oracle巧用觸發器提高資料庫安全級別

oracle巧用觸發器提高資料庫安全級別


導讀：資料庫的安全越來越被企業所重視。使用者直接登入資料庫又是風險級別最高的，所以對程式使用者、業務使用者限制性登入又顯得格外重要。下面直接乾貨，告訴你怎麼用觸發器限制使用者登入。


SYS@doudou2> select * from v$version;


BANNER
--------------------------------------------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
PL/SQL Release 11.2.0.4.0 - Production
CORE    11.2.0.4.0      Production
TNS for Linux: Version 11.2.0.4.0 - Production
NLSRTL Version 11.2.0.4.0 - Production


1.限制程式使用者指定伺服器登入
create or replace trigger logon_ip_control
after logon on database
declare
  ip STRING(30);
  user STRING(30);
begin
SELECT SYS_CONTEXT('USERENV','SESSION_USER') into user from dual;
SELECT SYS_CONTEXT('USERENV','IP_ADDRESS') into ip from dual;
if user='TEST' 
  THEN
      IF ip not in ('192.168.88.61',''192.168.88.62')  
      THEN raise_application_error(-20018,'User '||user||' is not allowed to connect from '||ip);
      END IF;
       if ip is null
    THEN raise_application_error(-20018,'User '||user||' is not allowed to connect from '||' Non AMC employees');
      END IF;
END IF;
end;
/
--'192.168.88.61',''192.168.88.62' 這些IP地址允許登入TEST程式使用者，訪問資料庫；如果使用其他地址想登入TEST程式使用者會報錯。


2.限制業務使用者只有公司內部指定域使用者登入
create or replace trigger logon_user_control
after logon on database
declare
  host STRING(30);
  user STRING(30);
begin
SELECT SYS_CONTEXT('USERENV','SESSION_USER') into user from dual;
select (select substr(t.ip,-6,6) from  (SELECT SYS_CONTEXT('USERENV','host') as ip from dual) t) into host from dual;
if user='DOUDOU' 
  THEN
      IF host not in ('181396','181456')  
      THEN raise_application_error(-20017,'User '||user||' is not allowed to connect from '||host);
      END IF;
      if host is null
    THEN raise_application_error(-20018,'User '||user||' is not allowed to connect from '||' Non AMC employees');
      END IF;
END IF;
end;
/
--'181396','181456' 這些員工ID允許登入DOUDOU業務使用者，訪問資料庫；如果使用其他員工的ID登入DOUDOU業務使用者會報錯。


以上結果均經過本人測試，生產慎用！