近期在翻Oracle SQLPLUS官方文档,在讲SQLPLUS Security章节介绍了PUP这个机制。借此。我来使用下面:

PUP(PRODUCT_USER_PROFILE)介绍

  PRODUCT_USER_PROFILE是SYSTEM账户下一个表,可提供用户级别的安全限制。

PUP设置对DBA权限用户无效。

PUP仅仅针对本地数据库生效(Local Database)。









1、SYSTEM 用户创建PUP:

SQLPLUS SYSTEM

@ D:\app\Administrator\product\11.2.0\dbhome_1\sqlplus\admin\pupbld.sql

脚本内容

DROP SYNONYM PRODUCT_USER_PROFILE;

CREATE TABLE SQLPLUS_PRODUCT_PROFILE AS

  SELECT PRODUCT, USERID, ATTRIBUTE, SCOPE, NUMERIC_VALUE, CHAR_VALUE,

  DATE_VALUE FROM PRODUCT_USER_PROFILE;

DROP TABLE PRODUCT_USER_PROFILE;

ALTER TABLE SQLPLUS_PRODUCT_PROFILE ADD (LONG_VALUE LONG);

-- Create SQLPLUS_PRODUCT_PROFILE from scratch

CREATE TABLE SQLPLUS_PRODUCT_PROFILE

(

  PRODUCT        VARCHAR2 (30) NOT NULL,

  USERID         VARCHAR2 (30),

  ATTRIBUTE      VARCHAR2 (240),

  SCOPE          VARCHAR2 (240),

  NUMERIC_VALUE  DECIMAL (15,2),

  CHAR_VALUE     VARCHAR2 (240),

  DATE_VALUE     DATE,

  LONG_VALUE     LONG

);

-- Remove SQL*Plus V3 name for sqlplus_product_profile

DROP TABLE PRODUCT_PROFILE;

-- Create the view PRODUCT_PRIVS and grant access to that

DROP VIEW PRODUCT_PRIVS;

CREATE VIEW PRODUCT_PRIVS AS

  SELECT PRODUCT, USERID, ATTRIBUTE, SCOPE,

         NUMERIC_VALUE, CHAR_VALUE, DATE_VALUE, LONG_VALUE

  FROM SQLPLUS_PRODUCT_PROFILE

  WHERE USERID = 'PUBLIC' OR USER LIKE USERID;

GRANT SELECT ON PRODUCT_PRIVS TO PUBLIC;

DROP PUBLIC SYNONYM PRODUCT_PROFILE;

CREATE PUBLIC SYNONYM PRODUCT_PROFILE FOR SYSTEM.PRODUCT_PRIVS;

DROP SYNONYM PRODUCT_USER_PROFILE;

CREATE SYNONYM PRODUCT_USER_PROFILE FOR SYSTEM.SQLPLUS_PRODUCT_PROFILE;

DROP PUBLIC SYNONYM PRODUCT_USER_PROFILE;

CREATE PUBLIC SYNONYM PRODUCT_USER_PROFILE FOR SYSTEM.PRODUCT_PRIVS;

--禁用HR用户的DROP命令

SYSTEM@orcl> insert into product_user_profile values('SQL*Plus', 'HR', 'DROP', NULL, NULL, 'DISABLED', NULL, NULL);





已创建 1 行。





SYSTEM@orcl> commit;





提交完毕。





2、PUP表结构概览

SYSTEM@orcl> desc product_user_profile

 名称                                     是否为空?

类型

 ---------------------------------------- -------- ---------------------------

 PRODUCT                                  NOT NULL VARCHAR2(30)

 USERID                                            VARCHAR2(30)

 ATTRIBUTE                                         VARCHAR2(240)

 SCOPE                                             VARCHAR2(240)

 NUMERIC_VALUE                                     NUMBER(15,2)

 CHAR_VALUE                                        VARCHAR2(240)

 DATE_VALUE                                        DATE

 LONG_VALUE                                        LONG





 --PRODUCT : 说明要限制的程序 

 --USERID : 要限制的用户(大写)

 --ATTRIBUTE : 要限制的命令或角色

 --SCOPE : 不适用;放NULL

 --NUMERIC_VALUE : 不适用。放NULL

 --CHAR_VALUE :DISABLED

 --DATE_VALUE :不适用。放NULL

 --LONG_VALUE :不适用;放NULL

 





3、HR登录进行DROP操作证明设置生效:

SYSTEM@orcl> conn hr/hr

已连接。





HR@orcl> create table t(x int);





表已创建。





HR@orcl> drop table t;

SP2-0544: 在产品用户概要文件里禁用命令 "drop"

HR@orcl> conn system/oracle@orcl

已连接。





SYSTEM@orcl> delete from product_user_profile;





已删除 1 行。





SYSTEM@orcl> commit;





提交完毕。





SYSTEM@orcl> conn hr/hr@orcl

已连接。





HR@orcl> drop table t;





表已删除。









4、禁用角色

PRODUCT USERID ATTRIBUTE SCOPE NUMERIC_VALUE CHAR_VALUE DATE_VALUE LONG_VALUE

------- ------ --------- ----- -------- ------ ----- -----

SQL*Plus HR     ROLES                           ROLE1

SQL*Plus PUBLIC ROLES                          ROLE2





用户登录期间PUP行记录将翻译为下面命令

During login, these table rows are translated into the command

SET ROLE ALL EXCEPT ROLE1, ROLE2





样例:

SYS@orcl> create role r_t;

角色已创建。

SYS@orcl> grant select on t to r_t;

授权成功。

SYS@orcl> grant r_t to hr;

授权成功。

SYS@orcl> conn hr/hr

已连接。

HR@orcl> select * from sys.t;





未选定行

HR@orcl> conn system/oracle

已连接。





会话已更改。





SYSTEM@orcl> insert into product_user_profile values('SQL*Plus', 'HR', 'ROLES', NULL, NULL, 'r_t', NULL, NULL);





已创建 1 行。

SYSTEM@orcl> commit;





提交完毕。

SYSTEM@orcl> conn hr/hr

已连接。

HR@orcl> select * from sys.t;

select * from sys.t

                  *

第 1 行出现错误:

ORA-00942: 表或视图不存在





HR@orcl> select username, granted_role

  2      from user_role_privs

  3     where granted_role='R_T';





USERNAME                       GRANTED_ROLE

------------------------------ ------------------------------

HR                             R_T





HR@orcl> conn system/oracle

已连接。





会话已更改。

SYSTEM@orcl> delete from product_user_profile;





已删除 1 行。

SYSTEM@orcl> commit;





提交完毕。

SYSTEM@orcl> conn hr/hr

已连接。

会话已更改。





HR@orcl> select * from sys.t;





未选定行













------------------------‘

Dylan    Presents.

Oracle PUP(PRODUCT_USER_PROFILE)配置和使用的更多相关文章

  1. Oracle 11g DG配置简明版

    环境: 主库A机:在线生产环境,RHEL 6.4 + Oracle 11.2.0.3 备库B机:新增备机,RHEL 6.4 需求: 对生产环境最小影响前提下配置DG备库. 目录: 一.B机安装相同版本 ...

  2. oracle 客户端单独配置

    本文目的是在CentOS 5.3上安装Oracle 11.2 instant client来访问远端的Oracle 10.2数据库,笔者测试通过,应该也适用于Redhat Linux 5.x     ...

  3. 新建Oracle数据库时,提示使用database control配置数据库时,要求在当前oracle主目录中配置监听程序

    新建一个oracle数据库时,当提示使用database control配置数据库时,要求在当前oracle主目录中配置监听程序等字样的时候,问题是那个监听的服务没有启动,解决方法如下: 打开cmd命 ...

  4. BizTalk 2013R2 WCF-LOB Oracle Adapter安装配置/问题&解决方法

    BizTalk 2013R2 WCF-LOB Oracle Adapter安装配置/问题&解决方法 安装Oracle Adapter 安装Oracle客户端 BizTalk 2013R2 安装 ...

  5. Oracle 客户端安装配置

    电脑上安装了Oracle11G,我远程导出一个10g的数据库数据时,报了错误,猜测可能是我的11G客户端版本的问题.所以下载了10G的客户端 安装. 其实客户端的配置读取的是两个文件监听配置文件lis ...

  6. Oracle内存参数配置及版本问题

    Oracle的内存配置与Oracle性能息息相关.从总体上讲,可以分为两大块:共享部分(主要是SGA)和进程独享部分(主要是PGA).在 32 位操作系统下 的Oracle版本,不时有项目反馈关于内存 ...

  7. [转]Oracle GoldenGate安装配置

    ref:http://blog.sina.com.cn/s/blog_5d29418d0101cvyx.html 1 简介 Oracle Golden Gate软件是一种基于日志的结构化数据复制备份软 ...

  8. PL/SQL Developer 连接Oracle数据库详细配置方法

    PL/SQL Developer 连接Oracle数据库详细配置方法 近段时间很多网友提出监听配置相关问题,客户终端(Client)无法连接服务器端(Server).本文现对监听配置作一简单介绍,给出 ...

  9. oracle12c:通过oracle客户端工具配置tns,并使用sqlldr进行批量导入数据

    通过oracle客户端工具配置tns: 进入oracle配置工具“Net Configuration Assistant”-> 点击“下一步”,完成tns配置. 测试是否tns可用 命令:tns ...

随机推荐

  1. 魅族MX3 smart bar处失灵

    MX3的分辨率是1800X1080,改成1750X1080 adb shell wm size 1080x1750

  2. 内存控制篇calloc free getpagesize malloc mmap munmap

    calloc(配置内存空间) 相关函数 malloc,free,realloc,brk 表头文件 #include <stdlib.h> 定义函数 void *calloc(size_t ...

  3. Expectation Maximization-EM(期望最大化)-算法以及源码

    在统计计算中,最大期望(EM)算法是在概率(probabilistic)模型中寻找参数最大似然估计的算法,其中概率模型依赖于无法观测的隐藏变量(Latent Variable).最大期望经常用在机器学 ...

  4. 附 Java对象内存布局

    注意:本篇博客,主要参考自<深入理解Java虚拟机(第二版)> 1.对象在内存中存储的布局分为三块 对象头 存储对象自身的运行时数据:Mark Word(在32bit和64bit虚拟机上长 ...

  5. SQL Server基础知识三十三问 (7-14)

    8. 一般什么时候使用update_statistics命令? 答:  这个命令基本上是在很多数据被处理过了之后才使用的. 如果大量的删除, 修改, 或这大量的数据插入已经发生了, 那么index就需 ...

  6. js判断是否为手机访问

    JavaScript判断浏览器类型一般有两种办法,一种是根据各种浏览器独有的属性来分辨,另一种是通过分析浏览器的userAgent属性来判断的.在许多情况下,值判断出浏览器类型之后,还需判断浏览器版本 ...

  7. .NET反射 Type类

    不知道大家有过这样类似的编码 ? 1 Type type=typeof(T);//T是传入的类型 这样写已经是在潜意思的使用反射了.不管你是否知道,但是这是事实. Type是一个抽象类,必须进行实例化 ...

  8. bind原理图释

    (原文:http://blog.think-async.com/2010/04/bind-illustrated.html) 本文解释了bind 是如何工作的.为了清晰,我对图中的语法作了一些简化(例 ...

  9. Cognos两种建模工具对于复杂日期维度的处理比较(上)

    众所周知,在数据仓库中,日期维度是相当重要的.对数据分析的过程中可以从不同的角度去分析,比如按照下面的日期层次去分析数据. 年-季度-月-日 年-月-日 年-周-日 本示例将利用简单的商品销售分析的d ...

  10. 微信小程序开发:设置消息推送

    开发设置中,启用并设置消息推送配置后,用户发给小程序的消息以及开发者需要的事件推送,都将被微信转发至该服务器地址中. 不过照着说明去操作,即使按照最简单的明文方式去设置,还是提示Token验证失败.仔 ...