Системные привилегии
Чтобы предоставить системные привилегии, щелкните на ссылке Systems Privileges, расположенной на странице Edit User. Выберите необходимые привилегии из списка доступных привилегий и переместите их, щелкнув на стрелке Move, в окно списка Selected System Privileges.
Предоставление привилегии с фразой ANY означает, что действие привилегии не ограничивается схемой пользователя. Например, привилегия CREATE TABLE позволяет пользователю создавать таблицы, но только в своей собственной схеме. Привилегия SELECT ANY TABLE разрешает пользователю делать запросы к таблицам, принадлежащим другим пользователям.
Отметка, сделанная в поле Admin Option, дает право этому пользователю быть администратором привилегии и выдавать ее другим пользователям.
Перед предоставлением системных привилегий тщательно обсудите требования безопасности. Некоторые системные привилегии обычно предоставляются только администраторам. К ним относятся:
RESTRICTED SESSION; эта привилегия разрешает пользователю подсоединяться к базе данных, когда она открыта и находится в режиме ограниченного доступа.
SYSDBA и SYSOPER; эти привилегии разрешают останавливать и запускать экземпляр базы данных, выполнять восстановление, а также решать другие задачи по сопровождению базы данных. Привилегия SYSOPER позволяет выполнять основные операционные задачи, но без возможности просмотра данных пользователей. Эта привилегия содержит следующие системные привилегии:
- STARTUP и SHUTDOWN
- CREATE SPFILE
- ALTER DATABASE OPEN/MOUNT/BACKUP
- ALTER DATABASE ARCHIVELOG
- ALTER DATABASE RECOVER (только полное восстановление; для неполного восстановления, например, UNTIL TIME I CHANGE | CANCEL | CONTROLFILE требуется подсоединение с привилегией SYSDBA)
- RESTRICTED SESSION
Системная привилегия SYSDBA дает право выполнять неполное восстановление и удалять базу данных. Пользователь, использующий системную привилегию SYSDBA при подсоединении, устанавливает соединение как пользователь SYS.
DROP ANY <объект>; такие привилегии разрешают пользователям удалять объекты, находящиеся в схемах, принадлежащих другим пользователям.
CREATE, MANAGE, DROP, ALTER TABLESPACE; эти привилегии позволяют производить действия по администрированию табличных пространств, включая создание, удаление и изменение их атрибутов.
CREATE ANY DIRECTORY; база данных Oracle предоставляет возможность разработчикам вызывать из PL/SQL внешний код (например, программу из библиотеки С). Средством обеспечения безопасности служит объект типа DIRECTORY, представляющий собой виртуальный каталог, с которым должна быть связана директория операционной системы, в которой находится код. Имея привилегию CREATE ANY DIRECTORY, пользователь потенциально может вызвать нарушающий безопасность кодовый объект.
Привилегия CREATE ANY DIRECTORY дает пользователю право создавать объект DIRECTORY (с правами доступа read и write) для любого каталога, к которому может обратиться владелец программного обеспечения Oracle. Это означает, что пользователь может вызвать внешние процедуры из таких директорий. Кроме того, пользователь может попытаться напрямую читать или писать в файл базы данных, например, .в оперативный журнал или файлы аудита. Стратегия безопасности, принятая в организации, должна препятствовать неправильному применению подобных привилегий, которые предоставляют такие мощные возможности.
GRANT ANY OBJECT PRIVILEGE; эта привилегия позволяет пользователю предоставлять разрешения на доступ к объектам, которые ему не принадлежат.
ALTER DATABASE и ALTER SYSTEM; это очень мощные по предоставляемым возможностям привилегии, позволяющие изменять базу данных и экземпляр Oracle, например, переименовывать файл данных и очищать (flush) кэш буферов.