Administración de la Seguridad del Usuario. Copyright 2007, Oracle. All rights reserved.

Transcripción

1 Administración de la Seguridad del Usuario

2 Objetivos Después de completar esta lección, usted deberá poder: Crear y administrar cuentas de usuarios: Autenticar usuarios Asignar espacios de tabla de almacenamiento por defecto. Crear y administrar perfiles: Implementar medidas de seguridad de contraseñas. Controlar el uso de recursos por los usuarios. Conceder y Revocar privilegios. Crear y administrar Roles. 7-2

3 7-3 Objetivos En este capítulo vamos a tratar los mecanismos y herramientas proporcionadas por Oracle. Hablaremos de: Autenticación. Autorización. Auditoria.

4 7-4 Objetivos Autenticación: Identificar quién está accediendo a la base de datos. Garantizar que los usuarios son quienes dicen ser, independientemente de los recursos que se estén solicitando a la BD. Servir a cada usuario los recursos que se corresponden con él.

5 7-5 Objetivos Autorización: Proporciona acceso a diversos objetos de la BD después de habernos autenticado delante de la misma. No sólo acceso a una tabla o a un informe, sino también incluye el derecho a utilizar recursos del sistema en la BD. Conceder privilegios para llevar a cabo ciertas acciones en la base de datos. Crear políticas de granularidad fina mediante procedimientos.

6 7-6 Objetivos Auditoria: En una BD comprende diferentes niveles de monitorización. Podemos registrar, intentos correctos/fallidos de conexiones, acceso a objetos, realización de acciones, etc. A partir de Oracle 9i auditoria de granularidad fina (FGA, fine-grauned auditing). Utilizar con equilibrio.

7 7-7 Seguridad no relacionada con la BD Todo lo dicho anteriormente es inútil si por ejemplo el acceso al Sistema Operativo no es seguro, o al hardware, o nuestro sistema no se encuentra en una ubicación segura.

8 Seguridad no relacionada con la BD Cosas externas a tener en cuenta para dotar de seguridad nuestra BD: Seguridad del sistema operativo. Seguridad de los soportes de copia de seguridad. Comprobación de antecedentes de seguridad. Educación para la seguridad. Acceso controlado a hardware. 7-8

9 Seguridad no relacionada con la BD Seguridad del sistema operativo: No instalar software con cuenta root. No cuenta Oracle propietaria de software y de los archivos de la BD. Software y archivos BD sólo legibles por Oracle y por su grupo. Eliminar todos los servicios de sistema operativo que no sean necesarios. 7-9

10 Seguridad no relacionada con la BD Seguridad de los soportes de copia de seguridad: Soportes de copia sólo accesibles por un número limitado de personas. No sirve de nada si luego las copias de seguridad están en un armario sin llave, etc. 7-10

11 Seguridad no relacionada con la BD Comprobación de antecedentes de seguridad: Tener controladas a las personas que tengan mucho acceso. Educación para la seguridad: Todos los usuarios y desarrolladores comprenden las políticas de seguridad. Usuarios bien formados resisten a mecanismos de ingeniería social. Acceso controlado a hardware: Hardware ubicado en un entorno seguro y controlado. Con las oportunas políticas de acceso mediante credenciales etc. 7-11

12 7-12 Autenticación de la Base de Datos Autenticación mediante la BD En un entorno protegido de exterior y protegido el tráfico de red entre cliente y servidor. Toda la información necesaria para autenticar al usuario está almacenada en una tabla dentro del espacio de tablas SYSTEM. Las operaciones de BD especiales arrancar/detener la BD requieren una forma distinta de autenticación. Antes de 11g la contraseña era automáticamente convertida a mayúscula. Ahora es case-sensitive. SEC_CASE_SENSITIVE_LOGON. Número de intentos de conexión SEC_MAX_FAILED_LOGIN_ATTEMPTS.

13 Autenticación Especial Normalmente Oracle utiliza archivo de contraseñas para saber quién puede arrancar/detener, iniciar copias de seguridad, etc. Para conexiones locales mejor utilizar misma cuenta para SO como para Oracle o un fichero de contraseñas bien protegido. Cuidado con administración remota sin conexión segura. 7-13

14 Cuentas Predefinidas: SYS y SYSTEM Cuenta SYS: Tiene concedido el rol DBA. Tiene todos los privilegios con ADMIN OPTION Necesario para, startup, shutdown y algunos comandos de mantenimiento. Propietario del diccionario de datos. Propietario del Automatic Workload Repository (AWR). SYSTEM tiene concedido el rol DBA. Estas cuentas no son usadas para las operaciones rutinarias. 7-14

15 SYSOPER y SYSDBA SYSOPER: Arrancar y detener BD. Realizar copias de seguridad en línea o fuera de línea. Archivar los archivos actuales de registro rehacer. Conectarse a la BD aunque esté en modo RESTRICTED SESSION. SYSDBA Igual que SYSOPER. Además de poner crear un BD y conceder privilegios SYSDBA y SYSOPER. El esquema de SYSDBA y SYSOPER es diferente, SYSDBA se conecta como usuario SYS, el SYSOPER como USER. 7-15

16 Archivo de contraseñas Oracle Universal Installer o Creation Assistant creará automáticamente un archivo de contraseñas. Orapwd instrucción para crearlo. $ORACLE_HOME/dbs/orapw$ORACLE_SID %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora REMOTE_LOGIN_PASSWORDFILE: NONE: No archivo de contraseñas. SHARED: Múltiples BD utilizan el mismo. EXCLUSIVE: un archivo a una sola BD. Mirar V$PWFILE_USERS. 7-16

17 Autenticación de Sistema Operativo como DBA Para conectar a la BD siendo autenticado por el SO: sqlplus / Para conectar expresamente: SYSDBA: connect / as sysdba. Es necesario pertenecer al grupo ORA_DBA. SYSOPER: connect / sysoper. Es necesario pertenecer al grupo ORA_OPER. 7-17

18 Autenticación de Sistema Operativo como usuario Para que un usuario se pueda conectar mediante autenticación de SO debemos crear el usuario con la cláusula identified externally. Parámetro de inicialización OS_AUTHENT_PREFIX: (p.e.) OS_AUTHENT_PREFIX = OPS$ (por defecto) SQL > create user ops$nuevo identified externally; Si OS_AUTHENT_PREFIX = nulo Usuario SO = Usuario Oracle. Identified globally para identificar mediante un servicio de directorio. P.e. Oracle Internet Directory. 7-18

19 Otros tipos de autenticación La autenticación de red depende de los servicios de autenticación proporcionado por otros: Protocolo Secure Sockets Layer (SSL) DCE (Distributed Computing Enviroment) Kerberos PK1 (Public Key Infrastructure) RADIUS 7-19

20 Otros tipos de autenticación Autenticación en 3 niveles: Un servidor de aplicaciones puede proporcionar servicios de autenticación para un cliente, y una interfaz común con el servidor de BD. Es estos entornos multinivel tanto los usuarios como los niveles intermedios reciben los menores privilegios posibles. Alter user kmourgos grant connect through oes_as with role all except ordmgmt; 7-20

21 Otros tipos de autenticación Autenticación del lado del cliente: Totalmente desaconsejada a no ser que los usuarios estén en una red totalmente protegida. Necesitamos tener el identified externally. REMOTE_OS_AUTHENT (estático) a TRUE. 7-21

22 7-22 Creación de usuarios Sintaxis: CREATE USER <usuario> IDENTIFIED {BY <contraseña> EXTERNALLY GLOBALLY AS..} DEFAULT TABLESPACE <espacio_tablas> TEMPORARY TABLESPACE <espacio_tablas> QUOTA [tamaño UNLIMITED] ON <espacio> PROFILE <perfil> PASSWORD EXPIRE ACCOUNT LOCK/UNLOCK;

23 Creación de usuarios DEFAULT TABLESPACE: Coge el default_user_tablespace. Si no hay ninguno es SYSTEM Error. alter database default tablespace <espace>; TEMPORARY TABLESPACE: Coge el default_temporary_tablespace. Si no hay ninguno es SYSTEM Error. alter database temporary tablespace <espacio>; SQL> select TABLESPACE_NAME, BYTEs, MAX_BYTES from dba_ts_quotas where username='user'; SQL> select PROPERTY_NAME, PROPERTY_VALUE from database_properties where property_name like '%TABLESPACE'; 7-23

24 Creación de usuarios PROFILE: Indicamos el perfil a asignar al usuario. Si se omite se asigna DEFAULT. PASSWORD EXPIRE: En el primer inicio de sesión el usuario deberá cambiar su contraseña. ACCOUNT: Nos indica si la cuenta está bloqueada (LOCK) o desbloqueada (UNLOCK). 7-24

25 7-25 Crear un Usuario Selecciona Server > Users, y clica create.

26 Autenticación con EM Password External Global 7-26

27 7-27 Desbloque de usuarios y expiración de contraseñas Selecciona el usuario y clica Unlock User.

28 Asignación de quota a los usuarios Los usuarios que no tengan el privilegios de sistema UNLIMITED TABLESPACE deben de tener quota para poder crear objetos en los espacios de tabla asignados.. La quota puede ser: Un valor específico en megabytes o kilobytes Ilimitado 7-28

29 Creación de usuarios Debemos tener privilegio en el sistema de CREATE USER. El usuario creado debe tener el privilegio de CREATE SESSION o tener concedido el rol CONNECT No debe estar bloqueado para poderse conectar. El nombre usuario debe ser único con otros usuarios y roles. Sin cuota asignada o sin UNLIMITED TABLESPACE el usuario no podrá crear objetos en su propio esquema. SQL > grant connect to usuario; 7-29

30 Modificación de usuarios alter user es prácticamente idéntica a la de create user excepto porque alter usar nos permite asignar roles. Sintaxis: ALTER USER <usuario> IDENTIFIED {BY <contraseña> EXTERNALLY GLOBALLY AS..} DEFAULT TABLESPACE <espacio_tablas> DEFAULT ROLE <role> ALL EXCEPT <role> NONE TEMPORARY TABLESPACE <espacio_tablas> QUOTA [tamaño UNLIMITED] ON <espacio> PROFILE <perfil> PASSWORD EXPIRE ACCOUNT LOCK/UNLOCK; 7-30

31 Cuentas de usuario de base de datos Cada usuario de base de datos tiene: Un único username. Un método de autenticación. Un espacio de tablas por defecto. Un espacio de tablas temporal por defecto. Un perfil de usuario. (Profile) Un grupo de consumidores inicial. Un estado de cuenta. 7-31

32 Cuentas de usuario de base de datos Conceptos a tener en cuenta en la creación/modificación: Seleccionar un perfil. Seleccionar una técnica de autenticación. Asignar un tablespace por defecto y un tablespace temporal. Otorgar privilegios y roles al usuario. Decidir las cuotas para cada tablespace 7-32

33 7-33 Eliminación de usuarios Necesitamos privilegio de sistema DROP USER. No podemos eliminar a un usuario conectado a no ser que forcemos que se le eche fuera de la BD (ALTER SYSTEM KILL SESSION). Sintaxis: SQL > DROP USER <usuario> CASCADE;

34 Eliminación de usuarios Debemos tener en cuenta las implicaciones sobre otros esquemas que tiene borrar un usuario: Se invalidan vistas y sinónimos. Se invalidan procedimientos, funciones o paquetes que consulten objetos del borrado. Vistas materializadas de otros esquemas no se refrescarán. Se borran triggers del esquema. No se eliminan los roles creados. Siempre podemos bloquear el acceso CREATE SESSION. 7-34

35 Gestión de perfiles Dos utilidades: Con los perfiles proporcionamos un mecanismo para controlar algunos recursos que puede emplear un usuario en nuestro sistema. Pueden servir como mecanismo de autorización para controlar el modo en que se crean, reutilizan y validan las contraseñas de los usuarios. Para activar la gestión de perfiles debemos cambiar el parámetro estático: RESOURCE_LIMIT: ALTER SYSTEM SET RESOURCE_LIMIT = TRUE FALSE; 7-35

36 Creación perfil Tener el privilegio de CREATE PROFILE. Por defecto se le asigna perfil por defecto DEFAULT. Inicialmente todo a UNLIMITED excepto el número de intentos de conectar limitado a 10. SQL> CREATE PROFILE <nombre perfil> LIMIT <parámetro> <valor> UNLIMITED DEFAULT 7-36

37 Gestión de perfiles Modificación. Necesario privilegio ALTER PROFILE. Los valores modificados no afectan a las sesiones abiertas. SQL > ALTER PROFILE <perfil> LIMIT <parámetro> <valor> UNLIMITED DEFAULT Borrado Necesario privilegio DROP PROFILE. DEFAULT no se puede eliminar. SQL > DROP PROFILE <perfil>; 7-37

38 Asignación perfil Sólo se pueden asignar a usuarios, no se pueden asignar a roles. En el CREATE USER o con un ALTER_USER. Sólo un perfil por usuario. La asignación no afecta a las sesiones abiertas. SQL > ALTER USER usuario PROFILE perfil; 7-38

39 7-39 Perfil por defecto Consultar parámetros del perfil DEFAULT: SQL > select * from dba_profiles where profile = DEFAULT

40 7-40 Perfiles y Usuarios Profiles: Control del consumo de recursos Administrar los estado de la cuenta y sus contraseñas.

41 Parámetros de perfil de recursos SESSIONS_PER_USER: número máximo de sesiones por usuario. CPU_PER_SESSION: tiempo máximo de procesador permitido por sesión en centésimas de segundo. CPU_PER_CALL: tiempo de CPU máxima para una operación de análisis sintáctico de una instrucción, ejecución o extracción en centenas de segundo. CONNECT_TIME: tiempo máximo de sesión en minutos. IDLE_TIME: tiempo máximo de inactividad continua de una sesión en minutos. LOGICAL_READS_PER_SESSION: número máximo de lecturas de bloques en una sesión. 7-41

42 Parámetros de perfil de recursos LOGICAL_READS_PER_CALL: número máximo de lecturas de bloques para un operación de análisis sintáctico de una instrucción, ejecución o extracción. COMPOSITE_LIMIT: coste total de recursos, en unida de servicio, como una suma ponderada compuesta de CPU_PER_SESSION, CONNECT_TIME, LOGICAL_READS_PER_SESSION y PRIVATE_SGA. PRIVATE_SGA: cantidad máxima de memoria que una sesión puede asignar en el área compartida en Bytes, Kilobytes, o Megabytes. 7-42

43 Perfiles COMPOSITE_LIMIT Podemos ponderar los parámetros antes mostrados. SQL> select * from resource_cost; Por ejemplo: SQL> alter resource cost cpu_per_session 50 connect_time 2; El nuevo cálculo: Composite_cost = (50 * CPU_PER_SESSION) + (2 * CONNECT_TIME) 7-43

44 7-44 Implementación de medidas de seguridad en las contraseñas Password history Password complexity verification User Setting up profiles Password aging and expiration Account locking Note: No usar perfiles que hagan que las cuentas de SYS, SYSMAN, SYSSAS and DBSNMP expiren y se bloqueen.

45 7-45 Crear un perfil de contraseñas

46 7-46 Parámetros de perfil de contraseñas FAILED_LOGIN_ATTEMPTS: Número de intentos fallidos para que se bloquee la cuenta. PASSWORD_LIFE_TIME: Número de días que puede usarse la contraseña antes de cambiarla. Sino se cambiar dentro del período PASSWORD_GRACE_TIME, deberá cambiarse la contraseña antes de que se autorice ningún inicio de sesión. PASSWORD_REUSE_TIME: El número de días que un usuario debe esperar antes de reutilizar una contraseña. Se utiliza en conjunción con PASSWORD_REUSE_MAX.

47 Parámetros de perfil de contraseñas PASSWORD_REUSE_MAX: El número de cambios de contraseña que deben producirse antes de reutilizar una contraseña. Se utiliza en conjunción con PASSWORD_REUSE_MAX. PASSWORD_LOCK_TIME: Cuántos días permanecerá la cuenta bloqueada después de bloquearse por FAILED_LOGIN_ATTEMPTS. PASSWORD_GRACE_TIME: El número de días después del que debe cambiarse la contraseña caducada. Sino se cambia la cuenta caduca y la contraseña deberá ser cambiada para poder iniciar sesión. 7-47

48 Parámetros de perfil de contraseñas PASSWORD_VERIFY_FUNCTION: Un script PL/SQL para proporcionar una rutina avanzada de verificación de contraseñas. Si se especifica NULL, no se realizará ninguna verificación de contraseña. $ORACLE_HOME/rdbms/admin/utlpwdmg.sql %ORACLE_HOME%\rdbms\admin\utlpwdmg.sql 7-48

49 Supplied Password Verification Function: VERIFY_FUNCTION_11G La función VERIFY_FUNCTION_11G asegura que la contraseña sea: Al menos 8 caracteres. Diferente del usuario, del usuario con un número y del usuario al revés. Diferente del nombre de la BD y diferente del nombre de la BD con un número. Que tenga una letra y un número. Diferente de contraseñas anteriores en por lo menos 3 caracteres. <oracle_home>/rdbms/admin/utlpwdmg.sql 7-49

50 Tablas relacionadas con usuarios DBA_USERS: contiene nombres usuario, contraseñas, estado cuenta, espacios de tabla, etc. DBA_TS_QUOTAS: límites y utilización de espacios de tablas, por tablas y usuario. DBA_PROFILES: perfiles que pueden asignarse a los usuarios, junto con los límites de recursos asignados a los perfiles. USER_HISTORY$: historial contraseñas con fechas. USER_PASSWORD_LIMITS: parámetros de contraseñas asignados al usuario. USER_RESOURCE_LIMITS: parámetros de recursos asignados al usuario. 7-50

51 Métodos de autorización a la BD Determinar a qué tipos de objetos, privilegios y recursos se permite que el usuario acceda o utilice. Dos tipos de privilegios existentes en una BD: Privilegios de sistema. Privilegios sobre objetos. Asignables a usuarios o a roles. 7-51

52 7-52 Privilegios Privilegio: Es el derecho a realizar una acción sobre cualquier objeto de la base de datos así como otros privilegios de sistema como ejecutar trabajos de procesamiento por lotes, modificar parámetros del sistema, crear roles, conectarse a la base de datos, etc.

53 Privilegios Hay dos tipos de privilegios de usuario: De Sistema: Permite a los usuarios realizar determinadas acciones sobre la base de datos. Sobre Objetos: Permite a los usuarios acceder y manipular un objete determinado. HR_DBA Privilegio objeto: Update employees Privilegio de sistema: Create session 7-53

54 Privilegios de Sistema Permite realizar determinadas acciones en la base de datos o en cualquier esquema. Hay 206 privilegios de sistema en la versión 1 de Oracle 11g. SYSTEM_PRIVILEGE_MAP. SQL> select * from system_privilege_map; 7-54

55 Privilegios de Sistema ALTER DATABASE: Permite hacer cambios en la base datos, como modificar el estado de la base de datos de MOUNT a OPEN, o recuperar una base de datos. ALTER SYSTEM: Ejecutar instrucciones ALTER SYSTEM conmutar al siguiente grupo de registros de rehacer y cambiar los parámetros de inicialización del sistema contenidos en el archivo SPFILE. AUDIT SYSTEM: Ejecutar instrucciones AUDIT. CREATE DATABASE LINK: Crear enlaces de base de datos con bases de datos remotas. CREATE ANY INDEX: Crear un índice en cualquier esquema. 7-55

56 Privilegios de Sistema CREATE PROFILE: Crear un perfil de recursos/contraseñas. CREATE PROCEDURE: Crear una función, procedimiento o paquete en nuestro propio esquema. CREATE ANY PROCEDURE: Crear una función, procedimiento o paquete en cualquier esquema. CREATE SESSION: Conectarse a la base de datos. CREATE SYNONYM: Crear un sinónimo privado en nuestro propio esquema. CREATE ANY SYNONYM: Crear un sinónimo privado en cualquier esquema. 7-56

57 Privilegios de Sistema CREATE PUBLIC SYNONYM: Crear un sinónimo público. DROP ANY SYNONYM: Eliminar un sinónimo privado en cualquier esquema. DROP PUBLIC SYNONYM: Eliminar un sinónimo público. CREATE TABLE: Crear una tabla en nuestro propio esquema. CREATE ANY TABLE: Crear una tabla en cualquier esquema. CREATE TABLESPACE: Crear un nuevo espacio de tablas en la base de datos. 7-57

58 Privilegios de Sistema CREATE USER: Crear un esquema/cuenta de usuario. ALTER USER: Realizar cambios en un esquema/cuenta de usuario. CREATE VIEW: Crear una vista en nuestro propio esquema. ANY indica que los usuarios a los que se les conceda tienen dicho privilegio en cualquier esquema. CREATE TABLE incluye las sentencias CREATE INDEX y ANALYZE. CREATE TABLE o CREATE PROCEDURE incluyen el borrado de dichos objetos. 7-58

59 7-59 Crear privilegios de sistema Sintaxis: SQL> GRANT <privilegio> ALL_PRIVILEGES TO <usuario> <rol> PUBLIC WITH ADMIN OPTION; ADMIN OPTION permite poder conceder el privilegio otorgado. Conceder GRANT ANY PRIVILEGE también permite conceder los privilegios otorgados.

60 7-60 Privilegios de sistema GRANT ALL_PRIVILEGES TO se otorgan todos los privilegios de sistema. Si utilizamos la cláusula PUBLIC se otorgará el privilegio que se haya dado de alta a todos los usuarios. 07_DICTIONARY_ACCESSIBILITY es un parámetro de sistema que impide el acceso al esquema SYS aunque se tenga el privilegio ANY. Por defecto FALSE.

61 7-61 Revocar privilegios de sistema Sintaxis: SQL> REVOKE <privilegio> ALL_PRIVILEGES FROM <usuario> <rol> PUBLIC; Cualquier usuario con ADMIN OPTION sobre un privilegio puede revocarlo. Si A concede privilegio X a B con ADMIN OPTION y B a C, y A revoca a B C continuará teniéndolo. Si se retira un privilegio PUBLIC pero el usuario lo tenía ya, lo conservará.

62 7-62 Revocar privilegios de sistema con ADMIN OPTION DBA Jeff Emi User GRANT Privilege Object REVOKE DBA Jeff Emi REVOKE CREATE TABLE FROM jeff;

63 7-63 Privilegios de Sistema

64 7-64 Vistas privilegios de sistema DBA_SYS_PRIVS: Privilegios de sistema asignados a los roles y usuarios. SESSION_PRIVS: Todos los privilegios de sistema que estén activados para este usuario durante la sesión, sean concedidos directamente o a través de un rol. ROLE_SYS_PRIVS: Privilegios de sesión actuales concedidos a un usuario a través de un rol.

65 Privilegios sobre objetos Son el derecho a realizar un tipo concreto de acción sobre un objeto específico, como una tabla o una secuencia, que no se encuentre en el propio esquema del usuario. Un usuario que tenga objetos en su propio esquema dispondrá automáticamente de todos los privilegios sobre dichos objetos, igual como los de conceder grant option. 7-65

66 7-66 Privilegios sobre objetos ALTER: Permite modificar la definición de una tabla o una secuencia. DELETE: Permite borrar filas de una tabla, vista o vista materializada. EXECUTE: Permite ejecutar una función o procedimiento, con o sin un paquete. FLASHBACK: Permite ejecutar consultas flashback sobre tablas, vistas y vistas materializadas usando la información de deshacer retenida. DEBUG: Permite ver el código PL/SQL de los disparadores definidos en una tabla, o las instrucciones SQL que hagan referencia a una tabla. INDEX: Permite crear un índice sobre una tabla.

67 7-67 Privilegios sobre objetos INSERT: Permite insertar filas en una tabla, vistas o vistas materializadas. SELECT: Permite leer filas de tabla, vista, vistas materializadas o secuencia. ON COMMIT REFRESH: Permite crear una vista materializada de tipo refresco tras commit de una tabla. QUERY REWRITE: Permite crear una vista materializada para reescritura de consultas, basada en una tabla. REFERENCES: Permite crear una restricción de clave externa. UPDATE: Permite actualizar las filas de tabla, vista o vista materializada.

68 Privilegios sobre objetos Privilegios sobre tablas: Operaciones DML. Operaciones DDL. Privilegios sobre vistas: CREATE [ANY] VIEW y SELECT para leer del origen, y INSERT, UPDATE y DELETE si la vista es actualizable. Privilegios sobre procedimientos: Privilegio de EXECUTE Tenemos definidor e invocador. El definidor debe tener privilegios sobre los objetos referenciados dentro de su procedimiento. Por defecto creados con derechos de definidor, para cambiar authid_current_user. 7-68

69 7-69 Crear privilegios sobre objetos Sintaxis: SQL> GRANT <privilegios> ALL_PRIVILEGES ON <esquema>.objeto TO <usuario> <rol> PUBLIC [WHIT GRANT OPTION]; ALL_PRIVILEGES otorga todos los privilegios sobre el objeto. PUBLIC otorga privilegio a todos los usuarios.

70 Crear privilegios sobre objetos GRANT OPTION permite conceder el privilegio otorgado. Ejemplos: SQL> gran insert, update, delete on hr.employees to scott; SQL> grant select on hr.employees to scott with grant option; Si revocamos a SCOTT el privilegio SELECT dicho privilegio también será revocado a todas las que él hubiera concedido. 7-70

71 7-71 Revocar privilegios sobre objetos Sintaxis: SQL> REVOKE <privilegio> ALL_PRIVILEGES ON <esquema>.objeto FROM <usuario> <rol> PUBLIC; Alguien sólo puede revocar privilegios a alguien que se los haya concedido. En el caso de GRANT OPTION hay un efecto cascada al retirar el privilegio.

72 7-72 Revocar privilegios sobre objectos con GRANT OPTION Bob Jeff Emi GRANT REVOKE Bob Jeff Emi

73 Privilegios sobre objetos Para conceder privilegios: 1. Selecciona el tipo de objeto. 2. Selecciona objetos. 3. Selecciona privilegio. 7-73

74 7-74 Vistas privilegios sobre objetos DBA_TAB_PRIVS: Privilegios sobre tablas concedidos a roles y usuarios. DBA_COL_PRIVS: Privilegios sobre columnas concedidos a los roles o usuarios. SESSION_PRIVS: Privilegio de sistema que estén activados para el usuarios durante la sesión. ROLE_TAB_PRIVS: Para la sesión, privilegios concedidos mediante roles.

75 Roles Un conjunto de privilegios, de sistema u objetos, con un nombre que pueden ser asignados a usuarios o a otros roles. Pueden asignarse a cualquier usuario o rol, pero no así mismo ni formar ciclos. Su nombre es único. No pertenecen a ningún esquema. Pueden contener contraseña añadiendo más seguridad a nivel de autenticación. Simplifican el manejo de privilegios al asignar los privilegios a un rol y este a los usuarios. 7-75

76 Roles Si hay que cambiar un privilegio a un grupo de usuarios este privilegio se modifica en rol y dinámicamente se modificará en todos los usuarios. Podemos activar o desactivar un rol temporalmente. El uso de roles disminuye el número de privilegios almacenados en el diccionario de datos para los usuarios. Podemos proteger con contraseña los roles y activarlos o desactivarlos en una aplicación si esta lo necesita proporcionando la contraseña correcta. 7-76

77 Asignar privilegios a roles y asignar roles a usuarios Users Jenny David Rachel Roles HR_MGR HR_CLERK Privileges Delete employees. Create Job. Update employees. Insert Select employees. employees. 7-77

78 Roles predefinidos CONNECT: CREATE SESSION. Antes de 10.2 hasta 8 privilegios. RESOURCE: CREATE CLUSTER, CREATE INDEXTYPE, CREATE OPERATOR, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER, CREATE TYPE. Usuario desarrollador de aplicaciones. DBA: Todos los privilegios del sistema con la cláusula WITH ADMIN OPTION. DELETE_CATALOG_ROL: Privilegios de borrado de registro de auditoria. EXECUTE_CATALOG_ROL: Privilegio de ejecución sobre diversos paquetes, procedimientos y funciones del sistema. 7-78

79 Roles predefinidos SELECT_CATALOG_ROL: Privilegio de SELECT sobre tablas del diccionario. EXP_FULL_DATABASE: Permite exportar todos los objetos de la base de datos. IMP_FULL_DATABASE: Permite la importación de una base de datos completa previamente exportada. RECOVERY_CATALOG_OWNER: Para poder utilizar RMAN. SCHEDULER_ADMIN: Privilegios de crear trabajos. 7-79

80 7-80 Roles Creación: SQL> CREATE ROLE <rol> NOT IDENTIFIED IDENTIFIED BY <contraseña> <>; Modificación: SQL> ALTER ROLE <rol> NOT IDENTIFIED IDENTIFIED BY <contraseña>; Borrado: SQL> DROP ROLE <rol>;

81 7-81 Crear un Rol

82 7-82 Roles Asignación: SQL> GRANT <rol> TO <usuario> <rol> PUBLIC [WITH ADMIN OPTION] Revocación: SQL> REVOKE <rol1>,..<roln> FROM <usuario> <rol> PUBLIC [,<usuario> <rol>] Para asignar o revocar un rol tener WITH ADMIN OPTION sobre el rol, haberlo creado o el privilegio GRANT ANY ROLE.

83 7-83 Asignación de Roles a Usuarios

84 7-84 Roles Sintaxis: SQL> ALTER USER <usuario> DEFAULT ROLE <rol1>, <roln> ALL [EXCEPT rol1[rol2 ]] NONE; DEFAULT ROLE sólo lo podemos aplicar a los roles otorgados de forma directa, no vale por asignación indirecta. ALL indica que todos los que tengamos asignados sean por defecto.

85 7-85 Roles EXCEPT nos marca que no queremos asignar por defecto y que si queremos utilizarlos los deberemos activar a mano o a través de programa. NONE hace que ninguno de los roles sea por defecto, y los únicos privilegios al efectuarse la conexión serán aquellos asignados directamente.

86 7-86 Roles Sintaxis: SQL> SET ROL <rol> [IDENTIFIED BY <contraseña>] [,<rol> [IDENTIFIED BY <contraseña>]] ALL [EXCEPT <rol1>, <roln>] ] NONE Durante una sesión o una aplicación, podemos utilizarlo para modificar los roles activos. Con IDENTIFIED BY indicamos la contraseña del rol para activarlo.

87 Roles seguros Los roles pueden ser NO por defecto. SET ROLE vacationdba; Roles pueden ser protegidos mediante contraseña. CREATE ROLE secure_application_role IDENTIFIED USING <security_procedure_name>; 7-87

88 7-88 Roles seguros CREATE OR REPLACE procedure sec_roles AUTHID CURRENT_USER AS v_user varchar2(50); v_manager_id number :=1; BEGIN v_user := lower((sys_context ('userenv','session_user'))); SELECT manager_id INTO v_manager_id FROM hr.hr_verify WHERE lower( )=v_user; IF v_manager_id = 100 THEN EXECUTE IMMEDIATE 'SET ROLE employee_role'; ELSE NULL; END IF; EXCEPTION WHEN NO_DATA_FOUND THEN v_manager_id:=0; DBMS_OUTPUT.PUT_LINE(v_manager_id); END sec_roles;

89 Vistas Roles DBA_ROLES: Todos los roles y una indicación de si requieren una contraseña. DBA_ROLE_PRIVS: Roles concedidos a los usuarios o a otros roles. ROLE_ROLE_PRIVS: Roles concedidos a otros roles. ROLE_SYS_PRIVS: Privilegios de sistema concedidos a los roles. ROLE_TAB_PRIVS: Privilegios sobre tablas y sobre columnas de las tablas que hayan sido concedidos a los roles. SESSION_ROLES: Roles que estén actualmente activados para la sesión. Disponible para todas las sesiones de usuario. 7-90

90 Resumen En esta lección usted debería haber aprendido a: Crear y administrar cuentas de usuarios en la base de datos: Autenticar usuarios. Asignar espacios de tablas por defecto. Conceder y revocar privilegios. Crear y administrar roles. Crear y administrar perfiles: Implementar medidas de seguridad a través de la contraseña. Controlar los recursos utilizados por los usuarios. 7-91