數(shù)據(jù)庫安全管理實驗

1、.數(shù)據(jù)庫安全管理 18 /18數(shù)據(jù)庫安全管理實驗?zāi)康模豪斫釹QL Server2008安全檢查的三個層次：登錄名、用戶和權(quán)限；理解SQL Server 2008中固定角色與自定義角色并掌握通過角色進行授權(quán)的方法；掌握使用Grant/Revoke語句進行權(quán)限管理實驗環(huán)境及學(xué)時安排：1SQL SERVER20082學(xué)時：2學(xué)時實驗準(zhǔn)備：SQL Server2008的安全檢查分三個層次 登陸名：登陸服務(wù)器時進行身份驗證； 用戶：訪問數(shù)據(jù)庫須是數(shù)據(jù)庫的用戶或者是某一數(shù)據(jù)庫角色的成員； 權(quán)限:執(zhí)行語句時須有執(zhí)行權(quán)限因此如果一個用戶要在一個數(shù)據(jù)庫中執(zhí)行某條SQL語句必須首先為其創(chuàng)建登陸名（登錄名可以選擇W

2、indows認(rèn)證也可以選擇SQL Server認(rèn)證。如果選擇前者則要求該賬號必須是Windows賬號）。接著在數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶，并讓該用戶映射已創(chuàng)建的登錄名。最后通過GRANT命令或成為某個角色成員獲得該用戶執(zhí)行操作的權(quán)限。實驗內(nèi)容：1、 創(chuàng)建示例數(shù)據(jù)庫/表l 創(chuàng)建jiaoxue數(shù)據(jù)庫，并在該數(shù)據(jù)庫下創(chuàng)建Student、Course、SC三個基本表，分別在三個表中輸入必要的數(shù)據(jù)（該操作使用前面實驗的成果）。本次實驗的所有操作均在該數(shù)據(jù)庫下完成。2、 創(chuàng)建登陸名 用戶可以通過企業(yè)管理器或系統(tǒng)提供的存儲過程來進行登錄帳戶的創(chuàng)建。l 首先在Windows中創(chuàng)建用戶John，然后在Managem

3、ent Studio中創(chuàng)建登錄名John，選擇Windows身份驗證。注銷Windows以John重新登錄系統(tǒng)，點擊SQL Server工具欄上的“數(shù)據(jù)庫引擎查詢”按鈕，在彈出的“連接到數(shù)據(jù)庫引擎”窗口中選擇Windows驗證，使用剛創(chuàng)建的John賬號登陸。檢驗剛創(chuàng)建的登錄名是否成功。l 使用Management Studio創(chuàng)建登錄名xs, 密碼是123456，選擇SQL Server驗證方式，默認(rèn)數(shù)據(jù)庫為master。l 使用Create Login創(chuàng)建登陸名DB_user，密碼是zhimakaimen，SQL Server認(rèn)證方式，默認(rèn)數(shù)據(jù)庫為master的帳戶。CREATE LOGIN

4、 DB_user WITH PASSWORD='zhimakaimen', DEFAULT_DATABASE=master, DEFAULT_LANGUAGE=簡體中文, CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF3、修改和刪除登陸名已建立的登陸賬戶信息可以使用系統(tǒng)存儲過程來修改默認(rèn)數(shù)據(jù)庫、默認(rèn)語言、密碼或刪除用戶。l 使用Alter login將帳戶DB_user登錄名的默認(rèn)數(shù)據(jù)庫改為jiaoxue。alter login DB_user with default_database=jiaoxuel 使用Alter login將帳戶DB_us

5、er的密碼改為自己的學(xué)號。alter login DB_userwith password = '201041402134'l 使用Drop Login刪除用戶xs。DROP LOGIN xs4、創(chuàng)建數(shù)據(jù)庫用戶通過將服務(wù)器角色賦予不同的服務(wù)器登陸名，可以使之獲得服務(wù)器級別的權(quán)限。服務(wù)器角色主要是控制服務(wù)器端對請求數(shù)據(jù)庫資源的訪問權(quán)限，他允許或拒絕服務(wù)器登陸名的訪問操作，但是在設(shè)置具體數(shù)據(jù)庫的管理和操作權(quán)限方面，服務(wù)器對象的權(quán)限設(shè)置粒度過大。因此為了實現(xiàn)更細(xì)粒度的權(quán)限管理，sqlserver還提供了數(shù)據(jù)庫級別的對象：數(shù)據(jù)庫用戶（User）、數(shù)據(jù) 角色（Role）、數(shù)據(jù)庫架構(gòu)（Sc

6、hema）。這三個對象是針對每一個數(shù)據(jù)庫實例的，因此可以對單個數(shù)據(jù)庫實例進行細(xì)化權(quán)限劃分。擁有服務(wù)器角色sysadmin的登陸名將被映射為每一個數(shù)據(jù)庫的dbo用戶，因此可以在SQL Server2008中做任何操作（由此可見服務(wù)器角色權(quán)限粒度之大）。但對那些沒有sysadmin角色的登陸名對象，它需要擁有一個能訪問特定數(shù)據(jù)庫實例的數(shù)據(jù)庫用戶名（User）以實現(xiàn)對該數(shù)據(jù)庫的操作。比如說為登陸名Kelvin想要訪問teaching數(shù)據(jù)庫，但不具備 sysadmin的服務(wù)器角色。那么則在teaching數(shù)據(jù)庫中中創(chuàng)建一個名為user_Kelvin的數(shù)據(jù)庫用戶。TSQL：USE teaching; G

7、O; create user user_Kelvin for login Kelvin; 執(zhí)行之后，用Kelvin登陸名登錄的用戶與teaching下的user_Kelvin用戶建立起了關(guān)聯(lián)。l 使用Management Studio在Jiaoxue數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶John_user，該用戶映射登陸帳號John。l 使用Create User在Jiaoxue數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶DB_user,該用戶映射登陸用戶DB_user。CREATE USER DB_user FOR LOGIN DB_user5、創(chuàng)建架構(gòu)（SCHEMA）l 使用CREATE SCHEMA/Management S

8、tudio創(chuàng)建架構(gòu)MySchema。use jiaoxuegocreate schema MySchemal 使用T-SQL在該架構(gòu)下創(chuàng)建表abc（語法Create Table MySchema.abc(.)）。use jiaoxuegocreate schema MySchemaCreate Table MySchema.abc(id int)l 使用Alter Schema將Student所屬的架構(gòu)改為MySchema（參閱幫助中“用戶架構(gòu)分離”）。use jiaoxue goalter schema MySchema transfer dbo.Student6、修改/刪除數(shù)據(jù)庫用戶l 使

9、用Alter User將用戶名DB_user改為自己的isme。（由此可見登陸名和用戶名可以不一致，兩者是一種映射關(guān)系，并且這種映射關(guān)系是可以改變的）use jiaoxuegoalter user DB_userwith name=ismel 使用Management Studio修改用戶isme，使其擁有架構(gòu)MySchema。7、角色管理角色可以看作一組操作權(quán)限的集合。對一個角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員。可以建立一個角色來代表單位中一類工作人員所執(zhí)行的工作，然后給這個角色授予適當(dāng)?shù)臋?quán)限。當(dāng)工作人員開始工作時，只須將他們添加為該角色成員，當(dāng)他們離開工作時，將他們從該角色中

10、刪除。而不必在每個人接受或離開工作時，反復(fù)授予、拒絕和廢除其權(quán)限。權(quán)限在用戶成為角色成員時自動生效。用戶與角色的關(guān)系為：一個角色可以包含多個用戶；一個用戶可賦予多個角色，從而擁有多個角色的權(quán)限。SQL Server2008提供了服務(wù)器級別的角色和數(shù)據(jù)庫級別的角色。期中服務(wù)器級別的角色不允許用戶創(chuàng)建與修改，稱為固定服務(wù)器角色。而數(shù)據(jù)庫級別的角色包括固定數(shù)據(jù)庫角色、用戶自定義角色和應(yīng)用程序角色。（1）固定服務(wù)器角色l 使用系統(tǒng)存儲過程sp_helpsrvrole查看所有固定服務(wù)器角色，將發(fā)現(xiàn)包含以下角色：固定服務(wù)器角色 服務(wù)器級權(quán)限 Public有兩大特點，第一，初始狀態(tài)時沒有權(quán)限；第二，所有的數(shù)

11、據(jù)庫用戶都是它的成員。bulkadmin這個服務(wù)器角色的成員可以運行BULK INSERT語句。這條語句允許從文本文件中將數(shù)據(jù)導(dǎo)入到SQL Server 2008數(shù)據(jù)庫中，為需要執(zhí)行大容量插入到數(shù)據(jù)庫的域賬戶而設(shè)計。dbcreator這個服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。這不僅是適合助理DBA的角色，也可能是適合開發(fā)人員的角色。diskadmin這個服務(wù)器角色用于管理磁盤文件，比如鏡像數(shù)據(jù)庫和添加備份設(shè)備。它適合助理DBAprocessadminSQL Server 2008能夠多任務(wù)化，也就是說可以通過執(zhí)行多個進程做多個事件。例如，SQL Server 2008可以生成一

12、個進程用于向高速緩存寫數(shù)據(jù)，同時生成另一個進程用于從高速緩存中讀取數(shù)據(jù)。這個角色的成員可以結(jié)束（在SQL Server 2008中稱為刪除）進程。securityadmin這個服務(wù)器角色的成員將管理登錄名及其屬性。他們可以授權(quán)、拒絕和撤銷服務(wù)器級權(quán)限。也可以授權(quán)、拒絕和撤銷數(shù)據(jù)庫級權(quán)限。另外，它們可以重置SQL Server 2008登錄名的密碼。serveradmin這個服務(wù)器角色的成員可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器。例如SQL Server 2008可以使用多大內(nèi)存或監(jiān)視通過網(wǎng)絡(luò)發(fā)送多少信息，或者關(guān)閉服務(wù)器，這個角色可以減輕管理員的一些管理負(fù)擔(dān)。setupadmin為需要管理鏈接

13、服務(wù)器和控制啟動的存儲過程的用戶而設(shè)計。這個角色的成員能添加到setupadmin，能增加、刪除和配置鏈接服務(wù)器，并能控制啟動過程。sysadmin這個服務(wù)器角色的成員有權(quán)在SQL Server 2008中執(zhí)行任何任務(wù)。l 先使用create login創(chuàng)建SQL Server驗證登錄名newlogin，然后使用系統(tǒng)存儲過程sp_addsrvrolemember將登錄帳號添加為服務(wù)器角色dbcreator的成員，從而使其具有創(chuàng)建數(shù)據(jù)庫的權(quán)利。點擊“數(shù)據(jù)庫引擎查詢”按鈕，在彈出的連接到數(shù)據(jù)庫引擎窗口中使用新創(chuàng)建的newlogin賬號登陸服務(wù)器，在該服務(wù)器下創(chuàng)建數(shù)據(jù)庫，驗證新創(chuàng)建的登錄名在加入固定

14、服務(wù)器角色dbcreator前后權(quán)限的變化。create login newloginwith password = '12345'gosp_addsrvrolemember 'newlogin','dbcreator'連接不了：l 使用存儲過程sp_dropsrvrolemember收回分配給newlogin登錄帳戶的指定固定服務(wù)器角色dbcreator。sp_dropsrvrolemember 'newlogin','dbcreator'l 使用management studio完成以上操作。（2）固定數(shù)據(jù)庫角

15、色 每個數(shù)據(jù)庫中都有幾個由系統(tǒng)創(chuàng)建的數(shù)據(jù)庫角色-固定數(shù)據(jù)庫角色，這些角色的權(quán)限也由系統(tǒng)預(yù)先分配。與固定服務(wù)器角色不同，這些角色的權(quán)限可以修改，它們也能被刪除。固定數(shù)據(jù)庫角色的名稱及權(quán)限見下表： 固定數(shù)據(jù)庫角色數(shù)據(jù)庫級權(quán)限db_accessadmin該角色的成員可以從數(shù)據(jù)庫中增加或者刪除用戶。db_backupoperator該角色的成員允許備份數(shù)據(jù)庫db_datareader該角色的成員允許從任何表讀取任何數(shù)據(jù)。db_datawriter該角色的成員允許往任何表寫入數(shù)據(jù)。db_ddladmin該角色的成員允許在數(shù)據(jù)庫中增加、修改或者刪除任何對象（即可以執(zhí)行任何DDL語句）。db_denydat

16、areader該角色的成員被拒絕查看數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲過程來查看。db_denydatawriter該角色的成員被拒絕修改數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲過程來修改。db_owner該角色的用戶可以在數(shù)據(jù)庫中執(zhí)行任何操作。db_securityadmin該角色的成員可以更改數(shù)據(jù)庫中的權(quán)限和角色。Public在SSQL Server 2008中每個數(shù)據(jù)庫用戶都屬于public數(shù)據(jù)庫角色。當(dāng)尚未對某個用戶授予或者拒絕對安全對象的特定權(quán)限時，這該用戶將據(jù)稱授予該安全對象的public角色的權(quán)限，這個數(shù)據(jù)庫角色不能被刪除l 使用系統(tǒng)存儲過程sp_helpdbfix

17、edrole瀏覽所有的固定數(shù)據(jù)庫角色的相關(guān)內(nèi)容。l 使用Management Studio將用戶isme添加到db_datareader固定數(shù)據(jù)庫角色中，從而使該用戶可以查詢jiaoxue數(shù)據(jù)庫中的數(shù)據(jù)。該操作也可使用存儲過程sp_addrolemember實現(xiàn)。sp_addrolemember 'db_datareader','isme'l 使用Management Studio從db_datareader固定數(shù)據(jù)庫角色中刪除isme用戶，從而收回對jiaoxue數(shù)據(jù)庫的SELECT權(quán)限。該操作也可使用存儲過程sp_droprolemember實現(xiàn)。 sp_d

18、roprolemember 'db_datareader','isme'（3）自定義數(shù)據(jù)庫角色l 使用Management Studio創(chuàng)建數(shù)據(jù)庫角色Teacher，并使其擁有架構(gòu)MySchema。8.用戶的權(quán)限管理在數(shù)據(jù)庫中使用grant/revoke/deny實現(xiàn)用戶權(quán)限的管理，使其具有/不具有處理當(dāng)前數(shù)據(jù)庫中的數(shù)據(jù)或執(zhí)行特定的 Transact-SQL 語句權(quán)利。l 通過grant授予Teacher角色對student表的SELECT權(quán)限以及對SC表的全部權(quán)限use jiaoxuegogrant select on student to Teachergog