除了IO、内存、CPU之外,还有一些限制,比如:限制在pdb中的操作命令,我们可以创建一个lockdown profile来限制对当前PDB的操作,增强某些操作的安全性。
 
关于PDB Lockdown Profiles
以下通过一个简单的测试来看看这个特性的基本功能。 首先在CDB root下创建一个profile,这个profile将对全局可用,并且需要:

 
创建PDB Lockdown Profile
SQL> connect / as sysdba

Connected.

SQL> CREATE LOCKDOWN PROFILE woqutech;

Lockdown Profile created.

SQL> ALTER LOCKDOWN PROFILE woqutech DISABLE STATEMENT = ('ALTER SYSTEM');    --禁用alter system 命令

Lockdown Profile altered.
 
 
 
 
 
8
8
 
 
 
1
SQL> connect / as sysdba
2
Connected.
3








4




SQL> CREATE LOCKDOWN PROFILE woqutech;








5




Lockdown Profile created.








6












7




SQL> ALTER LOCKDOWN PROFILE woqutech DISABLE STATEMENT = ('ALTER SYSTEM');    --禁用alter system 命令








8




Lockdown Profile altered.














 


 










 


连接到PDB WXH,在PDB级别启用lockdown profile :


 


使PDB Lockdown Profile生效




SQL> alter session set container = wxh;

Connected.

SQL> ALTER SYSTEM SET PDB_LOCKDOWN = woqutech;

System altered.

在执行alter system 时就会报ora-01031

例:

SQL> alter system set statistics_level=all ;

ERROR at line 1:

ORA-01031: insufficient privileges






 


 


 


 


 
















12






12






 


 




 










1




SQL> alter session set container = wxh;








2




Connected.








3












4




SQL> ALTER SYSTEM SET PDB_LOCKDOWN = woqutech;








5




System altered.








6












7




在执行alter system 时就会报ora-01031








8




例:








9




SQL> alter system set statistics_level=all ;








10












11




ERROR at line 1:








12




ORA-01031: insufficient privileges














 


 










LOCKDOWN PROFILE可以限制到非常细粒度的权限,比如以下限制仅仅限制用户执行ARCHIVE LOG和CHECKPOINT操作。










SQL> connect / as sysdba

Connected.

SQL> alter lockdown profile woqutech enable statement = ('ALTER SYSTEM') clause all except = ('ARCHIVE LOG','CHECKPOINT');

Lockdown Profile altered.






 


 


 


 


 
















4






4






 


 




 










1




SQL> connect / as sysdba








2




Connected.








3




SQL> alter lockdown profile woqutech enable statement = ('ALTER SYSTEM') clause all except = ('ARCHIVE LOG','CHECKPOINT');








4




Lockdown Profile altered.














 


 










禁止当前PDB所有的alter system语句




ALTER LOCKDOWN PROFILE woqutech DISABLE STATEMENT = ('ALTER SYSTEM');






 


 


 


 


 
















1






1






 


 




 










1




ALTER LOCKDOWN PROFILE woqutech DISABLE STATEMENT = ('ALTER SYSTEM');














 


 










禁止除了alter system flush shared_pool外的所有altersystem 语句。




ALTER LOCKDOWN PROFILE woqutech ENABLE STATEMENT = ('ALTER SYSTEM') clause = ('flush shared_pool');






 


 


 


 


 
















1






1






 


 




 










1




ALTER LOCKDOWN PROFILE woqutech ENABLE STATEMENT = ('ALTER SYSTEM') clause = ('flush shared_pool');














 


 










禁止PDB中XDB protocols(FTP, HTTP, HTTPS)的使用




ALTER LOCKDOWN PROFILE woqutech DISABLEFEATURE = ('XDB_PROTOCOLS')






 


 


 


 


 
















1






1






 


 




 










1




ALTER LOCKDOWN PROFILE woqutech DISABLEFEATURE = ('XDB_PROTOCOLS')














 


 












除了特定的权限,还可以对某些数据库功能特点进行限制:




比如调用和执行UTL_HTTP和 UTL_TCP 包可能是高风险的,那么以下的PROFILE设置可以禁用这些特性:


 




alter lockdown profile woqutechdisable feature = ('UTL_HTTP', 'UTL_TCP');






 


 


 


 


 
















1






1






 


 




 










1




alter lockdown profile woqutechdisable feature = ('UTL_HTTP', 'UTL_TCP');














 


 












删除PDB Lockdown Profile






DROP LOCKDOWN_PROFILE woqutech;






 


 


 


 


 
















1






1






 


 




 










1




DROP LOCKDOWN_PROFILE woqutech;














 


 










<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">


 


 


 


 

												


											
oracle12c之四 控制PDB操作 PDBLockdown Profiles的更多相关文章
	

    
								
  1. oracle12c之 控制pdb中sga 与 pga 内存使用
		
    Memory Management using Resource Manager Oracle数据库资源管理器(资源管理器)现在可以在多租户容器数据库(CDB)中管理可插入数据库(PDBs)之间的内存 ...
    
		
    2. 
						
  2. oracle12c之一  控制-PDB的磁盘I/O(IOPS,MBPS)资源管理
		
    在以前的版本中,没有简单的方法来控制单个PDB使用的磁盘I / O量. 因此,某个PDB可能耗尽大量磁盘I / O,并影响同一实例中的其他PDB的性能. Oracle 12c R2可以控制PDB使用的 ...
    
		
    3. 
						
  3. oracle12c之三 控制PDB中CPU 资源使用
		
      CPU资源隔离 数据库中,不同的PDB对主机CPU资源使用要求不同,那么我们就可以使用CDB resourceplans来管理不同pdb对CPU资源的使用. CDB Resource Plans  ...
    
		
    4. 
						
  4. oracle12c之二 控制PDB中SGA 与 PGA 内存使用
		
    oracle12c之 控制pdb中sga 与 pga 内存使用 Memory Management using Resource Manager Oracle数据库资源管理器(资源管理器)现在可以在多 ...
    
		
    5. 
						
  5. Selenium3 + Python3自动化测试系列三——控制浏览器操作
		
    控制浏览器操作 控制浏览器窗口大小 在测试过程中,我们在打开浏览器后,根据需求可自定义调整浏览器的尺寸大小.WebDriver提供了set_window_size()方法来设置浏览器的大小. 如果页面 ...
    
		
    6. 
						
  6. 归纳整理Linux下C语言常用的库函数----内存及字符串控制及操作
		
    在没有IDE的时候,记住一些常用的库函数的函数名.参数.基本用法及注意事项是很有必要的. 参照Linux_C_HS.chm的目录,我大致将常用的函数分为一下几类: 1. 内存及字符串控制及操作 2.  ...
    
		
    7. 
						
  7. 035——VUE中表单控件处理之使用vue控制select操作文字栏目列表
		
    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...
    
		
    8. 
						
  8. selenium控制浏览器操作
		
    selenium控制浏览器操作 控制浏览器有哪些操作? 控制页面大小 前进.后退 刷新 自动输入.提交 ........  控制页面大小,实例: # -*- coding:utf-8 -*- from ...
    
		
    9. 
						
  9. VFP控制Excel操作集
		
    ◆访问EXCEL:ExcelSheet = GetObject('','Excel.Sheet')返回结果为类,则成功.例:ExcelSheet = GetObject('','Excel.Sheet ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. osgQt支持触摸屏
			
    1. osgQt的构造函数添加:setAttribute(Qt::WA_AcceptTouchEvents);//wyh 2. event()修改,支持触摸时间 bool GLWidget::even ...
    
			
    2. 
						
  2. java中jar打包的方法
			
    jar 应用 先打开命令提示符(win2000或在运行筐里执行cmd命令,win98为DOS提示符),输入jar -help,然后回车(如果你盘上已经有了jdk1.1或以上版本),看到什么:用法:ja ...
    
			
    3. 
						
  3. spring  整合 mybatis (不含物理分页)
			
    http://www.mybatis.org/spring/mappers.html http://www.mybatis.org/spring/zh/mappers.html <?xml ve ...
    
			
    4. 
						
  4. js对象  1字符串对象2时间日期对象3数字对象
			
    1字符串对象  直接对字符操作 var str = "这,是,不,是,字,符,串";        //字符串转数组  字符串.split(分隔符)        var arr  ...
    
			
    5. 
						
  5. unittest对单个测试类的多种测试执行方法总结
			
    基于unittest测试框架编写的测试脚本,一般单个测试类下会有多个测试方法,unittest也提供多种测试执行方式,下面就不同方式或者需求一一实操并说明: 一.使用unittest下main()方法 ...
    
			
    6. 
						
  6. Linux  CentOS 7 安装confluence 5.8.10
			
    一..需要下载的安装包如下 1.atlassian-confluence-5.8.10-x64.bin #confluence安装包 2.confluence5.x-crack.zip #conflu ...
    
			
    7. 
						
  7. Atcoder 2566 3N Numbers(优先队列优化DP)
			
    問題文N を 1 以上の整数とします. 長さ 3N の数列 a=(a1,a2,…,a3N) があります. すぬけ君は.a からちょうど N 個の要素を取り除き.残った 2N 個の要素を元の順序で並べ. ...
    
			
    8. 
						
  8. Python相关基础
			
    1>变量: 2>条件判断与缩进: sex = raw_input("Please input your gender:") if sex == "girl&q ...
    
			
    9. 
						
  9. python中用ElementTree.iterparse()读取xml文件中的多层节点
			
    我在使用Python解析比较大型的xml文件时,为了提高效率,决定使用iterparse()方法,但是发现根据网上的例子:每次if event == 'end':之后elem.clear()或者是每次 ...
    
			
    10. 
						
  10. js 格式化时间
			
    //格式化时间 function time_format(time) { return new Date(parseInt(time) * 1000).toLocaleString().replace ...
    
			
    11.