Seguridad Oracle
Objetivos de la Sección
- Poder comprender y establecer una estrategia adecuada para la
definición de usuarios y privilegios.
Definiciones de Seguridad
- Usuarios
- Deben tener una cuenta asignada a través de la cual entren en la
BD y manipulen los objetos de la BD.
- Privilegios
- Permiso para realizar una operación determinada.
- Una mayor granularidad en la definición de privilegios en el
sistema permite adaptarlo a las necesidades del trabajo.
- Roles
- Grupos de privilegios agrupados bao un nombre.
- Permiten realizar una administración más efectiva cuando existe un
gran número de usuarios.
- Perfiles
- Límites que permiten compartir recursos en la BD entre los
usuarios.
Privilegios
- A nivel de Objeto
- El derecho a ejecutar una acción sobre una tabla, vista,
secuencia, disparador o procedimiento almacenado específico.
- Puede incluir permisos para pasar privilegios de uno a otro
usuario (with grant option).
- El propietario de un objeto adquiere automáticamente todos los
privilegios sobre dicho objeto.
- Los privilegios son: alter, execute, delete, index, insert,
references, select, update, all.
- A nivel de Sistema
- Derecho a ejecutar un tipo de comando sobre objetos de un esquema,
objetos de un tipo especificado, sobre el sistema o sobre un usuario.
- El dba puede tener cualquier variedad de privilegios del sistema.
- Existen unos 80 privilegios distintos disponibles.
Roles
- Grupo de privilegios que se concede a los usuarios o a otro rol.
- No son propiedad de nadie ni están en un esquema.
- Se puede dar acceso a cualquier usuario a un rol excepto a uno
mismo (reflexiva).
- Pueden ser activados y desactivados, por usuarios autorizados
(contraseña).
- Las definiciones de roles son almacenadas en el diccionario.
- Un rol puede decidir el acceso se usuario a un objeto, pero no
puede permitir la creación de objetos.
- Guia para la creación de roles:
- Crear un rol para cada aplicación (rol de aplicación).
- Crear un rol para cada tipo de usuario (rol de usuario).
- Conceder privilegio de acceso a roles de aplicacione por parte de
los roles de usuario.
- Dar privilegio de acceso a roles de aplicación y roles de usuario
a los usuarios.
- Se proporciona un grupo de roles predefinidos: connect, resource,
dba, exp_full_database, imp_full_database.
Perfiles
- Restringe la cantidad de recursos del sistema disponible para un
usuario.
- Un usuario puede tener un perfil individual o utilizar los límites
por defecto.
- En principio, todos los perfiles por defecto son ilimitados.
Accesos Autorizados desde el Sistema Operativo
- Permite acceder a la BD sin introducir un nombre y contraseña
Oracle a travé de una cuenta autorizada del SO.
- El nombre de usuario Oracle se forma mediante la concatenación del
prefijo definido en OS_AUTHENT_PREFIX al nombre de usuario SO.
- Este prefijo puede ser una cadena de caracteres vacía. Por defecto
es OPS$.
Jesús M. Vegas
Dpto. Informática (UVA)
jvegas@infor.uva.es