教程 > DB2 教程 > DB2 基础 阅读:31

DB2 数据库安全

本章介绍数据库安全。

简介

DB2 数据库和功能可以通过两种不同的安全控制模式进行管理:

  1. 验证
  2. 授权

验证

身份验证是确认用户仅根据执行他被授权执行的活动的权利登录的过程。 用户身份验证可以在操作系统级别或数据库级别本身执行。 通过使用视网膜和图形打印等生物识别验证工具,可以防止数据库被黑客或恶意用户攻击。

可以从 db2 数据库系统外部管理数据库安全性。 以下是一些类型的安全认证过程:

  • 基于操作系统身份验证。
  • 轻型目录访问协议 (LDAP)

对于 DB2,安全服务是操作系统的一部分,是一个独立的产品。 对于身份验证,它需要两个不同的凭据,即用户标识或用户名和密码。

授权

我们可以在由 DB2 数据库管理器管理的 DB2 数据库系统中访问 DB2 数据库及其功能。 授权是由 DB2 数据库管理器管理的过程。 管理器获取有关当前经过身份验证的用户的信息,该信息指示用户可以执行或访问的数据库操作。

以下是可用于授权的不同权限方式:

  • 初级权限 :直接授予授权ID。
  • 二级权限 :如果用户是成员,则授予组和角色
  • 公共许可 :公开授予所有用户。
  • 上下文相关权限 :授予受信任的上下文角色。

可以根据以下类别向用户授予权限:

  • 系统级授权
  • 系统管理员 [SYSADM]
  • 系统控制 [SYSCTRL]
  • 系统维护 [SYSMAINT]
  • 系统监视器 [SYSMON]

当局提供对实例级功能的控制。 权限提供给组权限,控制维护和权限操作。 例如,数据库和数据库对象。

  • 数据库级授权
  • 安全管理员 [SECADM]
  • 数据库管理员 [DBADM]
  • 访问控制 [ACCESSCTRL]
  • 数据访问 [DATAACCESS]
  • SQL 管理员。 [SQLADM]
  • 工作负载管理管理员 [WLMADM]
  • 解释[EXPLAIN]

当局在数据库中提供控制。 数据库的其他权限包括 LDAD 和 CONNECT。

  • 对象级授权 :对象级授权涉及在对对象执行操作时验证权限。
  • 基于内容的授权 :用户可以使用基于标签的访问控制 [LBAC] 对特定表上的各个行和列进行读写访问。

DB2 表和配置文件用于记录与授权名称关联的权限。 当用户尝试访问数据时,记录的权限会验证以下权限:

  • 用户授权名称
  • 用户属于哪个组
  • 哪些角色直接授予用户或间接授予组
  • 通过可信上下文获取的权限。

在处理 SQL 语句时,DB2 授权模型会考虑以下权限的组合:

  • 授予与 SQL 语句关联的主要授权 ID 的权限。
  • 与 SQL 语句关联的二级授权 ID。
  • 授予公众
  • 授予受信任的上下文角色。

实例级权限

让我们讨论一些与实例相关的权限。

系统管理权限 (SYSADM)

它是实例级别的最高级别管理权限。 具有 SYSADM 权限的用户可以在实例中执行一些数据库和数据库管理器命令。 具有 SYSADM 权限的用户可以执行以下操作:

  • 升级数据库
  • 恢复数据库
  • 更新数据库管理器配置文件。

系统控制权限(SYSCTRL)

它是系统控制权限中的最高级别。 它提供对数据库管理器实例及其数据库执行维护和实用程序操作。 这些操作会影响系统资源,但它们不允许直接访问数据库中的数据。

具有 SYSCTRL 权限的用户可以执行以下操作:

  • 更新数据库、节点或分布式连接服务 (DCS) 目录
  • 强制用户离开系统级
  • 创建或删除数据库级别
  • 创建、更改或删除表空间
  • 使用任何表空间
  • 恢复数据库

系统维护权限(SYSMAINT)

它是二级系统控制权限。 它提供对数据库管理器实例及其数据库执行维护和实用程序操作。 这些操作会影响系统资源,而不允许直接访问数据库中的数据。 此权限旨在让用户在包含敏感数据的数据库管理器实例中维护数据库。

只有具有 SYSMAINT 或更高级别系统权限的用户才能执行以下任务:

  • 备份
  • 恢复备份
  • 前滚恢复
  • 启动或停止实例
  • 恢复表空间
  • 执行 db2trc 命令
  • 在实例级用户或数据库级用户的情况下拍摄系统监视器快照。

具有 SYSMAINT 的用户可以执行以下任务:

  • 查询表空间的状态
  • 更新日志历史文件
  • 表的重组
  • 使用 RUNSTATS(集合目录统计信息)

系统监控权限(SYSMON)

有了这个权限,用户就可以监视或拍摄数据库管理器实例或其数据库的快照。 SYSMON 权限使用户能够运行以下任务:

  • 获取数据库管理器监控开关
  • 获取监听开关
  • 获取快照
  • 列表
    • 列出活动数据库
    • 列出应用程序
    • 列出数据库分区组
    • 列出 DCS 应用程序
    • 列出包裹
    • 清单表
    • 列出表空间容器
    • 列出表空间
    • 列出实用程序
  • 重置显示器
  • 更新监控开关

数据库权限

每个数据库权限都持有授权 ID 以对数据库执行某些操作。 这些数据库权限不同于特权。 以下是一些数据库权限的列表:

  • ACCESSCTRL :允许授予和撤销所有对象权限和数据库权限。
  • BINDADD :允许在数据库中创建一个新包。
  • CONNECT :允许连接到数据库。
  • CREATETAB :允许在数据库中创建新表。
  • CREATE_EXTERNAL_ROUTINE :允许创建供应用程序和数据库用户使用的过程。
  • DATAACCESS :允许访问存储在数据库表中的数据。
  • DBADM :充当数据库管理员。 它赋予除 ACCESSCTRLDATAACCESSSECADM 之外的所有其他数据库权限。
  • EXPLAIN :允许解释查询计划而不要求他们持有访问表中数据的特权。
  • IMPLICIT_SCHEMA :允许用户通过使用 CREATE 语句创建对象来隐式创建模式。
  • LOAD :允许将数据加载到表中。
  • QUIESCE_CONNECT :允许在停顿(暂时禁用)时访问数据库。
  • SECADM :允许充当数据库的安全管理员。
  • SQLADM :允许监视和调整 SQL 语句。
  • WLMADM :允许充当工作负载管理员

权限

SETSESSIONUSER

授权 ID 特权涉及对授权 ID 的操作。 只有一种特权,称为 SETSESSIONUSER 特权。 它可以授予用户或组,它允许会话用户将身份切换到授予特权的任何授权 ID。 此特权由用户 SECADM 权限授予。

架构权限

此权限涉及对数据库中模式的操作。 模式的所有者拥有操作模式对象(如表、视图、索引、包、数据类型、函数、触发器、过程和别名)的所有权限。 可以向用户、组、角色或 PUBLIC 授予以下权限的任何用户:

  • CREATEIN:允许在模式中创建对象
  • ALTERIN:允许修改模式中的对象。

DROPIN

这允许删除模式中的对象。

表空间权限

这些特权涉及对数据库中表空间的操作。 用户可以被授予表空间的 USE 权限。 然后,这些特权允许他们在表空间内创建表。 创建表空间时,权限所有者可以在表空间上使用 WITH GRANT OPTION 命令授予 USE 权限。 并且 SECADMACCESSCTRL 权限具有对表空间的 USE 权限。

表和视图权限

用户必须对数据库具有 CONNECT 权限才能使用表和视图权限。 表和视图的权限如下:

CONTROL

它为用户提供表或视图的所有权限,包括删除和授予、撤销单个表权限。

ALTER

它允许用户修改表。

DELETE

它允许用户从表或视图中删除行。

INDEX

它允许用户向表或视图中插入一行。 它还可以运行导入实用程序。

REFERENCES

它允许用户创建和删除外键。

SELECT

它允许用户从表或视图中检索行。

UPDATE

它允许用户更改表、视图中的条目。

包权限

用户必须对数据库具有 CONNECT 权限。 包是一个数据库对象,其中包含数据库管理器的信息,以便为特定应用程序以最有效的方式访问数据。

CONTROL

它为用户提供重新绑定、删除或执行包的权限。 具有此权限的用户被授予 BIND 和 EXECUTE 权限。

BIND

它允许用户绑定或重新绑定该包。

EXECUTE

允许执行一个包。

索引特权

此权限自动接收对索引的 CONTROL 权限。

序列特权

序列自动接收对该序列的 USAGEALTER 权限。

例行特权

它涉及例程的操作,例如数据库中的函数、过程和方法。

查看笔记

扫码一下
查看教程更方便