OCP认证考试指南（11）：保护Oracle数据库的安全（1）

1、调整默认的安全设置
1.1、默认的用户
查看数据库的用户和状态，可以查询DBA_USERS视图。
?[Copy to clipboard]View Code SQL
SQL> select username,account_status from dba_users;
1.2、PUBLIC权限
Oracle中存在一个名为PUBLIC的伪用户。只要用PUBLIC授予某个权限，那么所有用户都会被授予这个权限。
?[Copy to clipboard]View Code SQL
SQL> select count(*) from dba_tab_privs where grantee = 'PUBLIC';
 
COUNT(*)
----------
1991
 
SQL> select table_name from dba_tab_privs where grantee = 'PUBLIC'
2 and privilege = 'EXECUTE' and table_name like 'UTL%';
 
TABLE_NAME
------------------------------
UTL_RAW
UTL_TCP
UTL_INADDR
UTL_SMTP
UTL_HTTP
UTL_URL
UTL_ENCODE
UTL_GDK
UTL_COMPRESS
UTL_I18N
UTL_LMS
 
TABLE_NAME
------------------------------
UTL_NLA_ARRAY_DBL
UTL_NLA_ARRAY_FLT
UTL_NLA_ARRAY_INT
UTL_NLA
UTL_REF
UTL_COLL
UTL_MATCH
UTL_FILE
 
19 rows selected.
针对上面列出的，我们来看下某些使用起来比较危险的程序包：
UTL_FILE：这个程序包允许用户读写操作系统用户可访问的、运行Oracle进程的任务文件和目录，这些文件与目录包括所有的数据库文件以及ORACLE_HOME目录。
UTL_TCP：这个程序包允许用户为了连接网络中所有可访问的地址而打开服务机器上的TCP端口。
UTL_SMTP：使用UTL_TCP调用编写的这个程序包允许用户发送邮件消息。UTL_SMTP程序包受UTL_SMTP_SERVER实例参数限制，该参数给出了输出邮件服务器的地址。
UTL_HTTP：这个程序包同样使用UTL_TCP调用进行编写，并且允许发送HTTP消息和接收响应，结果是将数据库转换为Web浏览器。
记住：默认情况下，登入数据库的任何用户都能使用上述程序包。
虽然应用软件可以为PUBLIC用户授予执行UTL程序包的权限，但我们应当取消PUBLIC用户的这个权限。
?[Copy to clipboard]View Code SQL
SQL> revoke execute on utl_file from public;
 
Revoke succeeded.
2、对安全性至关重要的实例参数
提醒：这里说的参数都是静态的，被修改后必须重启实例才会有效。
2.1、UTL_FILE_DIR实例参数
UTL_FILE_DIR实例参数默认为NULL，因此不是一个安全性问题。但在设置这个参数时，要特别小心。UTL_FILE_DIR参数允许PL/SQL通过UTL_FILE补充程序