實(shí)驗(yàn)06數(shù)據(jù)庫(kù)安全管理_第1頁(yè)
實(shí)驗(yàn)06數(shù)據(jù)庫(kù)安全管理_第2頁(yè)
實(shí)驗(yàn)06數(shù)據(jù)庫(kù)安全管理_第3頁(yè)
實(shí)驗(yàn)06數(shù)據(jù)庫(kù)安全管理_第4頁(yè)
實(shí)驗(yàn)06數(shù)據(jù)庫(kù)安全管理_第5頁(yè)
已閱讀5頁(yè),還剩13頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、實(shí)驗(yàn)六 數(shù)據(jù)庫(kù)安全管理 18 /18實(shí)驗(yàn)六 數(shù)據(jù)庫(kù)安全管理系別:計(jì)算機(jī)科學(xué)與技術(shù)系 專業(yè)班級(jí):計(jì)算機(jī)科學(xué)與技術(shù)5班 姓名: 學(xué)號(hào):實(shí)驗(yàn)日期:2013年11月29日 驗(yàn)報(bào)告日期:2013年12 月 1 日實(shí)驗(yàn)?zāi)康模豪斫釹QL Server2005安全檢查的三個(gè)層次:登錄名、用戶和權(quán)限;理解SQL Server 2005中固定角色與自定義角色并掌握通過角色進(jìn)行授權(quán)的方法;掌握使用Grant/Revoke語句進(jìn)行權(quán)限管理實(shí)驗(yàn)環(huán)境及學(xué)時(shí)安排:1SQL SERVER20052學(xué)時(shí):2學(xué)時(shí)實(shí)驗(yàn)準(zhǔn)備:SQL Server2005的安全檢查分三個(gè)層次 登陸名:登陸服務(wù)器時(shí)進(jìn)行身份驗(yàn)證; 用戶:訪問數(shù)據(jù)庫(kù)須是數(shù)

2、據(jù)庫(kù)的用戶或者是某一數(shù)據(jù)庫(kù)角色的成員; 權(quán)限:執(zhí)行語句時(shí)須有執(zhí)行權(quán)限因此如果要一個(gè)用戶在一個(gè)數(shù)據(jù)庫(kù)中執(zhí)行某條SQL語句必須首先為其創(chuàng)建登陸名(登錄名可以選擇Windows認(rèn)證也可以選擇SQL Server認(rèn)證。如果選擇前者則要求該賬號(hào)必須是Windows賬號(hào))。接著在數(shù)據(jù)庫(kù)中創(chuàng)建數(shù)據(jù)庫(kù)用戶,并讓該用戶映射已創(chuàng)建的登錄名。最后通過GRANT命令或成為某個(gè)角色成員獲得該用戶執(zhí)行操作的權(quán)限。實(shí)驗(yàn)內(nèi)容:1、 創(chuàng)建示例數(shù)據(jù)庫(kù)/表l 創(chuàng)建jiaoxue數(shù)據(jù)庫(kù),并在該數(shù)據(jù)庫(kù)下創(chuàng)建Student、Course、SC三個(gè)基本表,分別在三個(gè)表中輸入必要的數(shù)據(jù)(該操作使用前面實(shí)驗(yàn)的成果)。本次實(shí)驗(yàn)的所有操作均在該數(shù)

3、據(jù)庫(kù)下完成。略。2、 創(chuàng)建登陸名 用戶可以通過企業(yè)管理器或系統(tǒng)提供的存儲(chǔ)過程來進(jìn)行登錄帳戶的創(chuàng)建。l 首先在Windows中創(chuàng)建用戶John,然后在Management Studio中創(chuàng)建登錄名John,選擇Windows身份驗(yàn)證。完成后點(diǎn)擊工具欄上的“數(shù)據(jù)庫(kù)引擎查詢”按鈕,在彈出的“連接到數(shù)據(jù)庫(kù)引擎”窗口中選擇Windows驗(yàn)證,使用剛創(chuàng)建的John賬號(hào)登陸。檢驗(yàn)剛創(chuàng)建的登錄名是否成功。l 使用Management Studio創(chuàng)建登錄名xs, 密碼是123456,選擇SQL Server驗(yàn)證方式,默認(rèn)數(shù)據(jù)庫(kù)為master。點(diǎn)擊右鍵新建登錄名l 使用Create Login創(chuàng)建登陸賬戶DB_

4、user,密碼是zhimakaimen,SQL Server認(rèn)證方式,默認(rèn)數(shù)據(jù)庫(kù)為master的帳戶。SQL語句為:create login DB_user with password=zhimakaimen, default_database=master;3、修改和刪除登陸名已建立的登陸賬戶信息可以使用系統(tǒng)存儲(chǔ)過程來修改默認(rèn)數(shù)據(jù)庫(kù)、默認(rèn)語言、密碼或刪除用戶。l 使用Alter login將帳戶DB_user登錄名的默認(rèn)數(shù)據(jù)庫(kù)改為jiaoxue。l 使用Alter login將帳戶DB_user的密碼改為自己的學(xué)號(hào)。alter login DB_user with default_datab

5、ase=jiaoxue,password=200741402216;l 使用Drop Login刪除用戶lvhao。drop login lvhao;lvhao從欄目中消失注意:在SQL Server中刪除登陸名時(shí),有很多限制。主要有以下幾種情況:a) 系統(tǒng)帳戶sa不能被刪除;b) 已經(jīng)映射到數(shù)據(jù)庫(kù)用戶上的登陸名不能被刪除;c) 正在使用或連接的登陸名不能被刪除;d) 擁有數(shù)據(jù)庫(kù)的登陸名不能被刪除4、創(chuàng)建數(shù)據(jù)庫(kù)用戶通過將服務(wù)器角色賦予不同的服務(wù)器登陸名,可以使之獲得服務(wù)器級(jí)別的權(quán)限。服務(wù)器角色主要是控制服務(wù)器端對(duì)請(qǐng)求數(shù)據(jù)庫(kù)資源的訪問權(quán)限,他允許或拒絕服務(wù)器登陸名的訪問操作,但是在設(shè)置具體數(shù)據(jù)庫(kù)

6、的管理和操作權(quán)限方面,服務(wù)器對(duì)象的權(quán)限設(shè)置粒度過大。因此為了實(shí)現(xiàn)更細(xì)粒度的權(quán)限管理,sqlserver還提供了數(shù)據(jù)庫(kù)級(jí)別的對(duì)象:數(shù)據(jù)庫(kù)用戶(User)、數(shù)據(jù) 角色(Role)、數(shù)據(jù)庫(kù)架構(gòu)(Schema)。這三個(gè)對(duì)象是針對(duì)每一個(gè)數(shù)據(jù)庫(kù)實(shí)例的,因此可以對(duì)單個(gè)數(shù)據(jù)庫(kù)實(shí)例進(jìn)行細(xì)化權(quán)限劃分。對(duì)于擁有服務(wù)器角色sysadmin的登陸名對(duì)象,它可以SQL Server2005中做任何操作(由此可見服務(wù)器角色權(quán)限粒度之大)。但對(duì)那些沒有sysadmin角色的登陸名對(duì)象,它需要擁有一個(gè)能訪問特定數(shù)據(jù)庫(kù)實(shí)例的數(shù)據(jù)庫(kù)用戶名(User)以實(shí)現(xiàn)對(duì)該數(shù)據(jù)庫(kù)的操作。比如說為登陸名Kelvin想要訪問AdventureWor

7、ks數(shù)據(jù)庫(kù),但不具備 sysadmin的服務(wù)器角色。那么則在AdventureWorks數(shù)據(jù)庫(kù)中中創(chuàng)建一個(gè)名為user_Kelvin的數(shù)據(jù)庫(kù)用戶。TSQL:USE AdventureWorks; GO; create user user_Kelvin for login Kelvin; 執(zhí)行之后,用Kelvin登陸名登錄的用戶與AdventureWorks下的user_Kelvin用戶建立起了關(guān)聯(lián)。l 使用Management Studio在Jiaoxue數(shù)據(jù)庫(kù)中創(chuàng)建數(shù)據(jù)庫(kù)用戶John,該用戶映射登陸帳號(hào)John。右鍵新建用戶名點(diǎn)擊確定就完成了出現(xiàn)了新建的數(shù)據(jù)庫(kù)用戶名johnl 使用Creat

8、e User在Jiaoxue數(shù)據(jù)庫(kù)中創(chuàng)建數(shù)據(jù)庫(kù)用戶DB_user,該用戶映射登陸用戶DB_user。 use jiaoxuegocreate user DB_user from login DB_usergo創(chuàng)建了數(shù)據(jù)庫(kù)用戶DB_user5、創(chuàng)建架構(gòu)(SCHEMA)l 使用CREATE SCHEMA/Management Studio創(chuàng)建架構(gòu)demo。create schema demo authorization DB_user6、修改/刪除數(shù)據(jù)庫(kù)用戶l 使用Alter User將用戶名DB_user改為自己的isme。(由此可見登陸名和用戶名可以不一致,兩者是一種映射關(guān)系,并且這種映射關(guān)系

9、是可以改變的)use jiaoxuealter user DB_user with name=zhangjt;l 使用Management Studio修改用戶isme,使其擁有架構(gòu)demo。6、角色管理角色可以看作一組操作權(quán)限的集合。對(duì)一個(gè)角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員??梢越⒁粋€(gè)角色來代表單位中一類工作人員所執(zhí)行的工作,然后給這個(gè)角色授予適當(dāng)?shù)臋?quán)限。當(dāng)工作人員開始工作時(shí),只須將他們添加為該角色成員,當(dāng)他們離開工作時(shí),將他們從該角色中刪除。而不必在每個(gè)人接受或離開工作時(shí),反復(fù)授予、拒絕和廢除其權(quán)限。權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效。用戶與角色的關(guān)系為:一個(gè)角色可以包含多

10、個(gè)用戶;一個(gè)用戶可賦予多個(gè)角色,從而擁有多個(gè)角色的權(quán)限。SQL Server2005提供了服務(wù)器級(jí)別的角色和數(shù)據(jù)庫(kù)級(jí)別的角色。期中服務(wù)器級(jí)別的角色不允許用戶創(chuàng)建與修改,稱為固定服務(wù)器角色。而數(shù)據(jù)庫(kù)級(jí)別的角色包括固定數(shù)據(jù)庫(kù)角色、用戶自定義角色和應(yīng)用程序角色。(1)固定服務(wù)器角色l 使用系統(tǒng)存儲(chǔ)過程sp_helpsrvrole查看所有固定服務(wù)器角色,將發(fā)現(xiàn)包含以下角色:exec sp_helpsrvrole;固定服務(wù)器角色 服務(wù)器級(jí)權(quán)限 bulkadmin已授予:ADMINISTER BULK OPERATIONSdbcreator已授予:CREATE DATABASEdiskadmin已授予:A

11、LTER RESOURCESprocessadmin已授予:ALTER ANY CONNECTION、ALTER SERVER STATEsecurityadmin已授予:ALTER ANY LOGINserveradmin已授予:ALTER ANY ENDPOINT、ALTER RESOURCES、ALTER SERVER STATE、ALTER SETTINGS、SHUTDOWN、VIEW SERVER STATEsetupadmin已授予:ALTER ANY LINKED SERVERsysadmin已使用 GRANT 選項(xiàng)授予:CONTROL SERVERl 先使用create log

12、in創(chuàng)建SQL Server驗(yàn)證登錄名newlogin,然后使用系統(tǒng)存儲(chǔ)過程sp_addsrvrolemember將登錄帳號(hào)添加為服務(wù)器角色dbcreator的成員,從而使其具有創(chuàng)建數(shù)據(jù)庫(kù)的權(quán)利。點(diǎn)擊“數(shù)據(jù)庫(kù)引擎查詢”按鈕,在彈出的連接到數(shù)據(jù)庫(kù)引擎窗口中使用新創(chuàng)建的newlogin賬號(hào)登陸服務(wù)器,在該服務(wù)器下創(chuàng)建數(shù)據(jù)庫(kù),驗(yàn)證新創(chuàng)建的登錄名在加入固定服務(wù)器角色dbcreator前后權(quán)限的變化。create login newloginwith password=123;exec sp_addsrvrolemember newlogin,dbcreator;l 使用存儲(chǔ)過程sp_dropsrvro

13、lemember收回分配給newlogin登錄帳戶的指定固定服務(wù)器角色dbcreator。exec sp_dropsrvrolemember newlogin,dbcreator;回收分配給newlogin的服務(wù)器角色dbcreator,就不能創(chuàng)建數(shù)據(jù)庫(kù)了,會(huì)出現(xiàn)錯(cuò)誤l 使用management studio完成以上操作。略.(2)固定數(shù)據(jù)庫(kù)角色 每個(gè)數(shù)據(jù)庫(kù)中都有幾個(gè)由系統(tǒng)創(chuàng)建的數(shù)據(jù)庫(kù)角色-固定數(shù)據(jù)庫(kù)角色,這些角色的權(quán)限也由系統(tǒng)預(yù)先分配。與固定服務(wù)器角色不同,這些角色的權(quán)限可以修改,它們也能被刪除。固定數(shù)據(jù)庫(kù)角色的名稱及權(quán)限見下表: 固定數(shù)據(jù)庫(kù)角色 數(shù)據(jù)庫(kù)級(jí)權(quán)限 服務(wù)器級(jí)權(quán)限 db_acces

14、sadmin已授予:ALTER ANY USER、CREATE SCHEMA已授予:VIEW ANY DATABASEdb_accessadmin已使用 GRANT 選項(xiàng)授予:CONNECTdb_backupoperator已授予:BACKUP DATABASE、BACKUP LOG、CHECKPOINT已授予:VIEW ANY DATABASEdb_datareader已授予:SELECT已授予:VIEW ANY DATABASEdb_datawriter已授予:DELETE、INSERT、UPDATE已授予:VIEW ANY DATABASEdb_ddladmin已授予:ALTER ANY

15、 ASSEMBLY、ALTER ANY ASYMMETRIC KEY、ALTER ANY CERTIFICATE、ALTER ANY CONTRACT、ALTER ANY DATABASE DDL TRIGGER、ALTER ANY DATABASE EVENT、NOTIFICATION、ALTER ANY DATASPACE、ALTER ANY FULLTEXT CATALOG、ALTER ANY MESSAGE TYPE、ALTER ANY REMOTE SERVICE BINDING、ALTER ANY ROUTE、ALTER ANY SCHEMA、ALTER ANY SERVICE、A

16、LTER ANY SYMMETRIC KEY、CHECKPOINT、CREATE AGGREGATE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE QUEUE、CREATE RULE、CREATE SYNONYM、CREATE TABLE、CREATE TYPE、CREATE VIEW、CREATE XML SCHEMA COLLECTION、REFERENCES已授予:VIEW ANY DATABASEdb_denydatareader已拒絕:SELECT已授予:VIEW ANY DATABASEdb_denydatawrite

17、r已拒絕:DELETE、INSERT、UPDATEdb_owner已使用 GRANT 選項(xiàng)授予:CONTROL已授予:VIEW ANY DATABASEdb_securityadmin已授予:ALTER ANY APPLICATION ROLE、ALTER ANY ROLE、CREATE SCHEMA、VIEW DEFINITION已授予:VIEW ANY DATABASEl 使用系統(tǒng)存儲(chǔ)過程sp_helpdbfixedrole瀏覽所有的固定數(shù)據(jù)庫(kù)角色的相關(guān)內(nèi)容。exec sp_helpdbfixedrole;l 使用Management Studio將用戶isme添加到db_dataread

18、er固定數(shù)據(jù)庫(kù)角色中,從而使該用戶可以查詢jiaoxue數(shù)據(jù)庫(kù)中的數(shù)據(jù)(注:db_datareader角色已被賦予Select權(quán)限)。該操作也可使用存儲(chǔ)過程sp_addrolemember實(shí)現(xiàn)。使用Management Studio操作 右鍵屬性勾住db_datareader選項(xiàng),完成SQL語句完成use jiaoxueexec sp_addrolemember db_datareader,zhangjt;l 使用Management Studio從db_datareader固定數(shù)據(jù)庫(kù)角色中刪除isme用戶,從而收回對(duì)jiaoxue數(shù)據(jù)庫(kù)的SELECT權(quán)限。該操作也可使用存儲(chǔ)過程sp_drop

19、rolemember實(shí)現(xiàn)。使用Management Studio完成略.使用SQL語句完成use jiaoxueexec sp_droprolemember db_datareader,zhangjt;(3)自定義數(shù)據(jù)庫(kù)角色l 使用Management Studio創(chuàng)建數(shù)據(jù)庫(kù)角色Teacher,并使其擁有架構(gòu)demo。右鍵-新建數(shù)據(jù)庫(kù)角色完成7.用戶的權(quán)限管理在數(shù)據(jù)庫(kù)中使用grant/revoke/deny實(shí)現(xiàn)用戶權(quán)限的管理,使其具有/不具有處理當(dāng)前數(shù)據(jù)庫(kù)中的數(shù)據(jù)或執(zhí)行特定的 Transact-SQL 語句權(quán)利。l 通過grant授予Teacher角色對(duì)student表的SELECT權(quán)限以及對(duì)SC表的全部權(quán)限use jiaoxuegrant select on student to Teacher;grant all privi

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論