DB2 - 数据库安全 - 菜鸟教程

简述

本章介绍数据库安全性。

介绍

DB2 数据库和函数可以通过两种不同的安全控制模式进行管理：

验证
授权

验证

身份验证是确认用户仅根据执行其被授权执行的活动的权限进行登录的过程。用户身份验证可以在操作系统级别或数据库级别本身执行。通过使用视网膜和图形打印等生物特征的身份验证工具来防止数据库被黑客或恶意用户攻击。

可以从 db2 数据库系统外部管理数据库安全性。以下是一些类型的安全认证过程：

基于操作系统身份验证。
轻量级目录访问协议 (LDAP)

对于 DB2，安全服务是作为独立产品的操作系统的一部分。对于身份验证，它需要两个不同的凭据，即用户 ID 或用户名以及密码。

授权

您可以在由 DB2 数据库管理器管理的 DB2 数据库系统中访问 DB2 数据库及其功能。授权是一个由 DB2 数据库管理器管理的过程。管理器获取有关当前经过身份验证的用户的信息，这些信息表明用户可以执行或访问哪个数据库操作。

以下是可用于授权的不同权限方式：

Primary permission：直接授予授权ID。

Secondary permission：如果用户是成员，则授予组和角色

Public permission：公开授予所有用户。

Context-sensitive permission：授予受信任的上下文角色。

可以根据以下类别向用户授予授权：

系统级授权
系统管理员 [SYSADM]
系统控制 [SYSCTRL]
系统维护 [SYSMAINT]
系统监视器 [SYSMON]

权威机构提供对实例级功能的控制。权限提供给组权限，以控制维护和权限操作。例如，数据库和数据库对象。

数据库级授权
安全管理员 [SECADM]
数据库管理员 [DBADM]
访问控制 [ACCESSCTRL]
数据访问 [DATAACCESS]
SQL 管理员。[SQLADM]
工作负载管理管理员 [WLMADM]
解释[EXPLAIN]

当局在数据库中提供控制。数据库的其他权限包括 LDAD 和 CONNECT。

Object-Level Authorization：对象级授权涉及在对对象执行操作时验证权限。
Content-based Authorization：用户可以使用基于标签的访问控制 [LBAC] 对特定表上的各个行和列进行读写访问。

DB2 表和配置文件用于记录与授权名称相关的权限。当用户尝试访问数据时，记录的权限会验证以下权限：

用户的授权名称
用户属于哪个组
哪些角色直接授予用户或间接授予组
通过可信上下文获取的权限。

在使用 SQL 语句时，DB2 授权模型考虑以下权限的组合：

授予与 SQL 语句关联的主要授权 ID 的权限。
与 SQL 语句关联的辅助授权 ID。
授予公共
授予受信任上下文角色。

实例级权限

让我们讨论一些与实例相关的权限。

系统管理权限 (SYSADM)

它是实例级别的最高级别管理权限。具有 SYSADM 权限的用户可以在实例中执行一些数据库和数据库管理器命令。具有 SYSADM 权限的用户可以执行以下操作：

升级数据库
恢复数据库
更新数据库管理器配置文件。

系统控制权限 (SYSCTRL)

它是系统控制权限中的最高级别。它提供对数据库管理器实例及其数据库执行维护和实用程序操作。这些操作会影响系统资源，但它们不允许直接访问数据库中的数据。

具有 SYSCTRL 权限的用户可以执行以下操作：

更新数据库、节点或分布式连接服务 (DCS) 目录
强制用户离开系统级别
创建或删除数据库级别
创建、更改或删除表空间
使用任何表空间
恢复数据库

系统维护权限 (SYSMAINT)

它是二级系统控制权限。它提供对数据库管理器实例及其数据库执行维护和实用程序操作。这些操作会影响系统资源，而不允许直接访问数据库中的数据。此权限旨在让用户在包含敏感数据的数据库管理器实例中维护数据库。

只有具有 SYSMAINT 或更高级别系统权限的用户才能执行以下任务：

进行备份
恢复备份
前滚恢复
启动或停止实例
恢复表空间
执行 db2trc 命令
在实例级别用户或数据库级别用户的情况下拍摄系统监视器快照。

具有 SYSMAINT 的用户可以执行以下任务：

查询表空间的状态
更新日志历史文件
重新组织表格
使用 RUNSTATS（集合目录统计信息）

系统监控权限 (SYSMON)

使用此权限，用户可以监视或拍摄数据库管理器实例或其数据库的快照。SYSMON 权限使用户能够运行以下任务：

获取数据库管理器监控开关
获取监视器开关
获取快照
列表
- 列出活动数据库
- 列出应用程序
- 列出数据库分区组
- 列出 DCS 应用程序
- 列出软件包
- 列表表
- 列出表空间容器
- 列出表空间
- 列出实用程序
重置监视器
更新监视器开关

数据库权限

每个数据库权限都持有授权 ID 以对数据库执行某些操作。这些数据库权限不同于特权。以下是一些数据库权限的列表：

ACCESSCTRL：允许授予和撤销所有对象权限和数据库权限。

BINDADD：允许在数据库中创建一个新包。

CONNECT：允许连接到数据库。

CREATETAB：允许在数据库中创建新表。

CREATE_EXTERNAL_ROUTINE：允许创建由应用程序和数据库用户使用的过程。

DATAACCESS：允许访问存储在数据库表中的数据。

DBADM: 充当数据库管理员。它授予除 ACCESSCTRL、DATAACCESS 和 SECADM 之外的所有其他数据库权限。

EXPLAIN：允许解释查询计划，而无需他们拥有访问表中数据的权限。

IMPLICIT_SCHEMA：允许用户通过使用 CREATE 语句创建对象来隐式创建模式。

LOAD：允许将数据加载到表中。

QUIESCE_CONNECT：允许在静默时访问数据库（暂时禁用）。

SECADM：允许充当数据库的安全管理员。

SQLADM：允许监控和调整 SQL 语句。

WLMADM：允许充当工作负载管理员

权限

SETSESSIONUSER

授权 ID 权限涉及对授权 ID 的操作。只有一种权限，称为 SETSESSIONUSER 权限。它可以授予用户或组，它允许会话用户将身份切换到授予权限的任何授权 ID。此特权由用户 SECADM 权限授予。

架构权限

此权限涉及对数据库中模式的操作。模式的所有者拥有操作模式对象（如表、视图、索引、包、数据类型、函数、触发器、过程和别名）的所有权限。用户、组、角色或 PUBLIC 可以被授予以下权限的任何用户：

CREATEIN：允许在模式中创建对象
ALTERIN：允许修改模式中的对象。

DROPIN

这允许删除模式中的对象。

表空间权限

这些特权涉及对数据库中表空间的操作。用户可以被授予表空间的 USE 权限。然后，这些权限允许他们在表空间内创建表。权限所有者可以在创建表空间时使用 WITH GRANT OPTION 命令对表空间授予 USE 权限。并且 SECADM 或 ACCESSCTRL 权限具有对表空间使用权限的权限。

表和视图权限

用户必须对数据库具有 CONNECT 权限才能使用表和视图权限。表和视图的权限如下：

CONTROL

它为表或视图提供所有权限，包括删除和授予、撤销用户的单个表权限。

ALTER

它允许用户修改表。

DELETE

它允许用户从表或视图中删除行。

INDEX

它允许用户在表或视图中插入一行。它还可以运行导入实用程序。

REFERENCES

它允许用户创建和删除外键。

SELECT

它允许用户从表或视图中检索行。

UPDATE

它允许用户更改表、视图中的条目。

包权限

用户必须对数据库具有 CONNECT 权限。包是一个数据库对象，它包含数据库管理器的信息，以便以最有效的方式访问特定应用程序的数据。

CONTROL

它为用户提供重新绑定、删除或执行包的权限。具有此权限的用户被授予 BIND 和 EXECUTE 权限。

BIND

它允许用户绑定或重新绑定该包。

EXECUTE

允许执行一个包。

索引权限

此权限自动获得对索引的 CONTROL 权限。

序列权限

序列自动接收序列的 USAGE 和 ALTER 权限。

常规特权

它涉及例程的动作，例如数据库中的函数、过程和方法。