龙空技术网

快速搞懂Oracle 19c安全新特性 Privilege Analysis(权限分析)

TeacherWhat 139

前言:

现时你们对“oracle reference权限”可能比较着重,小伙伴们都需要剖析一些“oracle reference权限”的相关知识。那么小编在网摘上网罗了一些对于“oracle reference权限””的相关资讯,希望你们能喜欢,小伙伴们快快来学习一下吧!

关键字(Keyword):19c 数据库安全 新特性 Privilege Analysis 权限分析

目录:

为什么需要权限分析功能各版本的功能演进如何使用Privilege Analysis(权限分析)Privilege Analysis(权限分析)测试例

本文介绍Oracle 数据库的Privilege Analysis(权限分析)功能。

为什么需要权限分析功能

权限分析可以动态分析Oracle用户的各种权限(privileges)和角色(Role)的使用/不使用情况进行跟踪、分析、生成使用报告,从而帮助用户在满足业务需求的前提下,实现配置数据库时的权限(privileges)和角色(Role)精细化管理,提高应用程序和数据库操作的安全性。

权限分析

▲来源:

参考:(以后的链接为处理过的短网址)

Release 19 Security Guide

>5 Performing Privilege Analysis to Find Privilege Use

各版本的功能演进

随着Oracle版本的更新,Privilege Analysis(权限分析)也不断地变化:

・版本12.1:Enterprise Edition版本中推出Privilege Analysis(权限分析),但作为Database Vault高级安全选项之一,是需要额外的授权的。

・版本12.2:对该功能进行了加强

- 能够捕获更多的权限使用状况

-能够捕获权限的未使用状况

-能够多次运行捕获策略

・版本18c:使用该功能不再需要额外的授权

・版本19c:该功能不再作为高级安全选项,作为一般安全功能。

(该变化本质上对用户并没有什么影响)

参考:

Release 18 Administrator's Guide

>Changes in Oracle Database Vault 12c Release 2 (12.2)

>Privilege Analysis Enhancements

Release 18 Database Licensing Information User Manual

>Table 1-10 Security

Release 19 Database New Features Guide

>Privilege Analysis Now Available in Oracle Database Enterprise Edition

如何使用Privilege Analysis(权限分析)

权限分析功能可以通过Oracle Enterprise Manager Cloud Control 或DBMS_PRIVILEGE_CAPTURE程序包来进行调用。

为了使用DBMS_PRIVILEGE_CAPTURE程序包,以及使用数据字典视图来确认相关信息,需要赋予用户CAPTURE_ADMIN角色。

进行权限分析的具体步骤如下:

1.根据业务需求,创建权限分析策略。

2.启用策略,开始捕获权限使用情况。

3.禁用策略,停止捕获权限使用情况。

4.生成权限分析结果。

在创建权限分析策略(DBMS_PRIVILEGE_CAPTURE.CREATE_CAPTURE)时,

可以指定权限分析的类型以实现特定目标,权限分析的类型如下:

G_DATABASE:基于数据库范围的权限分析(SYS权限除外)。

G_ROLE:基于角色(Role)的权限分析。

G_CONTEXT:基于上下文(根据条件)的权限分析。

G_ROLE_AND_CONTEXT:基于角色和上下文的权限分析。

参考:

Release 19 PL/SQL Packages and Types Reference

>126 DBMS_PRIVILEGE_CAPTURE

Privilege Analysis(权限分析)测试例

--1.创建用户conn / as sysdbaset echo onset termout on --创建分析用户drop user cap_user cascade;create user cap_user identified by cap_user;grant connect,resource to cap_user;grant capture_admin to cap_user;--创建测试用户drop user test_priv cascade;create user test_priv identified by test_priv;grant connect,resource to test_priv;grant SELECT ANY TABLE to test_priv;--2.定义权限分析策略--DBMS_PRIVILEGE_CAPTURE.CREATE_CAPTURE--G_DATABASE,G_ROLE,G_CONTEXT,G_ROLE_AND_CONTEXTconn cap_user/cap_user--2-1 SYS_CONTEXT 权限分析--如果存在的话删除存在的分析策略EXEC DBMS_PRIVILEGE_CAPTURE.DROP_CAPTURE ('Context Based Policy');BEGIN     DBMS_PRIVILEGE_CAPTURE.CREATE_CAPTURE(      name           => 'Context Based Policy',      description    => 'Context Based Policy test',      type           => DBMS_PRIVILEGE_CAPTURE.G_CONTEXT,      condition      => 'SYS_CONTEXT(''USERENV'', ''SESSION_USER'')=''TEST_PRIV''');    END;/--3. 启用策略BEGIN      DBMS_PRIVILEGE_CAPTURE.ENABLE_CAPTURE (       name       => 'Context Based Policy',       run_name   => 'Context_Based_Policy_first_run');    END;/---确认分析策略col NAME format a20SELECT NAME, TYPE, ENABLED FROM DBA_PRIV_CAPTURES;    SQL> SELECT NAME, TYPE, ENABLED FROM DBA_PRIV_CAPTURES;    NAME                 TYPE             E    -------------------- ---------------- -    Context Based Policy CONTEXT          Y★    ORA$DEPENDENCY       DATABASE         N--4.使用测试用户执行一些操作 (监测对象)conn test_priv/test_privselect * from dual;--5. 禁用策略conn cap_user/cap_userEXEC DBMS_PRIVILEGE_CAPTURE.DISABLE_CAPTURE ('Context Based Policy');--6.生成权限分析报告BEGIN  DBMS_PRIVILEGE_CAPTURE.GENERATE_RESULT (    name      => 'Context Based Policy',    run_name  => 'Context_Based_Policy_first_run'); END; /--7.查看权限分析报告--DBA_USED_{PRIVS|SYSPRIVS|OBJPRIVS}--DBA_UNUSED_{PRIVS|SYSPRIVS|OBJPRIVS}--7.1 使用的权限分析报告set linesize 200set pagesize 200col SYS_PRIV format a20col OBJECT_OWNER format a20col OBJECT_NAME format a30col RUN_NAME format a30SELECT SYS_PRIV, OBJECT_OWNER, OBJECT_NAME, RUN_NAME FROM DBA_USED_PRIVS WHERE USERNAME = 'TEST_PRIV';    SYS_PRIV             OBJECT_OWNER         OBJECT_NAME                    RUN_NAME    -------------------- -------------------- ------------------------------ ------------------------------                         SYS                  DUAL                           CONTEXT_BASED_POLICY_FIRST_RUN                         SYS                  DUAL                           CONTEXT_BASED_POLICY_FIRST_RUN    CREATE SESSION                                                           CONTEXT_BASED_POLICY_FIRST_RUN                         SYS                  DBMS_APPLICATION_INFO          CONTEXT_BASED_POLICY_FIRST_RUN--7.2 未使用的权限分析报告col OBJ_PRIV format a20col PATH format a60SELECT SYS_PRIV, OBJ_PRIV, OBJECT_NAME, PATH FROM DBA_UNUSED_PRIVSWHERE CAPTURE = 'Context Based Policy';    SYS_PRIV             OBJ_PRIV             OBJECT_NAME                    PATH    -------------------- -------------------- ------------------------------ ------------------------------------------------------------    SELECT ANY TABLE                                                         GRANT_PATH('TEST_PRIV')    SET CONTAINER                                                            GRANT_PATH('TEST_PRIV', 'CONNECT')    CREATE INDEXTYPE                                                         GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE OPERATOR                                                          GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE TYPE                                                              GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE TRIGGER                                                           GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE PROCEDURE                                                         GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE SEQUENCE                                                          GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE CLUSTER                                                           GRANT_PATH('TEST_PRIV', 'RESOURCE')    CREATE TABLE                                                             GRANT_PATH('TEST_PRIV', 'RESOURCE')                         READ                 JSON$USER_COLLECTION_METADATA  GRANT_PATH('TEST_PRIV', 'RESOURCE', 'SODA_APP')                         EXECUTE              DBMS_SODA_ADMIN                GRANT_PATH('TEST_PRIV', 'RESOURCE', 'SODA_APP')                         EXECUTE              DBMS_SODA_USER_ADMIN           GRANT_PATH('TEST_PRIV', 'RESOURCE', 'SODA_APP')    13 rows selected.

相关阅读:

快速搞懂19c 数据库安全新特性 (一)Schema Only Accounts

标签: #oracle reference权限