Linux Oracle用戶權限如何設置

Linux環境下Oracle用戶權限設置指南

在Linux系統中管理Oracle數據庫用戶權限，需結合操作系統用戶權限與Oracle數據庫權限兩部分，確保數據庫運行的安全性與合規性。以下是具體步驟：

一、操作系統層面：Oracle用戶與目錄權限設置

Oracle數據庫需以專用操作系統用戶（通常為oracle）運行，且需正確配置目錄權限以保證數據庫文件的可訪問性。

1. 創建Oracle操作系統用戶

使用root用戶登錄Linux，執行以下命令創建oracle用戶并設置密碼：

sudo adduser oracle          # 創建oracle用戶
sudo passwd oracle           # 設置oracle用戶密碼

2. 創建Oracle相關目錄

為Oracle軟件、數據文件創建專用目錄（路徑可根據實際版本調整）：

sudo mkdir -p /u01/app/oracle/product/19.0.0/dbhome_1  # Oracle軟件安裝目錄
sudo mkdir -p /u01/app/oracle/oradata                 # Oracle數據文件目錄

3. 設置目錄所有權與權限

將目錄所有權賦予oracle用戶及oinstall組（Oracle默認組），并設置適當權限：

sudo chown -R oracle:oinstall /u01                      # 遞歸修改/u01目錄所有者
sudo chmod -R 775 /u01                                  # 遞歸設置目錄權限（所有者可讀寫執行，組可讀執行）

4. 配置Oracle用戶環境變量

切換至oracle用戶，編輯其.bash_profile文件，添加Oracle相關環境變量：

su - oracle
vi ~/.bash_profile

添加以下內容（根據實際路徑調整）：

export ORACLE_BASE=/u01/app/oracle
export ORACLE_HOME=$ORACLE_BASE/product/19.0.0/dbhome_1
export ORACLE_SID=ORCLCDB       # 數據庫實例名（需與實際一致）
export PATH=$PATH:$ORACLE_HOME/bin
export LD_LIBRARY_PATH=$ORACLE_HOME/lib

使環境變量生效：

source ~/.bash_profile

5. 配置SELinux（若啟用）

若系統啟用SELinux，需調整上下文以允許Oracle訪問目錄：

sudo setenforce 0                # 臨時禁用SELinux（測試用）
sudo vi /etc/selinux/config      # 永久禁用SELinux（修改后需重啟）
# 將"SELINUX=enforcing"改為"SELINUX=disabled"

設置Oracle目錄的SELinux上下文：

sudo chcon -R -t oracle_home_t /u01/app/oracle
sudo chcon -R -t oracle_db_t /u01/app/oradata

6. 配置防火墻

開放Oracle默認端口（1521/TCP），允許遠程連接：

sudo firewall-cmd --permanent --zone=public --add-port=1521/tcp
sudo firewall-cmd --reload

二、Oracle數據庫層面：用戶權限管理

操作系統用戶準備完成后，需以Oracle超級用戶（sysdba）登錄數據庫，創建數據庫用戶并分配權限。

1. 登錄Oracle數據庫

使用sysdba身份登錄（本地登錄無需密碼，遠程登錄需配置密碼文件）：

sqlplus / as sysdba

2. 創建數據庫用戶

創建新用戶并設置密碼（如創建用戶new_user，密碼為new_password）：

CREATE USER new_user IDENTIFIED BY new_password;

3. 分配表空間與臨時表空間

為用戶指定默認表空間（存儲用戶數據）和臨時表空間（存儲臨時數據，通常為TEMP）：

ALTER USER new_user DEFAULT TABLESPACE users;    -- 默認表空間（需存在）
ALTER USER new_user TEMPORARY TABLESPACE temp;   -- 臨時表空間（系統默認）

若需限制用戶表空間使用量，可添加QUOTA子句（如無限制）：

ALTER USER new_user QUOTA UNLIMITED ON users;

4. 授予系統權限

系統權限允許用戶執行數據庫級操作（如創建會話、創建表）。常用系統權限包括：

-- 授予連接數據庫權限（必需）
GRANT CREATE SESSION TO new_user;

-- 授予創建表、序列、視圖等對象權限
GRANT CREATE TABLE, CREATE SEQUENCE, CREATE VIEW TO new_user;

-- 授予資源權限（包含創建對象、無限表空間等）
GRANT RESOURCE TO new_user;

-- 授予DBA權限（最高權限，謹慎授予）
GRANT DBA TO new_user;

5. 授予對象權限

對象權限允許用戶對特定數據庫對象（如表、視圖）進行操作（如查詢、插入、更新）。常用對象權限包括：

-- 授予scott用戶emp表的查詢權限
GRANT SELECT ON scott.emp TO new_user;

-- 授予scott用戶emp表的插入、更新權限
GRANT INSERT, UPDATE ON scott.emp TO new_user;

-- 授予scott用戶emp表的刪除權限
GRANT DELETE ON scott.emp TO new_user;

-- 授予WITH GRANT OPTION（允許用戶將權限授予其他用戶）
GRANT SELECT ON scott.emp TO new_user WITH GRANT OPTION;

6. 使用角色管理權限

角色是權限的集合，可簡化多用戶權限分配。常用角色包括：

• 預定義角色：CONNECT（連接權限）、RESOURCE（創建對象權限）、DBA（管理權限）。
• 自定義角色：根據業務需求創建角色并分配權限。

創建角色并分配權限：

CREATE ROLE hr_manager;                  -- 創建hr_manager角色
GRANT CREATE SESSION, CREATE TABLE, SELECT ON scott.emp TO hr_manager;  -- 分配權限給角色

將角色授予用戶：

GRANT hr_manager TO new_user;            -- 將hr_manager角色授予new_user

7. 查看用戶權限

可通過以下SQL語句查看用戶權限：

-- 查看系統權限
SELECT * FROM user_sys_privs;

-- 查看角色權限
SELECT * FROM user_role_privs;

-- 查看對象權限
SELECT * FROM user_tab_privs;

8. 撤銷權限

若需撤銷用戶權限，可使用REVOKE語句：

-- 撤銷new_user對scott.emp表的查詢權限
REVOKE SELECT ON scott.emp FROM new_user;

-- 撤銷new_user的hr_manager角色
REVOKE hr_manager FROM new_user;

-- 撤銷new_user的DBA權限
REVOKE DBA FROM new_user;

注意事項

• 最小權限原則：僅授予用戶完成任務所需的最小權限，避免過度授權（如普通用戶無需DBA權限）。
• 權限傳遞控制：使用WITH ADMIN OPTION授予角色權限時，被授權者可將角色授予其他用戶；使用WITH GRANT OPTION授予對象權限時，被授權者可將權限授予其他用戶，需謹慎使用。
• 定期審計：通過AUDIT語句跟蹤用戶活動（如AUDIT SELECT ON scott.emp BY new_user;），確保權限使用合規。
• 多租戶環境：在CDB（容器數據庫）中，可使用CONTAINER=ALL授予所有PDB權限，或CONTAINER=CURRENT僅授予當前PDB權限。

通過以上步驟，可在Linux環境下完成Oracle用戶權限的全面設置，兼顧系統安全與數據庫管理的便利性。