Oracle 18c新特性:Schema-Only 帐号提升应用管理安全性

  1. 云栖社区>
  2. 数据和云>
  3. 博客>
  4. 正文

Oracle 18c新特性:Schema-Only 帐号提升应用管理安全性

技术小能手 2018-11-09 15:12:26 浏览1065
展开阅读全文

在 Oracle 18c 中,一个特殊类型的帐号被引入到数据库当中,这特特性被称为 Schema-Only 帐号,这个帐号通过 NO AUTHENTICATION 语句建立,没有密码,也就不允许直接登录,所以这种帐号类型是 纯模式类型

1df9d6e6b56a9d7b49f5c5e6c6a0c23edce698b1

帐号不能直接登录也就具备了天然的安全受益:

可以强制通过应用(Application)来访问数据;

保护对象安全,例如阻止可能的误删除(DROP)操作;

Schema-Only账户具有一些限制:

不能被授予系统管理权限,如(SYSDBA、SYSASM)等;

不能通过DB Link访问;

只支持DB实例,不支持ASM实例;

针对这个特性,DBA_USERS 视图增加了一个新的字段 AUTHENTICATION_TYPE 用于标识帐号属性,当创建Schema-Only 帐号时显示为 NONE否则会显示 PASSWORD。

下面让我们通过简单的测试来看看这个新特性,首先在一个 PDB 上创建 NO AUTHENTICATION 的帐号,用户名是 enmotech:

SQL> connect / as sysdba

Connected.

SQL> select name from v$pdbs;

NAME

---------------------------------------

PDB$SEED

ORCLPDB1


SQL> alter pluggable database ORCLPDB1 open;

Pluggable database altered.


SQL> alter session set container=ORCLPDB1;

Session altered.


SQL> create user enmotech NO AUTHENTICATION;

User created.

SQL> grant create session,create any table,create any view to enmotech;

Grant succeeded.

SQL> exec print_table('select username,password,password_versions,account_status,authentication_type from dba_users where username=''ENMOTECH''');

USERNAME : ENMOTECH

PASSWORD :

PASSWORD_VERSIONS :

ACCOUNT_STATUS : OPEN

AUTHENTICATION_TYPE : NONE

-----------------

这个帐号没有口令,自然就无法直接登录,我们可以通过用户代理来访问这个用户,代理是很早的一个数据库功能,现在有了新的作用。

我们在 ORCLPDB1 创建一个新的用户 yhem,这个用户仅有 create session 权限;

SQL> create user yhem identified by enmotech;


User created.


SQL> grant create session to yhem;


Grant succeeded.

授予用户 yhem 代理权限,通过该用户可以连接到 enmotech 这个受限用户,以下示范中 bethune 是我建立的一个 TNS 连接串名:

SQL> alter user enmotech grant connect through yhem;


User altered.


SQL> connect yhem[enmotech]/enmotech@bethune

Connected.


SQL> show user

USER is "ENMOTECH"

SQL> create table acoug (id number,name varchar2(200));

Table created.


SQL> drop table acoug;


Table dropped.

基本上,这就是新特性的基本展示,最核心的功能,是可以将 Schema-Only 用户的对象增删数据权限授予应用用户,就防范了模式用户直接访问可能带来的种种风险。

验证一下,纯模式用户不能被授予 SYSDBA 权限,其角色切换也很简单,授予密码就解除了 NO AUTHENTICATION 状态,回收SYSDBA权限才可以重新NO AUTHENTICATION 。

SQL> grant sysdba to enmotech;

grant sysdba to enmotech

*

ERROR at line 1:

ORA-40366: Administrative privilege cannot be granted to this user.


SQL> alter user enmotech identified by eygle;


User altered.


SQL> grant sysdba to enmotech;


Grant succeeded.


SQL> alter user enmotech no authentication;

alter user enmotech no authentication

*

ERROR at line 1:

ORA-40367: An Administrative user cannot be altered to have no authentication

type.


SQL> revoke sysdba from enmotech;


Revoke succeeded.


SQL> alter user enmotech no authentication;


User altered.

当然也可以在 CDB 中创建 COMMON 用户,指定其为 NO AUTHENTICATION :

SQL> connect / as sysdba

Connected.

SQL> create user c##enmo no authentication;


User created.


SQL> set serveroutput on


SQL> exec print_table('select con_id,username,authentication_type from cdb_users where username=''C##ENMO''');

CON_ID : 1

USERNAME : C##ENMO

AUTHENTICATION_TYPE : NONE

-----------------

CON_ID : 3

USERNAME : C##ENMO

AUTHENTICATION_TYPE : NONE

-----------------

至于这个小特性在实践中是否能发挥作用,大家可以留言表达一下各自的观点。


原文发布时间为:2018-11-8

本文作者:盖国强

本文来自云栖社区合作伙伴“数据和云 ”,了解相关信息可以关注“数据和云”。

网友评论

登录后评论
0/500
评论
技术小能手
+ 关注
所属云栖号: 数据和云