Oracle'da PL / SQL yapan Uygulama Geliştiricileri için Güvenlik

Oracle'da Şema düzeyinde ayrıcalıkların yokluğunu nasıl ele alıyorsunuz? Oracle'ın güvenlik mimarisi, yalnızca nesne düzeyinde ayrıcalıklara ihtiyaç duyan uygulamalar için iyi çalışır ve az kısıtlamaya ihtiyaç duyan DBA'lar için iyi çalışır. Bununla birlikte, bir ön uç uygulaması ve çoklu şemada PL / SQL ile geliştirme yapan programcılar için mimaride büyük bir boşluk var gibi görünüyor. İşte benim dezavantajları ile bazı seçeneklerim:

1. Her programcının kendi şemasında geliştirme yapmasını sağlayın. DBA, ihtiyaç duyan programcılara nesne düzeyinde ayrıcalıklar tanıyacaktır. Herhangi bir paket geliştirme bir DBA tarafından yapılmalıdır. En büyük dezavantajı, programcıların veritabanını, veritabanı performansına zarar vermek için bir bit grubu gibi kullanmasıdır. Programcıların veritabanında gelişmesini istiyorum, ancak bu yöntem büyük ölçüde cesaret kırıcı olacaktır.

2. Her programcıya, geliştirmeleri gereken düzinelerce şema için kullanıcı adı / şifre verin. Bu uygulama şemasına prosedürler, tablolar vb. Oluşturmak için izin verin. Bu yaklaşımla ilgili bazı dezavantajlar, programcıların birden fazla oturum açması ve nadiren kendileri olarak giriş yaptılar. Çapraz şema geliştirme de zordur.

3. Programcılara, geliştirmeleri gereken her şema için proxy kimlik doğrulama ayrıcalıkları verin. Bu, proxy ayrıcalığı dışındaki ayrıcalıkları vermek zorunda kalmadan kendilerinin oturum açmasını sağlar. Dezavantajları arasında, proxy'leri her şema için ayrı bağlantı sağlamak zorunda olan programcılar, bağlantıların sürekli olarak değişmesi gerektiğinden çapraz şema geliştirme daha zahmetlidir ve geçiş kimlik doğrulamasıyla ortak veritabanı bağlantıları kullanan paketler proxy bağlantıları içinde derlenmez.

4. Her programcıya DBA ayrıcalıkları verin. - Buradaki dezavantaj güvenlik. Hiçbir şema programcısı herhangi bir şemadan uzak tutulamaz ve herhangi bir programcı başka bir programcıyı (DBA) taklit edebilir.

Her programcıya SELECT / INSERT / CREATE / etc'yi vermek için eksik bir seçenek var gibi görünüyor. geliştirmeleri gereken şema üzerinde ayrıcalıklar. Bir bağlantı kullanarak işlerini yapmak için kendileri olarak giriş yapıyorlar. Şemadaki erişime sahip oldukları yeni nesneler hemen kullanılabilir.

Bir şey mi kaçırıyorum? PL / SQL geliştirme yapan uygulama programcılarını nasıl ele alırsınız?

Bir Oracle mağazasında çalıştığım günlerde, 'prod' (üretim) sunucusundan farklı güvenlik kısıtlamaları olan belirli bir 'dev' (geliştirme) sunucumuz vardı. Geliştiriciler ihtiyaç duydukları her şeyi yapabilirdi ve daha sonra üretim sunucusuna başvurmak için gerekli komut dosyalarını DBA'ya dağıtırdık.

Kritik sistemlerimizde (sınıfları ve öğrencileri izlemek için SCT Banner ve Oracle Financials), ayrıca 'test' ve 'tohum' sunucuları da vardı. Test, geliştiriciden eşyaya geçmeden önce kullanıcı kabul testi içindi; 'seed' yazılımın stok kurulumuydu, bu yüzden bir hata bulmalıyız, SCT veya Oracle'ın yazılımından tanıttığımız veya geldiğimiz bir şey olup olmadığını doğrulayabiliriz.

Nesnelerin koleksiyonlarını ilişkilendirmek için rolleri kullanın, sonra rollere erişim verin

HİBE deyimi DBA sağlar:

Belirli bir nesne için kullanıcılar, roller ve KAMU için nesne ayrıcalıkları. Tablo 18-2'de nesne ayrıcalıkları ve yetkilendirdikleri işlemler listelenmektedir.

Bir role nesne ayrıcalıkları verilebildiğinden, bir şemadaki tüm tablolara rol erişimi vermek nispeten kolaydır:

sql> spool privs.sql
sql> seçin 'scott üzerinde seçim ver' || table_name || ' role_select; ' dba_tables dan burada owner = 'SCOTT';
sql> @ privs.sql
sql> john, sam, peter'e role_select ver;

Bu, GRANT CREATE TABLEuygun şema kullanıcısı tarafından verilen rolle birlikte, geliştiricilerin tabloları seçip oluşturabileceği anlamına gelir. Oluşturulan bir tablonun komut dosyasının tekrar çalıştırılmasını gerektirdiği için mükemmel değildir , ancak WITH GRANT OPTIONher geliştiricinin oluşturdukları tabloya uygun role erişim verebileceğini önerir.

Bu , uygun verme sürecini yürütebilecek DDL düzey tetikleyicileri oluşturabileceğinizi gösterir, ancak önemli miktarda test yapılması açıkça gerekli olsa da, tablo oluşturma ifadesinin otomatik olarak uygun rollere uygun izinler vermesi mümkün olmalıdır.

Düzenle --

GRANT'a göre , CREATE TABLEayrıcalık:

Yetkilendirilenin şemasında bir tablo oluşturun.

Böylece, onları masa, alter tablo vb .. oluşturmak vererek dan onlar uygun kullanıcı sanki doğru kullanıcı, onlar kullanıcının şema bu erişim mümkün olmalıdır.