浅谈YashanDB三权分立

什么是三权分立？

三权分立，便是对DBA的职责进行划分，界说不同管理职位具备并利用不同脚色，互相限定和监督，从机制上尽可能地防止因误操作删除或修改不属于职责范围内的数据或对象，保障系统整体安全，
内置脚色

YashanDB内置了不同管理权限的脚色，方便用户进行不同职责的管理员界说，管理脚色列表如下：
脚色名称权限形貌DBA未开启三权分立：具有险些所有权限（除SHUTDOWN）。 开启三权分立：不具有审计、安全管理相干权限，只对当前用户schema下的表、索引、自界说视图具有DML权限，但仍具有系统表与系统视图的查看权限，以及数据库的DDL权限。AUDIT_ADMIN具有创建、删除、使能、修改、去使能审计策略等与审计相干的权限。SECURITY_ADMIN具有管理用户、脚色与权限等安全相干的权限。SYSDBA具有执行SHUTDOWN、备份、BUILD（包括yasrman、yasbak备份工具）的权限。SYSOPER只具有执行SHUTDOWN的权限。SYSBACKUP只具有执行备份、BUILD（包括yasrman、yasbak备份工具）权限。如何使用？

数据库参数ENABLE_SEPARATE_DUTY控制三权分立开关，默认关闭，重启生效

1. --数据库参数修改方式
2. ALTER SYSTEM SET ENABLE_SEPARATE_DUTY=true SCOPE=SPFILE;

复制代码

使用示例

1.确认数据库没有打开三权分立开关

1. SQL> show parameter ENABLE_SEPARATE_DUTY
3. NAME                                                             VALUE                                                            
4. ---------------------------------------------------------------- ----------------------------------------------------------------
5. ENABLE_SEPARATE_DUTY                                             FALSE                                                           
7. 1 row fetched.

复制代码

2.创建测试用户并分别赋予内置权限

1. SQL> CREATE USER user1 IDENTIFIED BY "user1";
3. Succeed.
5. SQL> CREATE USER user2 IDENTIFIED BY "user2";
7. Succeed.
9. SQL> CREATE USER user3 IDENTIFIED BY "user3";
11. Succeed.
13. --user1用户赋dba角色权限
14. SQL> GRANT dba TO user1;
16. Succeed.
18. --user2用户赋审计相关权限
19. SQL> GRANT AUDIT_ADMIN TO user2;
21. Succeed.
23. --user3用户赋安全相关权限
24. SQL> GRANT SECURITY_ADMIN TO user3;
26. Succeed.
28. SQL> GRANT RESOURCE TO user3;
30. Succeed.

复制代码

3.查看视图

1. --查看视图
2. SQL> select * from DBA_ROLE_PRIVS;
4. GRANTEE                                                          GRANTED_ROLE                                                     ADMIN_OPTION
5. ---------------------------------------------------------------- ---------------------------------------------------------------- ------------
6. USER1                                                            DBA                                                              N           
7. USER2                                                            AUDIT_ADMIN                                                      N           
8. USER3                                                            SECURITY_ADMIN                                                   N           
9. USER3                                                            RESOURCE                                                         N           
11. 3 rows fetched.

复制代码

4.测试user1用户具有权限相干、审计相干的权限操作

1. SQL> conn user1/user1
3. Connected to:
4. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
6. SQL> grant select any table to user2;
8. Succeed.
10. SQL> revoke select any table from user2;
12. Succeed.
14. SQL> create AUDIT POLICY p1 PRIVILEGES SELECT ANY TABLE, DELETE ANY TABLE;
16. Succeed.
18. SQL> drop audit policy p1;
20. Succeed.

复制代码

5.测试user2用户仅具有审计相干权限，无安全相干权限

1. SQL> conn user2/user2
3. Connected to:
4. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
6. SQL> create AUDIT POLICY p1 PRIVILEGES SELECT ANY TABLE, DELETE ANY TABLE;
8. Succeed.
10. SQL> drop audit policy p1;
12. Succeed.
14. --user2无法授权权限
15. SQL> grant select any table to user3;
17. YAS-02213 insufficient privileges

复制代码

6.测试user3用户仅安全相干权限，无审计相干权限

1. SQL> conn user3/user3
3. Connected to:
4. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
6. SQL> grant select any table to user2;
8. Succeed.
10. SQL> revoke select any table from user2;
12. Succeed.
14. SQL> create AUDIT POLICY p1 PRIVILEGES SELECT ANY TABLE, DELETE ANY TABLE;
16. YAS-02213 insufficient privileges

复制代码

7.开启三权分立开关

1. SQL> conn / as sysdba
3. Connected to:
4. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
6. SQL> ALTER SYSTEM SET ENABLE_SEPARATE_DUTY=true SCOPE=SPFILE;
8. Succeed.
10. SQL> shutdown immediate;
12. Succeed.

复制代码

8.测试user1用户无权限相干和审计相干的权限操作

1. SQL> conn user1/user1
3. Connected to:
4. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
6. SQL> grant select any table to user2;
8. YAS-02213 insufficient privileges
10. SQL> create AUDIT POLICY p1 PRIVILEGES SELECT ANY TABLE, DELETE ANY TABLE;
12. YAS-02213 insufficient privileges

复制代码

9.测试user2、user3用户权限无变化

1. SQL> conn user2/user2
3. Connected to:
4. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
6. SQL> create AUDIT POLICY p2 PRIVILEGES SELECT ANY TABLE;
8. Succeed.
10. SQL> drop audit policy p2;
12. Succeed.
14. --user2无安全相关权限
15. SQL> grant select any table to user1;
17. YAS-02213 insufficient privileges
19. SQL> conn user3/user3
21. Connected to:
22. YashanDB Server Enterprise Edition Release 23.2.1.100 x86_64 - X86 64bit Linux
24. SQL> grant select any table to user1;
26. Succeed.
28. SQL> revoke select any table from user1;
30. Succeed.
32. --user3无审计相关权限
33. SQL> create AUDIT POLICY p3 PRIVILEGES DELETE ANY TABLE;
35. YAS-02213 insufficient privileges
37. --user3用户正常创建表，普通用户权限无变化
38. SQL> create table t (c1 int);
40. Succeed.

复制代码

总结

• 三权分立限定了用户对数据库的访问和操作，可以精确控制用户对数据库的操作，提升了数据库的安全性。
  
• 开启三权分立影响的是各管理用户的系统特权，平凡用户以及用户下的对象特权不会受到影响
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。