Oracle使用者訪問許可權與PUBLIC角色的關係
在資料庫中建立了一個使用者,這是給第三方系統用的。客戶強調,這個使用者只能訪問到有限的表,在我們規定的範圍內的表。
於是,我建立 一個使用者,如user_third ,只給了connect 角色,用grant select on table 有限授權。
為此,我寫了一文,請見 如何實現 中使用者 B只能訪問使用者 A的檢視 ( )
使用者訪問密碼交給客戶後,又發現一個新問題,它居然能訪問其他使用者的表。
我核實了一下,發現它確實能訪問別的使用者的表。如資料 庫中TT 使用者下的表。
這是怎麼回事?
您從我列出的標題中,一定猜到了吧。這事一定 public 角色有關。
在 Oracle TimeTen 建立時,它建立的表會自動將它的查詢許可權授予給 public 角色。
而資料庫中任何一個使用者都預設擁有 public 角色。
因此,問題就在 public 角色的許可權上。我們只需要查詢 public 角色授予了哪些許可權,再撤銷這些許可權即可。
透過執行下列 SQL ,我們能判斷出哪些許可權授予給了 public 角色。
SELECT GRANTOR,OWNER,TABLE_NAME,PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE='PUBLIC';
部分結果如下:
GRANTOR OWNER TABLE_NAME PRIVILEGE
------------------------------ ----------------------------------------
×× GTJA TT_03_24577_L UPDATE
GTJA GTJA TT_03_24577_L SELECT
GTJA GTJA TT_03_24577_L INSERT
GTJA GTJA TT_03_24577_L DELETE
TT 表的查詢更新刪除插入許可權都授予給了public 角色。這個很恐怖,對資料庫系統的安全是有破壞的。
基於此,我們可以判定任何一個資料庫使用者都可以對這些表做查詢更新刪除插入操作。
怎麼解決這個許可權問題,是很簡單的。但一定要保證不能影響到TT 的正常使用。這是個權衡的問題,可用性和安全兩個角度的權衡。如果TT 不正常了,就考慮將其遷移到其他庫上去,最好是獨立的僅供TT 使用的庫。
具體解決方法如下:
1 、從Oracle TimeTen 上解決,在建立cachegroup 時,將授予公共許可權的選項除掉。當然這麼做的前提是要保證TT 能夠正常使用。
2 、從資料庫中將這些許可權從public 角色撤銷。同樣前提是TT 在這些許可權撤銷後能正常工作。
撤銷方法示例如下:
revoke select on TT_03_24577_L from public;
總結一下,這個例項說明了Oracle 的許可權真夠複雜的,日常管理時一定要留意一下public 角色的許可權。
更多Oracle相關資訊見 專題頁面
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/90618/viewspace-1124959/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Oracle使用者角色許可權管理Oracle
- Oracle使用者、許可權、角色管理Oracle
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- [學習]ORACLE使用者、角色、許可權Oracle
- Oracle使用者、許可權、角色管理【轉】Oracle
- Oracle中使用者、角色、與許可權涉及的相關表及檢視Oracle
- 檢視Oracle使用者的許可權或角色Oracle
- Quarkus中基於角色的許可權訪問控制教程
- 【使用者管理】oracle使用者、角色、許可權管理Oracle
- Oracle使用者及角色的許可權管理[Oracle基礎]Oracle
- Oracle 查詢許可權角色Oracle
- public_html的許可權問題(轉)HTML
- DB2 public許可權相關DB2
- Oracle內建角色connect與resource的許可權Oracle
- Oracle使用者與許可權Oracle
- java的訪問許可權Java訪問許可權
- Oracle角色許可權之Default RoleOracle
- 許可權管理中角色間的繼承關係有沒有必要?繼承
- SQLServer控制使用者訪問許可權表SQLServer訪問許可權
- c# public_protected_private許可權訪問符_屬性訪問器get_setC#
- 使用者角色許可權管理架構架構
- benq 請教一個待實現使用者,組織,角色,模組,許可權之間的關聯關係的問題ENQ
- 檢視角色裡包含的系統許可權、物件許可權和角色物件
- postgresql關於訪問檢視需要的許可權SQL
- 如何檢視oracle使用者具有的許可權和角色Oracle
- Oracle 使用者許可權管理與常用許可權資料字典列表Oracle
- 儲存過程,角色相關的呼叫者許可權和定義者許可權問題儲存過程
- Oracle檢視當前登陸使用者的許可權或者角色Oracle
- Oracle 使用者、物件許可權、系統許可權Oracle物件
- 系統、角色、物件相關許可權字典物件
- 關於oracle檔案許可權的問題Oracle
- ubuntu 開放root使用者的SSH訪問許可權Ubuntu訪問許可權
- win10老跳出訪問許可權怎麼辦_win10訪問許可權怎麼關閉Win10訪問許可權
- Oracle12c多租戶管理使用者、角色、許可權Oracle
- 基於角色的許可權系統的問題
- oracle使用者許可權Oracle
- oracle 使用者許可權Oracle
- java中public,protected,private關鍵字以及預設訪問許可權修飾符的用法細節Java訪問許可權