Bảo Mật Hệ Thống Thông Tin Lab Bài thực hành số CƠ BẢN VỀ QUẢN LÝ NGƯỜI DÙNG  Tóm tắt nội dung:  Tablespace  Schema  User  Resource (tài nguyên)  Profile I Quản Lý User A Lý thuyết Tablespace  Một CSDL Oracle chia thành đơn vị lưu trữ luận lý gọi tablespace, nhằm mục đích gom nhóm cấu trúc luận lý có liên quan với  Mỗi CSDL có nhiều tablespace Mỗi tablespace chứa nhiều datafile Datafile cấu trúc vật lý tương thích với hệ điều hành bên dưới, dùng để lưu trữ liệu cấu trúc luận lý tablespace chứa Kích thước tổng cộng datafile dung tích lưu trữ tổng cộng tablespace Một CSDL có tablespace SYSTEM USERS Tablespace SYSTEM chứa datafile DATA1.ORA DATA2.ORA Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab Một tablespace chứa datafile Bên datafile đối tượng, table index Các đối tượng tablespace nằm vài datafile  Có loại tablespace:  System tablespace: - Mọi CSDL Oracle có system tablespace SYSTEM SYSAUX, tạo cách tự động - Chứa thông tin data dictionary views, định nghĩa stored procedures, packages, database triggers dạng PL/SQL program units, SYSTEM rollback segment,… - Không nên chứa liệu người dùng tablespace  Non-system tablespace: - Dùng để chứa loại liệu lại, đặc biệt liệu người dùng  Một cách phân loại khác tablespace:  Temporary tablespace: sử dụng để dành riêng cho thao tác xếp liệu Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab  Permanent tablespace: Các tablespaces temporary tablespaces gọi permanent tablespaces Các permanent tablespace sử dụng để lưu trữ liệu database Schema  Schema tập hợp đối tượng sở liệu (vd: table, view, index,…)  Mỗi schema sở hữu user có tên với user  Khơng có mối quan hệ schema tablespace Các đối tượng thuộc schema nằm tablespace khác tablespace chứa đối tượng thuộc nhiều schema khác B Thực hành Tạo User a Tạo user với câu lệnh sau: CREATE USER salapati IDENTIFIED BY sammyy1; User created Khi tạo user, ta quy định default tablespace, temporary tablespace, quota tablespace, thời hạn hiệu lực password,… câu lệnh tạo user định cụ thể sau b Hiển thị tablespace user vừa tạo: SELECT default_tablespace, temporary_tablespace FROM dba_users WHERE username='SALAPATI'; DEFAULT_TABLESPACE TEMPORARY_TABLESPACE - USERS TEMPTBS_01 Tuy câu lệnh tạo user ta không định default tablespace temporary tablespace, Oracle tự gán giá trị mặc định cho user Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab c Log out khỏi user log in user vừa tạo, nhận thông báo: ERROR: Ora-01045: user SALAPATI lacks CREATE SESSION privilege; logon denied Lý do: user vừa tạo chưa cấp quyền CREATE SESSION, quyền cho phép user kết nối đến database Để user vừa tạo login được, ta phải cấp quyền CREATE SESSION Đăng nhập lại user ban đầu cấp quyền cho user salapati sau: GRANT CREATE SESSION TO salapati; Grant succeeded d Khi user tạo ra, ta không cấp quyền tạo loại object (table, index,…) user khơng thể tạo object Tùy thuộc vào nhu cầu user, ta nên cấp quyền cần thiết không nên cấp dư Một điều kiện bắt buộc khác để user tạo object ta phải cấp quota cho user tablespace tương ứng Một user cấp quota sử dụng nhiều tablespace Quota limited unlimited Ví dụ sau cho thấy user salapati tạo bảng hiển thị thông báo lỗi: CONNECT salapati/sammyy1 Connected CREATE TABLE xyz (name VARCHAR2(30)); create table xyz (name varchar2(30)) * ERROR at line 1: ORA-01950: no privileges on tablespace 'USERS' Để khắc phục lỗi trên, log in lại vào user sinh viên thực câu lệnh sau: ALTER USER salapati QUOTA 100M ON users; User altered Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab GRANT CREATE TABLE TO salapati; Grant succeeded Nếu muốn user sử dụng tối đa tablespace dùng cú pháp sau: ALTER USER salapati QUOTA UNLIMITED ON users; e Vì user cấp quota nhiều tablespace khác nhau, nên tạo đối tượng, user định cụ thể tablespace mà muốn tạo đối tượng Nếu khơng định hệ thống tự động tạo default tablespace user CREATE TABLE abc (name varchar2(30)) TABLESPACE users; f Nếu muốn user tạo object tablespace dùng cú pháp sau: GRANT UNLIMITED TABLESPACE TO salapati; Grant succeeded g Có thể xem thơng tin quota cấp cho user thông qua view DBA_TS_QUOTAS SELECT tablespace_name, username, bytes FROM DBA_TS_QUOTAS; h Có thể gán tablespace lúc tạo user sau: CREATE USER salapati_new IDENTIFIED BY sammyy1 TEMPORARY TABLESPACE TEMPTBS01 DEFAULT TABLESPACE USERS QUOTA 500M ON USERS; User created Thay đổi đặc tính user a Thay đổi password: ALTER USER salapati IDENTIFIED BY susana; Hoặc: ALTER USER salapati IDENTIFIED BY susana REPLACE sammyy1; Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab b Password expiration: Ta làm cho password hết hạn cách: ALTER USER salapati IDENTIFIED BY susana PASSWORD EXPIRE; User altered Hoặc ALTER USER salapati PASSWORD EXPIRE; User altered Ta bắt buộc password expire tạo user: CREATE USER paris IDENTIFIED BY p124 PASSWORD EXPIRE; Sau làm expire password user trên, log in vào user (salapati, paris) tự rút nhận xét c Trạng thái account: Ta thay đổi trạng thái tài khoản (lock/unlock) user phép/khơng cho phép user truy xuất vào CSDL ALTER USER salapati ACCOUNT LOCK; ALTER USER paris ACCOUNT UNLOCK; Xem trạng thái tài khoản (Account Status) tất user: SELECT username, account_status FROM dba_users; Xóa User DROP USER salapati; User Dropped Lưu ý: lệnh drop user khơng xóa user mà cịn xóa tất object thuộc user Khi user có object phải dùng thêm tùy chọn CASCADE: DROP USER salapati CASCADE; User Dropped Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab II User Profile A Lý thuyết Profile  Một profile tập hợp có tên giới hạn tài nguyên, gán cho hay nhiều user CSDL Oracle  Profile cung cấp cách quản lý dễ dàng việc giới hạn tài nguyên Nó giúp giới hạn việc sử dụng mức tài nguyên toàn hệ thống Profile cách để quản lý sách password  Trong CSDL tạo nhiều profile Một profile mặc định dùng để gán cho user không gán profile cách tường minh  Lưu ý giá trị mặc định thiết lập “unlimited” Các loại tài nguyên  Một profile mô tả loại giới hạn tài nguyên sau:  Số lượng session đồng thời mà user thực  Thời gian xử lý CPU cho session user cho gọi (call) tới Oracle câu lệnh SQL  Số lần đọc luận lý I/O cho session user cho gọi (call) tới Oracle câu lệnh SQL  Lượng thời gian nhàn rỗi cho session user  Lượng thời gian connect cho session  Các quy định password (số lần cố gắng login thất bại, thời gian hiệu lực password,…) B Thực hành Tạo Profile a Trước hết, để hệ thống thi hành việc ràng buộc giới hạn tài nguyên, ta cần enable tham số hệ thống RESOURCE_LIMIT câu lệnh sau: ALTER SYSTEM SET RESOURCE_LIMIT = TRUE; Tham số RESOURCE_LIMIT có giá trị mặc định ban đầu FALSE Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab b Tạo profile câu lệnh sau: CREATE PROFILE app_user LIMIT FAILED_LOGIN_ATTEMPTS SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION UNLIMITED CPU_PER_CALL 3000 CONNECT_TIME 45 IDLE_TIME 60 LOGICAL_READS_PER_SESSION DEFAULT LOGICAL_READS_PER_CALL 1000; Lưu ý, để tạo PROFILE, cần có quyền CREATE PROFILE Gán profile a Có thể gán profile vừa tạo user: CREATE USER salapati IDENTIFIED BY sammyy1 TEMPORARY TABLESPACE TEMPTBS01 DEFAULT TABLESPACE USERS GRANT QUOTA 500M ON USERS PROFILE app_user; User created b Khi tạo user, khơng gán tường minh user gán profile mặc định sau: CREATE USER venice IDENTIFIED BY sammyy1; User created SELECT profile FROM dba_users WHERE username = 'VENICE'; PROFILE DEFAULT Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab Để xem thông tin profile mặc định: SELECT DISTINCT resource_name, limit FROM dba_profiles WHERE profile='DEFAULT'; c Gán profile cho user: ALTER USER salapati PROFILE test; Thay đổi profile ALTER PROFILE test LIMIT SESSIONS_PER_USER FAILED_LOGIN_ATTEMPTS 4; Xóa profile DROP PROFILE test CASCADE; III Bài Tập Tạo profile “Password” thỏa mãn: a) Thời hạn sử dụng 60 ngày b) Gia hạn 10 ngày c) Số ngày mà sau password sử dụng lại ngày d) Số lần thay đổi password trước sử lại password cũ lần e) Số lần nhập sai password Kiểm tra profile vừa tạo: a) Tạo user John với password p123 b) Gán profile “Password” vừa tạo cho user c) Thực câu lệnh cần thiết để kiểm tra tác dụng yêu cầu 1d Cho biết kết d) Hiện tượng xảy nhập password sai lần? Làm để khắc phục hậu vừa xảy ra? Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM ... password (số lần cố gắng login thất bại, thời gian hiệu lực password,…) B Thực hành Tạo Profile a Trước hết, để hệ thống thi hành việc ràng buộc giới hạn tài nguyên, ta cần enable tham số hệ thống. .. Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab Để xem thông tin profile mặc định: SELECT DISTINCT resource_name, limit FROM dba_profiles WHERE profile=''DEFAULT'';... Bách Khoa TP.HCM Bảo Mật Hệ Thống Thông Tin Lab c Log out khỏi user log in user vừa tạo, nhận thông báo: ERROR: Ora-01045: user SALAPATI lacks CREATE SESSION privilege; logon denied Lý do: user vừa