ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 限制SQLPLUS工具可执行的命令

限制SQLPLUS工具可执行的命令

原创 Linux操作系统 作者:yangtingkun 时间:2009-08-05 23:20:39 0 删除 编辑

Oracle除了提供数据库级的各种权限来控制安全以外,对于SQLPLUS工具而言,还提供了特殊的控制方法。

 

 

一般数据库创建的时候,DBCA都会自动在SYSTEM用户下加载$ORACLE_HOME/sqlplus/admin/pupbld.sql脚本,来创建SQLPLUS_PRODUCT_PROFILE表,如果这个表没有创建,则在普通用户登陆时候会出现告警。关于这个错误可以参考:http://yangtingkun.itpub.net/post/468/488833

这个表可以限制除SYSSYSTEM以及SYSDBA/SYSOPER身份登陆以外的所有普通用户。通过这个表可以限制绝大部分的SQLPLUS命令、SQL命令和PL/SQL命令。

一个简单的例子:

SQL> CONN SYSTEM
请输入口令
已连接。
SQL> DESC SQLPLUS_PRODUCT_PROFILE
 
名称                                      是否为空? 类型
 ----------------------------------------- -------- ----------------------------
 PRODUCT                                   NOT NULL VARCHAR2(30)
 USERID                                             VARCHAR2(30)
 ATTRIBUTE                                          VARCHAR2(240)
 SCOPE                                              VARCHAR2(240)
 NUMERIC_VALUE                                      NUMBER(15,2)
 CHAR_VALUE                                         VARCHAR2(240)
 DATE_VALUE                                         DATE
 LONG_VALUE                                         LONG

SQL> INSERT INTO SQLPLUS_PRODUCT_PROFILE
  2  VALUES ('SQL*Plus', 'U1', 'DROP', NULL, NULL, 'DISABLED', NULL, NULL);

已创建 1 行。

SQL> COMMIT;

提交完成。

SQL> CONN U1/U1
已连接。
SQL> SELECT * FROM TAB;

TNAME                          TABTYPE  CLUSTERID
------------------------------ ------- ----------
T                              TABLE

SQL> DROP TABLE T;
SP2-0544:
无效的命令: drop

SQL> SELECT * FROM V$VERSION;

BANNER
----------------------------------------------------------------
Oracle9i Enterprise Edition Release 9.2.0.4.0 - 64bit Production
PL/SQL Release 9.2.0.4.0 - Production
CORE    9.2.0.3.0       Production
TNS for Linux: Version 9.2.0.4.0 - Production
NLSRTL Version 9.2.0.4.0 - Production

由于SQLPLUS_PRODUCT_PROFILE表只是专门针对SQLPLUS工具的,因此对于PRODUCT列需要输入‘SQL*Plus’USERID列输入需要限制的用户名,如果输入通配符‘%’,则对所有用户生效。ATTRIBUTE输入限制的命令,这里限制的是DROP命令。CHAR_VALUE必须输入‘DISABLED’,而其余的列目前没有使用,输入NULL

可以看到,在9i中错误信息很不明确,用户如果碰到这个错误,根本不清楚到底是什么原因导致了命令的失败。

而在10g中,错误信息就清晰多了:

SQL> conn / as sysdba
Connected.
SQL> insert into system.sqlplus_product_profile
  2  values ('SQL*Plus', '%', 'SELECT', null, null, 'DISABLED', null, null);

1 row created.

SQL> commit;

Commit complete.

SQL> conn u1/u1
Connected.
SQL> select * from tab;
SP2-0544: Command "select" disabled in Product User Profile
SQL> conn / as sysdba
Connected.
SQL> delete system.sqlplus_product_profile;

1 rows deleted.

SQL> commit;

Commit complete.

SQL> select * from v$version;

BANNER
----------------------------------------------------------------
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - 64bi
PL/SQL Release 10.2.0.3.0 - Production
CORE    10.2.0.3.0      Production
TNS for Linux: Version 10.2.0.3.0 - Production
NLSRTL Version 10.2.0.3.0 - Production

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/4227/viewspace-611457/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
暂无介绍

注册时间:2007-12-29

  • 博文量
    1955
  • 访问量
    10408033