About Database Administrator Security and Privileges
نشر بواسطة : Obay Salah , November 17, 2024
لاداء المهام الخاصة بمسؤول قاعدة البيانات (DBA) فأنت بحاجة الي امتيازات وصلاحيات محددة وخاصة علي قواعد البيانات وربما علي نظام تشغيل الخادم الذي تعمل عليه قواعد البيانات، كما يجب التأكد من أن الوصول الي حساب مسؤول قاعدة البيانات يتم التحكم فيه بإحكام.
- The Database Administrator's Operating System Account:
لأداء العديد من المهام لمسؤول قاعدة البيانات يجب ان اكون قادراً علي تنفيذ أوامر علي نظام التشغيل ويعتمد ذلك علي نظام التشغيل الذي تعمل قواعد البيانات عليه، قد تحتاج لمعرفة حسابك علي نظام التشغيل، وقد يتطلب أن يكون حسابك علي نظام التشغيل به بعض الإمتيازات او حقوق الوصول التي لا يحتاجها مستخدم قاعدة البيانات العادي، فعلي سبيل الوصول انت بحاجة لصلاحيات اثناء تثبيت قاعدة البيانات علي الخادم لتخزين ملفات قاعدة البيانات علي نظام التشغيل.
- Administrative User Accounts:
توفر قاعدة البيانات اوركل العديد من المستخدمين المسؤولين عن إدارة قاعدة البيانات المرتبطة بامتيازات خاصة.
- About Administrative User Accounts:
حسابات المسؤولين عن إدارة قاعدة البيانات لها إمتيازات خاصة مطلوبة لإدارة قاعدة البيانات، مثل الإمتيازات:
- CREATE ANY TABLE
- ALTER SESSION
- EXECUTE privilege on packages owned by the SYS schema
المستخدمين الإداريين أدناه يتم انشاؤهم اثناء تثبيت الOracle Database:
- SYS
- SYSTEM
- SYSBACKUP
- SYSDG
- SYSKM
- SYSRAC
توصي أوركل بأن تقوم بإنشاء مستخدم إداري إضافي واحد علي الاقل ومنحه الإمتيازات المناسبة لاداء المهام الإدارية اليومية، لا تستخدم (SYS & SYSTEM) لهذه المهام.
- SYS:
عند إنشاء قاعدة البيانات اوركل يتم إنشاء المستخدم SYS بصورة الية بكامل الإمتيازات والصلاحيات، ويتم تخزين جميع الجداول الاساسية والViews الخاصة Data Dictionary في ال schema.
تعد هذه الجداول الأساسية والViews ضرورية لتشغيل قاعدة البيانات، وللحفاظ علي هذه الجداول والكائنات تتم معالجة هذه الجداول والViews في الSYS Schema عن طريق قاعدة البيانات فقط. ويجب أن لا يتم تعديلها بواسطة اي مستخدم او مسؤول قاعدة بيانات، ولا يجب لأي مستخدم إنشاء جداول او كائنات علي الSYS Schema.
تأكد من أن معظم مستخدمي قاعدة البيانات غير قادرين علي الإتصال بقاعدة البيانات من خلال المستخدم SYS.
- SYSTEM:
عند إنشاء قاعدة البيانات اوركل يتم إنشاء المستخدم SYSTEM بصورة الية ومنحه الصلاحية (DBA Role)، ويستخدم المستخدم SYSTEM ايضاً لتخزين جداول وViews إضافية تحوي معلومات إدارية، لا تستخدم المستخدم SYSTEM لتخزين جداول وكائنات تهم المستخدمين غير الإداريين.
- SYSBACKUP, SYSDG, SYSKM, and SYSRAC:
عند إنشاء قاعدة البيانات اوركل يتم إنشاء عدد من المستخدميت الإداريين تلقائياً بهدف تسهيل فصل المهام لمسؤولي قواعد البيانات:
- SYSBACKUP: لتسهيل عمليات النسخ الإحتياطي والإسترجاع (Backup & Recovery) عن طريق الأدارة (RMAN) او حتي من خلال .SQL*Plus
- SYSDG: لتسهيل عمليات الData Guard
- SYSKM: يسهل عمليات تشفير البيانات وتخزين مفاتيح التشفير.
- SYSRAC: يسهل عمليات ال Oracle Real Application Clusters (Oracle RAC)، كما يجب العلم بأن الSYSRAC غير مدعوم من الPassword File ويستخدم فقط من خلال Oracle agent of Oracle Clusterware للإتصال بقاعدة البيانات ويتم التحقق عن طريق نظام التشغيل.
جميع هذه الAdministrative User Account توفر إمتيازات إدارية وبنفس الإسم, فعلي وجه التحديد يتم توفير المستخدم SYSBACKUP للإمتياز SYSBACKUP وايضاً يتم توفير المستخدم SYSDG للإمتياز الإداري SYSDG وكذلك الحال يتم توفير المستخدم SYSKM للإمتياز الإداري SYSKM.
لإستخدام احد هذه الميزات الإدارية يجب علي المستخدم توضيح ذلك اثناء الإتصال بقاعدة البيانات فعلي سبيل المثال:
- AS SYSBACKUP
- AS SYSDG
- AS SYSKM
إذا تمت مصادقة الإتصال فسيتصل المستخدم بقاعدة البيانات من خلال الإمتياز المستخدم فعلي سبيل المثال فلو تم منح المستخدم BACKUP الصلاحية SYSBACKUP وقم المستخدم BACKUP بالاتصال بقاعدة البيانات من خلال هذا الإمتياز AS SYSBACKUP فسيتصل المستخدم بقاعدة البيانات من خلال المستخدم SYSBACKUP.
لا يمكن حذف هذه الحسابات الإدارية الAdministrative User Account كما هي ايضاً Schema Only Account بمعني انها يتم انشاؤها بدون Password تستطيع انت بعد ذلك اذافة الPassword لها متي أردت ذلك.
- The DBA Role:
يتم إنشاء الDBA Role اثناء تثبيت قاعدة البيانات وهي عبارة عن مجموعة من الصلاحيات الإدارية التي يحتاجها معظم مسؤولوا قواعد البيانات، كما يجب ان تمنح فقط لمسؤؤلي قواعد البيانات الفعليين ولا يجب منحها لمستخدمي قاعدة البيانات العاديين، كما أن الDBA Role لا تحتوي علي الإمتيازات (SYSDBA & SYSBACKUP & SYSDG & SYSKM & SYSRAC) وذلك أن تلك الإمتيازات الإدارية تسمح للمسؤولين من إداء مهام معينة بناءً علي الإمتياز الممنوح لهم.
Comments
لايوجد تعليق حتى الان