Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01 Bài thực hành số QUẢN LÝ NGƯỜI DÙNG  Tóm tắt nội dung:  Tablespace  Schema  User  Resource (tài nguyên)  Profile I Giới thiệu A Lý thuyết Oracle Database Enterprise Edition  Hãng Oracle cung cấp cho khách hàng gói sản phẩm đa dạng với nhiều phiên khác nhau, thích hợp cho những quy mô mục đích khác Trong chương trình thực hành này, sử dụng sản phẩm Oracle Database 10g Release (10.2) Oracle Database 11g Release (11.2), phiên Oracle Database Enterprise Edition Hai sản phẩm 10g 11g có nhiều điểm khác nhau, nhiên điểm không ảnh hưởng đến chương trình thực hành  Nhìn chung Oracle Database có tất phiên bản:  Oracle Database Express Edition (Oracle Database XE)  Oracle Database Standard Edition One  Oracle Database Standard Edition  Oracle Database Personal Edition  Oracle Database Enterprise Edition  Trong phiên trên, Express Edition phiên đơn giản nhất, download nhanh chóng, cài đặt quản lý đơn giản, miễn phí cho lập trình, triển khai mở rộng BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013  Quản lý người dùng Lab 01 Ngược lại với Express Edition, Enterprise Edition phiên mạnh mẽ nhất, cung cấp nhiều tính bảo mật cao cấp, giúp cho công ty quản lý, truy xuất nguồn tài nguyên liệu hữu hiệu tiện lợi Bên cạnh đó, Personal Edition sản phẩm đặc biệt, có chứa hầu hết tính cao cấp Enterprise Edition, phù hợp cho môi trường phát triển triển khai người dùng  Chương trình có Virtual Private Database, Oracle Label Security Fine-grained Auditing Đây công nghệ tính có phiên Enterprise Edition  Phần mềm cài đặt tải để sử dụng miễn phí cho mục đích học tập từ trang web thức Oracle (SV cần đăng ký tài khoản miễn phí để download được) Phân biệt số khái niệm  SQL  Là ngôn ngữ khai báo dùng để truy vấn, làm việc sở liệu quan hệ Ngôn ngữ chuẩn hóa để sở liệu quan hệ hãng khác có hỗ trợ SQL tuân thủ quy định chuẩn đưa  SQL Oracle Database hỗ trợ Một ví dụ câu lệnh SQL: SELECT COUNTRY_ID, COUNTRY_NAME FROM HR.COUNTRIES;  PL/SQL  Là ngôn ngữ thủ tục Oracle, dùng để viết điều khiển ứng dụng (application logic) để thao tác liệu bên CSDL  Có thể bao gồm tập lệnh SQL có yêu cầu truy xuất liệu  Có sẵn cài đặt Oracle Database  SQL*Plus  Là sản phẩm Oracle, dùng ngôn ngữ SQL PL/SQL SQL*Plus có giao diện dạng hình lệnh (command line)  Ngoài có ngôn ngữ lệnh riêng để điều khiển hành vi sản phẩm định dạng kết xuất từ truy vấn SQL  Tóm lại, SQL PL/SQL ngôn ngữ dùng số sản phẩm Oracle SQL*Plus sản phẩm có hỗ trợ chúng BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01  Để tham khảo lệnh sử dụng SQL*Plus, ta tra cứu ebook SQL*Plus User's Guide and Reference nằm thư viện Documentation Library (sẽ giới thiệu phần 3)  iSQL*Plus  Là phiên web SQL*Plus với giao diện trực quan, thân thiện với người dùng Tuy nhiên có số câu lệnh chức thực SQL*Plus thực iSQL*Plus  Vì số vấn đề bảo mật tốn chi phí hỗ trợ nên Oracle ngưng cung cấp iSQL*Plus Oracle Database 11g Người dùng sử dụng Oracle SQL Developer để sử dụng tính tương tự iSQL*Plus Tài liệu tham khảo  Bên cạnh nội dung lab, trình thực hành SV cần phải thường xuyên tra cứu thêm số tài liệu khác để có nhìn rõ ràng vấn đề học  Phần đề nghị hai tài liệu mà SV nên đọc kèm để phục vụ cho lab:  D.C Knox (2004) Effective Oracle Database 10g Security by Design, Oracle Press, ISBN 0-07-223130-01  Oracle Database 10g Release (10.2) Documentation Library Oracle Database 11g Release (11.2) Documentation Library  Oracle Database Documentation Library thư viện đầy đủ toàn phần mềm Oracle Database, cung cấp hãng Oracle Bộ thư viện bao gồm nhiều sách khác nhau, mô tả chức từ đến nâng cao trình bày theo cấu trúc rõ ràng, thuận tiện cho mục đích tham khảo  Đây số tựa sách (trong thư viện trên) mà tra cứu thường xuyên trình thực hành:  Concepts: cung cấp khái niệm lý thuyết toàn sở liệu  SQL Reference: dùng để tra cứu cú pháp ý nghĩa câu lệnh SQL  PL/SQL User's Guide and Reference: nội dung ngôn ngữ PL/SQL Ebook dành cho Oracle Database 10g kiến thức tính bảo mật Oracle cho Oracle Database 11g BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01  PL/SQL Packages and Types Reference: dùng để tra cứu packages xây dựng sẵn  Bộ thư viện xem online trang Oracle download để xem dạng PDF HTML B Thực hành Truy xuất Oracle Ta truy xuất, làm việc với Oracle Database theo cách:  Sử dụng Oracle SQL*Plus:  Start  All Programs   Application Development  SLQ Plus  Cửa sổ chương trình Oracle SQL*Plus Nhập username password Host string nhập không nhập Khi có nhiều database, nhập vào host string tên database mà muốn log in vào  Sử dụng Command Prompt:  Start  Run  gõ “cmd”  Cửa số Command Prompt xuất Gõ lệnh sau để đăng nhập CSDL: sqlplus / VD: sqlplus system/p123  Để đăng nhập tài khoản SYS với quyền SYSDBA CMD, bạn cần dùng lệnh sau: sqlplus SYS/ AS SYSDBA  Nếu tài khoản có quyền administration Windows, SV log in vào tài khoản SYS lệnh: sqlplus / AS SYSDBA  Sử dụng Oracle iSQL*Plus:  Để sử dụng iSQL*Plus: vào trình duyệt web, gõ địa URL sau: http://:5560/isqlplus http://localhost:5560/isqlplus  Nếu thực hành phòng lab, SV dùng đường link sau: http://:5560/isqlplus BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01  Trang iSQL*Plus xuất hiện, nhập thông số để log in Connect Identifier có ý nghĩa với Host string SQL*Plus  Sử dụng Oracle SQL Developer (SV tự tìm hiểu cách sử dụng) Sau log in vào hệ thống, muốn log out/log in chuyển qua tài khoản khác, ta dùng lệnh sau:  Log in vào account: CONNECT / CONNECT  Log in vào tài khoản SYS: CONNECT SYS/ AS SYSDBA CONNECT / AS SYSDBA (dùng câu với điều kiện tài khoản có quyền administration Windows)  Log out khỏi account: disconnect Lưu ý sử dụng câu lệnh trên:  Có thể thay CONNECT CONN  Khi muốn đổi account, cần gõ lệnh log in vào account khác, không cần phải gõ lệnh log out  Trong iSQL*Plus, log in vào tài khoản SYS Đăng nhập phòng lab  Mỗi sinh viên cấp account với thông tin sau:  Usename: s VD: s51001234  Password: p123  Đăng nhập:  Làm việc giao diện isqlplus: http://172.28.12.12:5560/isqlplus  Sau đăng nhập, sinh viên phải đổi password lệnh: ALTER USER username IDENTIFIED BY new_password; BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01 II Quản lý User A Lý thuyết Tablespace Một CSDL có tablespace SYSTEM USERS Tablespace SYSTEM chứa datafile DATA1.ORA DATA2.ORA Một tablespace chứa datafile Bên datafile đối tượng, table index Các đối tượng tablespace nằm vài datafile  Một CSDL Oracle chia thành đơn vị lưu trữ luận lý gọi tablespace, nhằm mục đích gom nhóm cấu trúc luận lý có liên quan với  Mỗi CSDL có nhiều tablespace Mỗi tablespace chứa nhiều BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01 datafile Datafile cấu trúc vật lý tương thích với hệ điều hành bên dưới, dùng để lưu trữ liệu cấu trúc luận lý tablespace chứa Kích thước tổng cộng datafile dung tích lưu trữ tổng cộng tablespace  Có loại tablespace:  System tablespace: - Mọi CSDL Oracle có system tablespace SYSTEM SYSAUX, tạo cách tự động - Chứa thông tin data dictionary views, định nghĩa stored procedures, packages, database triggers dạng PL/SQL program units, SYSTEM rollback segment,… - Không nên chứa liệu người dùng loại tablespace  Non-system tablespace: - Dùng để chứa loại liệu lại, đặc biệt liệu người dùng  Một cách phân loại khác tablespace:  Temporary tablespace: sử dụng để dành riêng cho thao tác xếp liệu  Permanent tablespace: Các tablespaces temporary tablespaces gọi permanent tablespaces Các permanent tablespace sử dụng để lưu trữ liệu database Schema  Schema tập hợp đối tượng sở liệu (vd: table, view, index,…)  Mỗi schema sở hữu user có tên với user  Không có mối quan hệ schema tablespace Các đối tượng thuộc schema nằm tablespace khác tablespace chứa đối tượng thuộc nhiều schema khác BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Lab 01 B Thực hành Tạo User a Tạo user với câu lệnh sau: CREATE USER salapati IDENTIFIED BY sammyy1; User created Khi tạo user, ta quy định default tablespace, temporary tablespace, quota tablespace, thời hạn hiệu lực password,… câu lệnh tạo user định cụ thể sau b Hiển thị tablespace user vừa tạo: SELECT default_tablespace, temporary_tablespace FROM dba_users WHERE username='SALAPATI'; DEFAULT_TABLESPACE TEMPORARY_TABLESPACE - USERS TEMP Tuy câu lệnh tạo user ta không định default tablespace temporary tablespace, Oracle tự gán giá trị mặc định cho user Các giá trị thiết lập theo tham số hệ thống Ta xem tham số câu lệnh sau: SELECT * FROM database_properties WHERE property_name LIKE '%TABLESPACE'; Sử dụng ALTER DATABASE để gán lại giá trị default tablespace default temporary tablespace database (SV tự tìm hiểu thực hành nhà, không phép thực hành lệnh lớp) c Log out khỏi user log in user vừa tạo, nhận thông báo: ERROR: BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Ora-01045: user Quản lý người dùng SALAPATI lacks CREATE SESSION Lab 01 privilege; logon denied Lý do: user vừa tạo chưa cấp quyền cho phép kết nối đến database Để user vừa tạo login được, ta phải cấp quyền CREATE SESSION Đăng nhập lại user ban đầu cấp quyền cho user salapati sau: GRANT CREATE SESSION TO salapati; Grant succeeded d Khi user tạo ra, ta không cấp quyền tạo loại object (table, index,…) user tạo object Tùy thuộc vào nhu cầu user, ta nên cấp quyền cần thiết không nên cấp dư Một điều kiện bắt buộc khác để user tạo object ta phải cấp quota cho user tablespace tương ứng Một user cấp quota sử dụng nhiều tablespace Quota limited unlimited Ví dụ sau cho thấy user salapati tạo bảng hiển thị thông báo lỗi: GRANT CREATE TABLE TO salapati; Grant succeeded CONNECT salapati/sammyy1 Connected CREATE TABLE xyz (name VARCHAR2(30)); create table xyz (name varchar2(30)) * ERROR at line 1: ORA-01950: no privileges on tablespace 'USERS'1 Đối với Oracle 11g Release 2, tính Deferred Segment Creation thiết lập mặc định TRUE khiến cho user có quyền CREATE TABLE tạo bảng tablespace có cấp quota hay không Thông báo lỗi ORA-01950 xuất insert liệu lần vào bảng Để thực phần thực hành trên, SV dùng câu lệnh sau để thiết lập lại tham số môi trường cho hệ thống: ALTER SYSTEM SET deferred_segment_creation = FALSE Để hiểu thêm vấn đề này, SV tham khảo đây: http://www.dba-oracle.com/t_oracle_deferred_segment_creation.htm http://docs.oracle.com/cd/E14072_01/server.112/e10595/tables002.htm#CHDGJAGB BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Để khắc phục lỗi trên, log in lại vào user sinh viên thực câu lệnh sau: ALTER USER salapati QUOTA 100M ON users; User altered Nếu muốn user sử dụng tối đa tablespace dùng cú pháp sau: ALTER USER salapati QUOTA UNLIMITED ON users; e Vì user cấp quota nhiều tablespace khác nhau, nên tạo đối tượng, user định cụ thể tablespace mà muốn tạo đối tượng Nếu không định, hệ thống tự động tạo default tablespace user CREATE TABLE abc (name varchar2(30)) TABLESPACE users; f Nếu muốn user tạo object tablespace cấp quyền sau: GRANT UNLIMITED TABLESPACE TO salapati; Grant succeeded g Có thể xem thông tin quota cấp cho user thông qua view DBA_TS_QUOTAS SELECT tablespace_name, username, bytes FROM DBA_TS_QUOTAS; h Có thể gán tablespace lúc tạo user sau: CREATE USER salapati_new IDENTIFIED BY sammyy1 TEMPORARY TABLESPACE TEMPTBS01 DEFAULT TABLESPACE USERS QUOTA 500M ON USERS; User created Thay đổi đặc tính user a Thay đổi password: ALTER USER salapati IDENTIFIED BY susana; BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM 10 Lab 01 Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng Hoặc: ALTER USER salapati IDENTIFIED BY susana REPLACE sammyy1; b Password expiration: Ta làm cho password hết hạn cách: ALTER USER salapati IDENTIFIED BY susana PASSWORD EXPIRE; Hoặc ALTER USER salapati PASSWORD EXPIRE; User altered Ta bắt buộc password expire tạo user: CREATE USER paris IDENTIFIED BY p124 PASSWORD EXPIRE; Sau làm expire password user trên, log in vào user (salapati, paris) tự rút nhận xét c Trạng thái account: Ta thay đổi trạng thái tài khoản (lock/unlock) user phép/không cho phép user truy xuất vào CSDL ALTER USER salapati ACCOUNT LOCK; ALTER USER paris ACCOUNT UNLOCK; Xem trạng thái tài khoản (Account Status) tất user: SELECT username, account_status FROM dba_users; Xóa User DROP USER salapati; User Dropped Lưu ý: lệnh DROP USER không xóa user mà xóa tất object thuộc user Khi user có object phải dùng thêm tùy chọn CASCADE: DROP USER salapati CASCADE; User Dropped BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM 11 Lab 01 Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng III User Profile A Lý thuyết Profile  Một profile tập hợp có tên giới hạn tài nguyên, gán cho hay nhiều user CSDL Oracle  Profile cung cấp cách quản lý dễ dàng việc giới hạn tài nguyên Nó giúp giới hạn việc sử dụng mức tài nguyên toàn hệ thống Profile cách để quản lý sách password  Trong CSDL tạo nhiều profile Một profile mặc định (tên DEFAULT) dùng để gán cho user không gán profile cách tường minh  Lưu ý giá trị mặc định thiết lập “unlimited” Các loại tài nguyên  Một profile mô tả loại giới hạn tài nguyên sau:  Số lượng session đồng thời mà user thực  Thời gian xử lý CPU cho session user cho gọi (call) tới Oracle câu lệnh SQL  Số lần đọc luận lý I/O cho session user cho gọi (call) tới Oracle câu lệnh SQL  Lượng thời gian nhàn rỗi cho session user  Lượng thời gian connect cho session  Các quy định password (số lần cố gắng login thất bại, thời gian hiệu lực password,…) B Thực hành Tạo Profile a Trước hết, để hệ thống thi hành việc ràng buộc giới hạn tài nguyên, ta cần enable tham số hệ thống RESOURCE_LIMIT câu lệnh sau: ALTER SYSTEM SET RESOURCE_LIMIT = TRUE; Tham số RESOURCE_LIMIT có giá trị mặc định ban đầu FALSE BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM 12 Lab 01 Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng b Tạo profile câu lệnh sau: CREATE PROFILE app_user LIMIT FAILED_LOGIN_ATTEMPTS SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION UNLIMITED CPU_PER_CALL 3000 CONNECT_TIME 45 IDLE_TIME 60 LOGICAL_READS_PER_SESSION DEFAULT LOGICAL_READS_PER_CALL 1000; Lưu ý, để tạo PROFILE, cần có quyền CREATE PROFILE Gán profile a Có thể gán profile vừa tạo user: CREATE USER salapati IDENTIFIED BY sammyy1 TEMPORARY TABLESPACE TEMPTBS01 DEFAULT TABLESPACE USERS GRANT QUOTA 500M ON USERS PROFILE app_user; User created b Khi tạo user, không gán tường minh user gán profile mặc định: CREATE USER venice IDENTIFIED BY sammyy1; User created SELECT profile FROM dba_users WHERE username = 'VENICE'; PROFILE DEFAULT Để xem thông tin profile mặc định: SELECT DISTINCT resource_name, limit FROM dba_profiles WHERE profile='DEFAULT'; BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM 13 Lab 01 Bảo Mật Hệ Thống Thông Tin – 2013 Quản lý người dùng c Gán profile cho user: ALTER USER venice PROFILE app_user; Thay đổi profile ALTER PROFILE app_user LIMIT SESSIONS_PER_USER FAILED_LOGIN_ATTEMPTS 4; Xóa profile DROP PROFILE test CASCADE; IV Bài Tập Tìm hiểu khác biệt tài khoản SYS SYSTEM Tạo profile “MyPassword” thỏa mãn: a) Thời hạn sử dụng 60 ngày b) Gia hạn 10 ngày c) Số ngày mà sau password sử dụng lại ngày d) Số lần thay đổi password trước sử lại password cũ lần e) Số lần nhập sai password 3 Kiểm tra profile vừa tạo: a) Tạo user John với password p123 b) Gán profile “Password” vừa tạo cho user c) Thực câu lệnh cần thiết để kiểm tra tác dụng câu 1d Cho biết kết d) Hiện tượng xảy nhập password sai lần? Làm để khắc phục hậu vừa xảy ra? Cho câu lệnh sau: CREATE USER mybear IDENTIFIED BY pretty DEFAULT TABLESPACE USERS QUOTA 500M ON SYSTEM; Theo bạn câu lệnh có vấn đề cần lưu ý, gây bất cập cho việc sử dụng CSDL user mybear sau? BM Hệ Thống Thông Tin – Khoa KH & KTMT – ĐH Bách Khoa HCM 14 Lab 01