Product_user_profile(PUP) TABLE FOR security
描述:
SQL*Plus 会使用到 product_user_profile(PUP) TABLE,此table 属于system 用户.
此Table 提供产品级别的安全限制。
作用:
DBA们可以使用 PUP TABLE 对某用户的在SQL*Plus 环境中的SQL 和SQL*Plus 命令使其失效。
只是能在SQL*Plus 环境中不能使用,并不是Database 的权限失效。DBA们甚至能限制访问Grant,
revoke和Set role命令来控制用户改变自己Database权限。
何时有效:
当用户登陆到SQL*Plus 环境,可以读取pup TABLE 的限制信息,并能维护这些限制。
这些限制只能在下一次登陆后生效。PUP TABLE 只能在当地的Database 有效。如果你通过Database link
连接远程的Database,PUP TABLE 不能使用。远程的Database 不能从database link 抽取用户名和密码 所以不能判断User 的Profile 和权限。
适用用户:
当 system,sys 或用户具有sysdba,sysoper 权限连接到SQL*Plus,SQL*Plus 不会读PUP table。
因此PUP TABLE 的限制信息对这些用户没有作用。
Role 管理:
使用Create,GRANT,SET SQL命令来创建Role和赋予用户Role 权限: 1: 使用Create 命令创建Role,可以有也可以没有密码。 2:适用Grant 赋予User 权限。 3:访问Role使用Set 命令。
PUB table desc
( 重点栏位一般是必须输入的,其它栏位推荐为null)
SQL> desc product_user_profile 名称 是否为空? 类型 --------------------------- ---- ------------------------ PRODUCT NOT NULL VARCHAR2 (30) USERID VARCHAR2(30) ATTRIBUTE VARCHAR2(240) SCOPE VARCHAR2(240) NUMERIC_VALUE NUMBER(15,2) CHAR_VALUE VARCHAR2(240) DATE_VALUE DATE LONG_VALUE LONG
[@more@] Userid (所有的Userid 必须为大写,也可以使用通配符)
SCOTT CLASS1 CLASS% (all users whose names start with CLASS) % (all users)
可以限制的Commands 如下:
SQL*Plus Commands That Can Be Disabled ACCEPTDEFINEPASSWORDSHUTDOWN APPENDDELPAUSESPOOL ARCHIVE LOGDESCRIBEPRINTSTART(@, @@) ATTRIBUTEDISCONNECTPROMPTSTARTUP BREAKEDITRECOVERSTORE BTITLEEXECUTEREMARKTIMING CHANGEEXIT/QUITREPFOOTERTTITLE CLEARGETREPHEADERUNDEFINE COLUMNHELP (?)RUNVARIABLE COMPUTEHOSTSAVEWHENEVER OSERROR CONNECTINPUTSETWHENEVER SQLERROR COPYLIST (;)SHOW SQL Commands That Can Be Disabled ALTERDELETEMERGESET CONSTRAINTS ANALYZEDISASSOCIATENOAUDITSET ROLE ASSOCIATEDROPPURGESET TRANSACTION AUDITEXPLAINRENAMETRUNCATE CALLFLASHBACKREVOKEUPDATE COMMENTGRANTROLLBACKVALIDATE COMMITINSERTSAVEPOINTna CREATELOCKSELECTna
例子演示:
1: 限制用户BQY 不能执行 SQL *Plus command 'Host',SQL Command 'Delete'.
|
User BQY Login in SQL*Plus
|
2:Role 管理
User Bqy login in
|
数据库的安全是最重要的,怎么做都不过分。
LisLi