Oracle数据库性能调优实践(三)——账号及密码管理

摘要：Oracle数据库实例端口默认是1521。Oracle连接问题涉及三个网络配置文件，一是sqlnet.ora，该文件存放在 $ORACLE_HOME/network/admin 目录下，主要是和客户端紧密相连。作用类似于 linux 的/etc/hosts，通过这个文件来决定怎么样寻找一个连接中出现的连接字符串。二是tnsnames.ora，文件存放在客户端机器上，记录客户端访问数据库的本地配置。当sqlnet.ora 中有 “NAMES.DIRECTORY_PATH=(TNSNAMES)” 字样时，才会尝试使用这个文件。三是listener.ora，该文件为 listener 监听器进程的配置文件。 listener 进程即为接受远程对数据库接入申请转到 oracle 的服务器进程。即如果不是使用的远程连接，listener 进程就不是必需的，关闭进程也不会影响已经存在的数据库连接。现将有关Oracle的账号和密码管理方面的知识整理出来，供参考。详细内容请看下文。

一、Oracle 的启动服务步骤

1、切换到oracle 用户： su - oracle

2、打开oracle 监控： lsnrctl start

执行指令# lsnrctl status查看监听是否开启

执行指令# lsnrctl start开启监听

3、打开oracle 命令行： sqlplus / as sysdba

4、在oracle 命令行执行启动服务： startup

5、退出： quit

二、Oracle 的停止服务步骤

1、切换到oracle 用户： su - oracle

2、打开oracle 命令行： sqlplus / as sysdba

3、执行停止服务命令： shutdown immediate

4、退出： quit

三、系统权限管理：（系统权限是对用户而言)

1、系统权限分类：

DBA：拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。

RESOURCE：拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。

CONNECT：拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据库结构。

对于普通用户：授予connect, resource权限。

对于DBA管理用户：授予connect，resource, dba权限。

执行指令SQL> select grantee,privilege from dba_sys_privs where grantee='CONNECT' order by privilege; 查看CONNECT角色的权限。如下图

执行指令SQL> select grantee,privilege from dba_sys_privs where grantee='RESOURCE' order by privilege; 查看RESOURCE角色的权限。如下图

执行指令SQL> select grantee,privilege from dba_sys_privs where grantee='DBA' order by privilege; 查看DBA角色的权限。如下图

2、系统权限授权命令：【系统权限只能由DBA用户授出：sys, system】

授权命令：SQL> grant connect, resource, dba to 用户名1...;

【备注：普通用户通过授权可以具有与system相同的用户权限，但永远不能达到与sys用户相同的权限，system用户的权限也可以被回收。】

例如：SQL> grant connect, resource to user001;

查询用户拥有哪些权限：

SQL> select * from dba_role_privs;

SQL> select * from dba_sys_privs;

SQL> select * from role_sys_privs;

删除用户：SQL> drop user 用户名 cascade; //加上cascade则将用户连同其创建的东西全部删除

3、系统权限传递：

增加WITH ADMIN OPTION选项，则得到的权限可以传递。

SQL> grant connect, resorce to user001 with admin option; //加上with admin option可以传递所获权限

4、系统权限回收：系统权限只能由DBA用户回收

命令：SQL> Revoke connect, resource from user001;

说明：

（1）、如果使用WITH ADMIN OPTION为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限。

（2）、系统权限无级联，即A授予B权限，B授予C权限，如果A收回B的权限，C的权限不受影响；系统权限可以跨用户回收，即A可以直接收回C用户的权限。

四、实体权限管理：（是针对表或视图而言的）

1、实体权限分类：select, update, insert, alter, index, delete, all //all包括所有权限

2、将表的操作权限授予全体用户：

SQL> grant all on product to public; // public表示是所有的用户，这里的all权限不包括drop。

SQL> select owner, table_name from all_tables; // 用户可以查询的表

SQL> select table_name from user_tables; // 用户创建的表

SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 获权可以存取的表（被授权的）

SQL> select grantee, owner, table_name, privilege from user_tab_privs; // 授出权限的表(授出的权限)

3、DBA用户可以操作全体用户的任意基表(无需授权，包括删除)：

4、实体权限传递(with grant option)：

5、实体权限回收：【备注：如果取消某个用户的对象权限，那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说，同样还会取消这些用户的相同权限，也就是说取消授权时级联的。】

五、Oracle安全认证模式

1、OS认证

OS认证简介：Oracle中，可以将新建立用户或者把原来的用户加入到oinstall组或dba等组中，然后使用这个用户在安装了数据库的本地机器登陆或者使用安全的远程连接登陆，可以作为sysdba登录，在数据库级则不需要提供密码。

比如，我们使用sqlplus登陆数据库：sqlplus / as sysdba

不需要密码，这里linux安装了oracle之后，默认自带OS认证，查看当前用户属组：

启用OS认证：修改配置文件-sqlnet.ora，更改配置文件位于$ORACLE_HOME/network/admin目录下，（没有新建一个），Linux下默认是支持OS认证和口令(密码)认证的所以不需要修改sqlnet.ora，如果是WINDOWS NT系统，则需要添加以下配置：SQLNET.AUTHENTICATION_SERVICES=(NTS)

关闭OS认证：把操作系统用户的dba组oinstall组取消，修改sqlnet.ora文件SQLNET.AUTHENTICATION_SERVICES = (NONE)，待修改配置文件后，发现OS认证已关闭，需要验证口令才能登陆。

2、口令认证

口令认证简介：Oracle的口令文件的作用是存放所有以sysdba或者sysoper权限连接数据库的用户的口令，如果想以sysdba权限远程连接数据库，必须使用口令文件。

修改口令文件：orapwd file=$ORACLE_HOME/dbs/orapw$ORACL_SID password=密码 force=y

修改完后，重启数据库，再次查看参数值！然后修改密码，成功！

六、Oracle账号和密码管理

1、创建用户的Profile文件

SQL> create profile employee limit // employee为资源文件名

FAILED_LOGIN_ATTEMPTS 3 //指定锁定用户的登录失败次数

PASSWORD_LOCK_TIME 5 //指定用户被锁定天数

PASSWORD_LIFE_TIME 30; //指定口令可用天数

2、创建用户

SQL> Create User username

Identified by password

Default Tablespace tablespace

Temporary Tablespace tablespace

Profile profile

Quota integer/unlimited on tablespace;

例如:创建用户abc01

SQL> Create user abc01

identified by abc01 // 如果密码是数字，请用双引号括起来

default tablespace account

temporary tablespace temp

profile default

quota 50m on account;

SQL> grant connect, resource to abc01;

[*] 查询用户缺省表空间、临时表空间

SQL> select username, default_tablespace, temporary_tablespace from dba_users;

[*] 查询系统资源文件名：

SQL> select * from dba_profiles;

资源文件类似表，一旦创建就会保存在数据库中。

SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;

3、修改用户：

SQL> Alter User 用户名

Identified 口令

Default Tablespace tablespace

Temporary Tablespace tablespace

Profile profile

Quota integer/unlimited on tablespace;

（1）、修改口令字：

SQL>alter user abc01 identified by "123456";

（2）、修改用户缺省表空间：

SQL> alter user abc01 default tablespace users;

（3）、修改用户临时表空间

SQL> alter user abc01 temporary tablespace temp_data;

（4）、强制用户修改口令字：

SQL> alter user abc01 password expire;

（5）、将用户加锁

SQL> alter user abc01 account lock; // 加锁

SQL> alter user abc01 account unlock; // 解锁

4、删除用户

SQL> drop user 用户名; //用户没有建任何实体

SQL> drop user 用户名 CASCADE;// 将用户及其所建实体全部删除

5、监视用户：

（1）、查询用户会话信息：

SQL> select username, sid, serial#, machine from v$session;

（2）、删除用户会话信息：

SQL> alter system kill session 'sid, serial#';

（3）、查询用户SQL语句：

SQL> select user_name, sql_text from v$open_cursor;

6、实例：

执行指令SQL>show user;查看当前用户

修改当前用户的密码