“FALSE”的情況下,sec使用者即使有了“select any table”許可權,也無法得到SYS使用者中資料字典資訊。
3.我們嘗試將O7_DICTIONARY_ACCESSIBILITY引數修改為“TRUE”後,再嘗試一次
1)第一次嘗試,引數修改失敗,原因是該引數被限制為不可輕易的被修改,即該引數是一個靜態引數。需要使用停啟資料庫的方式(下面將使用spfile修改方式,當然,也可以使用pfile修改的方式)進行修改。
sys@ora10g> alter system set O7_DICTIONARY_ACCESSIBILITY=true;
alter system set O7_DICTIONARY_ACCESSIBILITY=true
*
ERROR at line 1:
ORA-02095: specified initialization parameter cannot be modified
2)使用spfile修改方式對O7_DICTIONARY_ACCESSIBILITY引數進行修改,修改後重新啟動資料庫使之生效(真實生產環境中啟停資料庫的代價是非常高的)
sys@ora10g> alter system set O7_DICTIONARY_ACCESSIBILITY=true scope = spfile;
System altered.
sys@ora10g> startup force;
ORACLE instance started.
Total System Global Area 2147483648 bytes
Fixed Size 2074152 bytes
Variable Size 637536728 bytes
Database Buffers 1493172224 bytes
Redo Buffers 14700544 bytes
Database mounted.
Database opened.
3)確認一下O7_DICTIONARY_ACCESSIBILITY是否真正的被修改為“TRUE”
sys@ora10g> show parameter O7_DICTIONARY_ACCESSIBILITY
NAME TYPE VALUE
---------------------------- --------- ---------
O7_DICTIONARY_ACCESSIBILITY boolean TRUE
4)在確認引數修改成功之後,再次在sec使用者中嘗試查詢v$session檢視。沒有問題,這次在O7_DICTIONARY_ACCESSIBILITY引數的作用下,sec使用者的許可權被放大了,已經可以檢視“任何表”了。
sys@ora10g> conn sec/sec
Connected.
sec@ora10g> select count(*) from v$session;
COUNT(*)
----------
19
sec@ora10g> select count(*) from sys.v_$session;
COUNT(*)
----------
20
4.Oracle 10gR2官方文件中關於O7_DICTIONARY_ACCESSIBILITY引數的解釋,供參考
O7_DICTIONARY_ACCESSIBILITY controls restrictions on SYSTEM privileges. If the parameter is set to true, access to objects in the SYS schema is allowed (Oracle7 behavior). The default setting of false ensures that system privileges that allow access to objects in "any schema" do not allow access to objects in the SYS schema.
For example, if O7_DICTIONARY_ACCESSIBILITY is set to false, then the SELECT ANY TABLE privilege allows access to views or tables in any schema except the SYS schema (data dictionary tables cannot be accessed). The system privilege EXECUTE ANY PROCEDURE allows access on the procedures in any schema except the SYS schema.
If this parameter is set to false and you need to access objects in the SYS schema, then you must be granted explicit object privileges. The following roles, which can be granted to the database administrator, also allow access to dictionary objects:
5.小結
這個實驗雖然探討了一個在目前的資料庫中可能永遠也不會用到的一個引數。不過從這裡我們可以看出,Oracle在許可權控制方面是積極進取並與時俱進的,這樣既提高了許可權管理的嚴密性,也防止了審計漏洞。
-- The End --
下面我來演示一下這個引數在10g資料庫中生效方法和效力。這裡僅僅是演示而已,您沒有必要在自己的系統中做這樣的調整,Oracle之所以引入這個引數目的也只是向前(Oracle 7)相容而已,可以說,Oracle已經放棄了原有“select any table”許可權含義,Oracle的許可權控制向更深更細的道路發展。
1.先來看看在10gR2環境中這個引數的預設內容和註釋資訊
1)Oracle版本資訊
sys@ora10g> select * from v$version where rownum<2;
BANNER
----------------------------------------------------------------
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - 64bi
2)使用show parameter命令檢視引數內容
sys@ora10g> show parameter O7_DICTIONARY_ACCESSIBILITY
NAME TYPE VALUE
---------------------------- --------- -------------------
O7_DICTIONARY_ACCESSIBILITY boolean FALSE
3)使用比較高階的方法檢視一下這個引數在資料庫中的註釋資訊,註釋中已經說明,這個引數在Oracle 7版本中使用
sys@ora10g> select a.ksppinm name,b.ksppstvl value,a.ksppdesc description
2 from x$ksppi a,x$ksppcv b
3 where a.indx = b.indx
4 and a.ksppinm = 'O7_DICTIONARY_ACCESSIBILITY'
5 /
NAME VALUE DESCRIPTION
--------------------------- ------ -------------------------------------------
O7_DICTIONARY_ACCESSIBILITY FALSE Version 7 Dictionary Accessibility Support
2.我們首先將“select any table”許可權授予普通使用者sec,在sec使用者下嘗試查詢SYS使用者下的V$SESSION檢視
sec@ora10g> conn / as sysdba
Connected.
sys@ora10g> grant select any table to sec;
Grant succeeded.
sys@ora10g> conn sec/sec
Connected.
sec@ora10g> select * from v$session;
select * from v$session
*
ERROR at line 1:
ORA-00942: table or view does not exist
sec@ora10g> select count(*) from sys.v_$session;
select count(*) from sys.v_$session
*
ERROR at line 1:
ORA-00942: table or view does not exist
結果是顯然的,在O7_DICTIONARY_ACCESSIBILITY引數為“FALSE”的情況下,sec使用者即使有了“select any table”許可權,也無法得到SYS使用者中資料字典資訊。
3.我們嘗試將O7_DICTIONARY_ACCESSIBILITY引數修改為“TRUE”後,再嘗試一次
1)第一次嘗試,引數修改失敗,原因是該引數被限制為不可輕易的被修改,即該引數是一個靜態引數。需要使用停啟資料庫的方式(下面將使用spfile修改方式,當然,也可以使用pfile修改的方式)進行修改。
sys@ora10g> alter system set O7_DICTIONARY_ACCESSIBILITY=true;
alter system set O7_DICTIONARY_ACCESSIBILITY=true
*
ERROR at line 1:
ORA-02095: specified initialization parameter cannot be modified
2)使用spfile修改方式對O7_DICTIONARY_ACCESSIBILITY引數進行修改,修改後重新啟動資料庫使之生效(真實生產環境中啟停資料庫的代價是非常高的)
sys@ora10g> alter system set O7_DICTIONARY_ACCESSIBILITY=true scope = spfile;
System altered.
sys@ora10g> startup force;
ORACLE instance started.
Total System Global Area 2147483648 bytes
Fixed Size 2074152 bytes
Variable Size 637536728 bytes
Database Buffers 1493172224 bytes
Redo Buffers 14700544 bytes
Database mounted.
Database opened.
3)確認一下O7_DICTIONARY_ACCESSIBILITY是否真正的被修改為“TRUE”
sys@ora10g> show parameter O7_DICTIONARY_ACCESSIBILITY
NAME TYPE VALUE
---------------------------- --------- ---------
O7_DICTIONARY_ACCESSIBILITY boolean TRUE
4)在確認引數修改成功之後,再次在sec使用者中嘗試查詢v$session檢視。沒有問題,這次在O7_DICTIONARY_ACCESSIBILITY引數的作用下,sec使用者的許可權被放大了,已經可以檢視“任何表”了。
sys@ora10g> conn sec/sec
Connected.
sec@ora10g> select count(*) from v$session;
COUNT(*)
----------
19
sec@ora10g> select count(*) from sys.v_$session;
COUNT(*)
----------
20
4.Oracle 10gR2官方文件中關於O7_DICTIONARY_ACCESSIBILITY引數的解釋,供參考
O7_DICTIONARY_ACCESSIBILITY
| Property | Description |
|---|---|
| Parameter type | Boolean |
| Default value | false |
| Modifiable | No |
| Range of values | true | false |
For example, if O7_DICTIONARY_ACCESSIBILITY is set to false, then the SELECT ANY TABLE privilege allows access to views or tables in any schema except the SYS schema (data dictionary tables cannot be accessed). The system privilege EXECUTE ANY PROCEDURE allows access on the procedures in any schema except the SYS schema.
If this parameter is set to false and you need to access objects in the SYS schema, then you must be granted explicit object privileges. The following roles, which can be granted to the database administrator, also allow access to dictionary objects:
-
SELECT_CATALOG_ROLE
-
EXECUTE_CATALOG_ROLE
-
DELETE_CATALOG_ROLE
5.小結
這個實驗雖然探討了一個在目前的資料庫中可能永遠也不會用到的一個引數。不過從這裡我們可以看出,Oracle在許可權控制方面是積極進取並與時俱進的,這樣既提高了許可權管理的嚴密性,也防止了審計漏洞。
-- The End --
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/519536/viewspace-616810/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 關於under any table/view 許可權的解釋View
- 擁有GRANT ANY OBJECT PRIVILEGE許可權時的許可權回收Object
- 授權物件許可權後的授權者顯示問題物件
- 阿里雲RDS的高許可權不是真正的高許可權阿里
- DB2許可權與授權DB2
- 如何用 Vue 實現前端許可權控制(路由許可權 + 檢視許可權 + 請求許可權)Vue前端路由
- django開發之許可權管理(一)——許可權管理詳解(許可權管理原理以及方案)、不使用許可權框架的原始授權方式詳解Django框架
- 認證/授權與許可權的問題
- 授權許可權服務設計解析
- [WCF許可權控制]透過擴充套件自行實現服務授權套件
- 系統許可權 GRANT ANY OBJECT PRIVILEGE的作用!Object
- 1.7.6. 授權和撤銷管理許可權
- 為什麼許可權授權很難?- osohq
- 許可權管理之多租戶隔離授權
- canal mysql select許可權粒度MySql
- Laravel實現許可權控制Laravel
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- 使用動態路由實現許可權管理路由
- 【許可權】通過調整O7_DICTIONARY_ACCESSIBILITY引數實現SYS使用者以普通身份登入資料庫資料庫
- Oracle建立表空間、建立使用者、授權、授權物件的訪問以及檢視許可權集合Oracle物件
- [WCF許可權控制]基於Windows使用者組的授權方式[上篇]Windows
- Django許可權機制的實現Django
- Oracle 使用者、物件許可權、系統許可權Oracle物件
- 許可權之選單許可權
- 使用者許可權繼承另一使用者的許可權繼承
- 5. 建立使用者、授權以及修改密碼等許可權操作密碼
- Oracle 建立表空間、建立使用者以及授權、檢視許可權Oracle
- 【許可權管理】Oracle中檢視、回收使用者許可權Oracle
- 『學了就忘』Linux許可權管理 — 54、sudo授權Linux
- mysql操作命令梳理(4)-grant授權和revoke回收許可權MySql
- linux 檔案許可權 s 許可權和 t 許可權解析Linux
- Hyperf 使用 hyperf-permission 元件實現許可權管理元件
- ASP.Net實現使用者許可權管理ASP.NET
- SpringMVC使用攔截器實現許可權控制SpringMVC
- 提問:使用spring aop實現許可權管理Spring
- Vue許可權路由實現總結Vue路由
- 基於RBAC實現許可權管理
- 從0實現RBAC許可權模型模型