Gestión del sistema Lección 06. Administración de la seguridad del usuario

1. ¿Qué características de seguridad debe tener una cuenta de usuario de Oracle?

• Un nombre de usuario único
• Una autenticación
• Un espacio de tabla predeterminado
• Un espacio de tabla temporal
• Un perfil de usuario
• Un grupo de consumidores inicial
• Una
  traducción del estado de la cuenta
• Nombre de usuario único
• Método de autentificación
• Espacio de tabla predeterminado
• Espacio de mesa temporal
• Perfil del usuario
• Grupo de usuarios inicial
• estado de la cuenta

2. Una vez creada la base de datos, ¿cuáles son las cuentas de administración predefinidas y cuáles son sus funciones?

SYS:

• Posee el diccionario de datos y el repositorio automático de cargas de trabajo (AWR)
• Se utiliza para iniciar y cerrar la instancia de la base de datos.

SISTEMA: posee mesas administrativos adicionales y considera
SYSBACKUP: Facilita Oracle Recouvery Manager (RMAN) de respaldo y recuperación operaciones
SYSDG: Facilita las operaciones de Oracle Data Guard
SYSKM: Facilita transparentes operatioins cartera de encriptación de datos
翻译
SYS:

• Tener un diccionario de datos y自动工作量资料档案库（AWR）
• Se utiliza para iniciar y cerrar instancias de bases de datos.

SISTEMA: Tener tablas de administración y vistas
adicionales SYSBACKUP: Implementar operaciones de respaldo y recuperación de Oracle Recovery Manager (RMAN)
SYSDG: Implementar operaciones de Oracle Data Guard
SYSKM: Implementar 透明数据加密密钥operaciones

3. ¿Cuáles son los métodos para verificar cuentas autorizadas?

Contraseña: la definición de usuario incluye una contraseña que debe proporcionarse cuando el usuario intenta iniciar sesión en la base
de datos Externa: autenticación mediante un método externo a la base de datos (sistema operativo, Kerberos o Radius)
Global: los usuarios se identifican mediante un LDAP
Traducción del servicio de directorio
Autenticación de contraseña: la definición de usuario incluye la contraseña que los usuarios deben proporcionar cuando intentan iniciar sesión en la base de datos.
Autenticación externa: autenticación mediante métodos fuera de la base de datos (sistema operativo, Kerberos o Radius).
Autenticación global: identificación mediante servicios de directorio basados ​​en LDAP usuario

4. Escriba declaraciones SQL para desbloquear la cuenta y modificar la contraseña de la cuenta.

Desbloquear cuenta
modificar la cuenta de usuario desbloquear la cuenta,
modificar la contraseña de la cuenta modificar la cuenta de
usuario identificada por contraseña;

5. Cuando se usa el comando de concesión, ¿cuál es la diferencia entre la opción de administrador y la opción de concesión?

Con la opción de administrador
, el usuario al que se le otorga este permiso tiene derecho a otorgar un permiso determinado (como crear una tabla) a otros usuarios o roles. La
cancelación no es en cascada

Escenas

1. El DBA le otorga a Joe la autoridad del sistema CREATE TABLE con ADMIN OPTION.
2. Joe crea la mesa.
3. Joe otorga el privilegio del sistema CREATE TABLE a Emily.
4. Emily crea la mesa.
5. El DBA revoca la autoridad del sistema CREATE TABLE de Joe.

Como resultado,
la tabla de Joe todavía existe, pero Joe ya no puede crear tablas nuevas. La mesa de Emily todavía existe y todavía tiene el privilegio del sistema CREATE TABLE.

Con la opción de concesión de
permisos, la concesión / cancelación está en cascada. El
usuario concedido también puede conceder este permiso de objeto a otros usuarios o roles. Cuando el administrador recupera el permiso de objeto de usuario, el permiso dejará de ser válido debido a la propagación

Escenas

1. A Joe se le concedieron privilegios de objeto SELECT (con GRANT OPTION) en EMPLOYEES.
2. Joe le otorga a Emily el permiso SELECT en EMPLOYEES.
3. Revocar el permiso SELECT de Joe. Esta revocación también se envía en cascada a Emily.

6. ¿Qué es un rol y cuáles son los beneficios de usar un rol?

Roles:

• Se utiliza para agrupar privilegios y roles.
• Facilitar la concesión de múltiples privilegios o roles a los usuarios.

Beneficios de los roles:

• Gestión de privilegios más sencilla
• Gestión dinámica de privilegios
• Disponibilidad selectiva de privilegios

Personaje:

• Se usa para agrupar permisos y roles
• Conveniente para otorgar múltiples permisos o roles a los usuarios

beneficio:

• Simplifique la gestión de derechos
• Realizar una gestión de derechos dinámica
• Proporcionar permisos de forma selectiva

7. Hable sobre el proceso básico de utilizar DBMS_PRIVILEGE_CAPTURE para el análisis de permisos.

a. Crear análisis
b. Comenzar a analizar los privilegios utilizados
c. Dejar de analizar
d. Generar informe
e. Comparar con privilegios no utilizados
f. Revocar privilegios no utilizados
traducir
a, crear un análisis
b, iniciar análisis usando privilegios
c, detener análisis
d, generar informe
e 、 Comparar con permisos no utilizados
f, revocar permisos no utilizados

8. ¿Cuáles son las funciones de un perfil de cuenta de usuario (Perfiles)?

A los usuarios se les asigna un solo perfil a la vez.
Perfiles:

• Controlar el consumo de recursos
• Gestionar el estado de la cuenta y la caducidad de la contraseña

Traducción: los
usuarios solo pueden asignar un perfil a la vez.
Archivo de configuración:

• Controlar el uso de recursos
• Gestionar el estado de la cuenta y la caducidad de la contraseña. Los
  administradores utilizan perfiles para controlar los recursos del sistema (CPU, red / memoria, E / S de disco)

9. ¿Por qué Oracle recomienda no imponer restricciones de contraseña en el uso de perfiles para cuentas de administración como SYS, SYSMAN y DBSNMP?

La expiración de las contraseñas de las cuentas SYS, SYSMAN y DBSNMP y el bloqueo de estas cuentas provocarán que Oracle Enterprise Manager no se ejecute normalmente.
La aplicación debe capturar el mensaje de advertencia de "contraseña caducada" y manejar el cambio de contraseña; de lo contrario, tan pronto como expire el período de gracia, el usuario será bloqueado sin notificar el motivo.
Una vez bloqueado, hará frío y tendrás que encontrar a Oracle. Los cargos de Oracle son muy altos.

10. Hable sobre su comprensión del requisito de las mejores prácticas de "utilizar el principio de privilegio mínimo".

1️⃣debe asignar autoridad al operador (definir el límite de autoridad del operador) antes de operar.
Cuando un operador quiere operar en un determinado recurso, el sistema coincidirá si existe un permiso de operación para el recurso dentro de su límite de permiso. Si lo hay, se le puede permitir operar, si no, será rechazado.
2️⃣ El usuario debe tener los permisos necesarios para completar la tarea de manera eficiente.
Reducir la posibilidad de que los usuarios modifiquen o vean (de forma no intencionada o maliciosa) que no tienen derecho a modificar o ver datos.

11. Traduzca el siguiente contenido al chino:

La base de datos de Oracle incluye cinco privilegios administrativos, que se proporcionan para facilitar la separación de funciones.
La autoridad de gestión SYSDBA y SYSOPER se utiliza para realizar varias operaciones de base de datos estándar, incluido el inicio y el cierre de instancias de base de datos.
Para obtener una lista completa de las operaciones autorizadas para los permisos SYSDBA y SYSOPER, consulte la Guía del administrador de la base de datos Oracle.
SYSBACKUP, SYSDG y SYSKM son nuevas funciones de Oracle Database 12c. Son tareas de gestión para copias de seguridad y recuperación específicas, Oracle Data Guard y gestión transparente de claves de cifrado de datos.
En versiones anteriores, estas tareas requerían autorización SYSDBA.
Estos privilegios le permiten conectarse a la base de datos incluso si la base de datos no está abierta.
Para obtener una lista de operaciones admitidas para los permisos SYSBACKUP, SYSDG y SYSKM, consulte la guía de seguridad de la base de datos de carreras.