Dette kapitlet beskriver database sikkerhet
Innledning
DB2-database og funksjoner kan styres av to forskjellige moduser av sikkerhetskontroller:
Autentisering
Autorisasjon
autentisering
Autentisering er prosessen med å bekrefte at en bruker logger inn bare i samsvar med rettighetene til å utføre de aktiviteter han er autorisert til å utføre . Brukerautentisering kan utføres på operativsystemnivå eller databasenivå selv. Ved å bruke autentiseringsverktøy for biometri som netthinnen og figur utskrifter er i bruk for å holde databasen fra hackere eller ondsinnede brukere.
database sikkerhet kan styres fra utsiden DB2-databasesystemet. Her er noen type sikkerhet godkjenningsprosessen:
Basert på Operativsystem godkjenninger
Lightweight Directory Access Protocol (LDAP)
For DB2, er sikkerhetstjeneste. en del av operativsystemet som et eget produkt. For godkjenning, krever det to forskjellige legitimasjon, de er brukerid eller brukernavn og passord.
Autorisasjon
Du kan få tilgang til DB2-database og dens funksjonalitet i DB2 databasesystem, som ledes av DB2 Database manager. Fullmakten er en prosess styrt av DB2-database manager. Lederen får informasjon om gjeldende godkjent bruker, som indikerer hvilken database drift brukeren kan utføre eller tilgang
Her er ulike måter tillatelser tilgjengelig for autorisasjon:.
Primær tillatelse
: Grants fullmakten ID direkte
Sekundær tillatelse Bilde:. Tilskudd til gruppene og roller hvis brukeren er medlem
Offentlig tillatelse Anmeldelser : Tilskudd til alle brukere offentlig tilgjengelig
Kontekstavhengig tillatelse Bilde:. Tilskudd til den klarerte konteksten rolle
Autorisasjon kan gis til brukere basert på kategoriene nedenfor:.
System-nivå autorisasjon
System administrator [SYSADM]
System Control [SYSCTRL]
System vedlikehold [SYSMAINT]
Systemmonitor [SYSMON]
Myndighetene gir kontroll over forekomst-nivå funksjonalitet. Tilsynet gir til grupperettigheter, for å kontrollere vedlikehold og myndighet operasjoner. For eksempel, database og databaseobjekter.
Security Administrator [SECADM]
Database Administrator [DBADM]
Tilgang kontroll [ACCESSCTRL]
Datatilgang [Dataaccess]
SQL administrator. [SQLADM]
arbeidsmengde ledelse administrator [WLMADM]
Forklar [FORKLARE]
Myndighetene gi kontroller i databasen. Andre myndigheter for database inkludere med LDAD og CONNECT
Objekt-Level Authorization
:.. Object-Level autorisasjon innebærer verifisere privilegier når en operasjon utføres på et objekt
< b> Innhold baserte Authorization Bilde:. Brukeren kan ha lese- og skrivetilgang til enkelte rader og kolonner på en bestemt tabell ved hjelp Etikett-basert tilgangskontroll [LBAC]
DB2 tabeller og konfigurasjonsfiler brukes til å ta opp rettighetene knyttet til autorisasjons navn. Når en bruker prøver å få tilgang til dataene, de registrerte tillatelser bekrefte følgende tillatelser:
Autorisasjon navnet på brukeren
Hvilken gruppe tilhører brukeren
Hvilke roller er innvilget direkte til brukeren eller indirekte til en gruppe
Tillatelser ervervet gjennom en betrodd sammenheng
Mens arbeidet med SQL-setninger, vurderer DB2 modell kombinasjonen av følgende tillatelser.:
Tillatelser gitt til den primære autorisasjon ID knyttet til SQL-setninger.
Sekundære autorisasjons IDer knyttet til SQL-setninger.
Gitt til PUBLIC
Godkjente til den klarerte konteksten rolle.
Instance nivå myndigheter
La oss diskutere noen forekomstrelaterte myndigheter.
System administrasjon myndighet (SYSADM)
Det er høyeste nivå forvaltningsmyndighet på forekomstnivå. Brukere med SYSADM myndighet kan utføre noen databaser og databasesystemet kommandoer i forekomsten. Brukere med SYSADM myndighet kan utføre følgende operasjoner:
Oppgrader en Database
Gjenopprett en Database
Update Database systemets konfigurasjonsfil
<. h3> System tilsyn (SYSCTRL)
Det er det høyeste nivået i System kontrollmyndighet. Det gir til å utføre vedlikehold og funksjonsoperasjoner mot forekomsten av databasesystemet og dets databaser. Disse operasjonene kan påvirke systemressurser, men de tillater ikke direkte tilgang til data i databasen
Brukere med SYSCTRL myndighet kan utføre følgende handlinger:.
Å tvinge brukerne av systemet nivå
Opprette eller slippe en database-nivå
Opprette, endre, eller slippe en tabellplass
Hvis du bruker en tabellplass
Gjenopprette Database
System vedlikehold myndighet (SYSMAINT)
Det er et annet nivå av systemtilsyn. Det gir til å utføre vedlikehold og funksjonsoperasjoner mot forekomsten av databasesystemet og dets databaser. Disse operasjonene påvirker systemressurser uten å tillate direkte tilgang til data i databasen. Fullmakten er utformet for brukere å opprettholde databaser innen en databasesystemet forekomst som inneholder sensitive data
Bare brukere med SYSMAINT eller høyere nivå system myndigheter kan utføre følgende oppgaver:.
Gjenopprette backup
Roll frem utvinning
Starte eller stoppe eksempel
Gjenopprette tabell
Utfører db2trc kommando
Tar system monitor øyeblikksbilder i tilfelle av en forekomst nivå bruker eller en databasenivå brukeren
En bruker med SYSMAINT kan utføre følgende oppgaver:.
Query tilstanden til en tabell
Oppdatering logg historie filer
omorganisere tabeller
Bruke RUNSTATS (Collection Katalog statistikk)
systemovervåking (SYSMON)
Med denne myndigheten, kan brukeren overvåke eller ta øyeblikksbilder av databasesystemet forekomsten eller databasen. SYSMON myndighet gjør det mulig for brukeren å kjøre følgende oppgaver:
GET DATABASE MANAGER MONITOR BRYTERE
GET MONITOR BRYTERE
GET SNAPSHOT
LISTE
LIST AKTIVE DATABASENE
programvarelisten
LISTE databasepartisjonsgrupper
LIST DCS APPLICATIONS
LIST PAKKER
liste Bord
LIST TABLE CONTAINERE
LIST TABLE
LISTE UTITLITIES
RESET MONITOR
UPDATE MONITOR BRYTERE
< h2> Database myndigheter
Hver database myndighet innehar autorisasjon ID for å utføre en handling på databasen. Disse database myndigheter er forskjellig fra privilegier. Her er en liste over noen database myndigheter:
ACCESSCTRL Bilde: gjør det mulig å gi og frata alle objekt privilegier og database myndigheter
BINDADD Bilde:. Tillater å opprette en ny pakke i databasen
CONNECT Bilde:. Tillater å koble til databasen
CREATETAB Bilde:. Gjør det mulig å opprette nye tabeller i databasen
CREATE_EXTERNAL_ROUTINE Bilde:. Gjør det mulig å lage en prosedyre for å bli brukt av programmer og brukerne av databaser
Dataaccess Bilde:. Tillater å tilgang data som er lagret i databasen tabeller
DBADM Bilde:. loven som databaseadministrator. Det gir alle andre database myndigheter unntatt ACCESSCTRL, Dataaccess, og SECADM
FORKLARE Bilde:.. Innrømmer å forklare søket planer uten at de trenger å holde rettighetene for å få tilgang til dataene i tabellene
IMPLICIT_SCHEMA Bilde:. Tillater en bruker å opprette et skjema implisitt ved å opprette et objekt med en CREATE uttalelse
LOAD Bilde: Gjør det mulig å laste inn data i tabellen.
QUIESCE_CONNECT Bilde: Gjør det mulig å få tilgang til databasen mens det er stenging (midlertidig deaktivert)
SECADM Bilde:. Tillater å fungere som en sikkerhetsansvarlig for databasen
SQLADM Bilde:. Tillater å overvåke og tilpasse SQL-setninger
WLMADM Bilde:. Tillater å fungere som en arbeidsbelastning administrator
< h2> Rettigheter
SETSESSIONUSER
Autorisasjon ID-privilegier bære handlinger på autorisasjons IDer. Det er bare ett privilegium, kalt SETSESSIONUSER privilegium. Det kan gis til bruker eller en gruppe, og det gjør det mulig å sesjon brukeren å bytte identiteter til noen av autorisasjons IDer som privilegiene er innvilget. Dette privilegiet er gitt av brukeren SECADM myndighet.
Schema privilegier
Denne privilegier bære handlinger på skjema i databasen. Eieren av skjema har alle tillatelser til å manipulere skjemaobjekter som tabeller, visninger, indekser, pakker, datatyper, funksjoner, utløsere, prosedyrer og aliaser. En bruker, en gruppe, en rolle, eller PUBLIC kan gis enhver bruker av følgende privilegier:
CREATEIN Bilde: gjør det mulig å lage objekter i skjemaet
ALTERIN Bilde:.. gjør det mulig å endre objekter innenfor skjemaet
DROPIN
Dette gjør det mulig å slette objektene i skjemaet
TABLE privilegier
Disse rettighetene innebærer handlinger på tabell i databasen. Brukeren kan innvilges USE-rettighet for tabellplassene. Privilegiene deretter tillate dem å lage tabeller i tabell. Privilegiet eieren kan gi USE-rettighet med kommandoen WITH GRANT OPTION på tabell når tabell er opprettet. Og SECADM eller ACCESSCTRL myndigheter har tillatelse til å bruke privilegier på tabell.
Tabell og se privilegier
Brukeren må ha CONNECT autoritet på databasen for å kunne bruke bord og vise privilegier. Privilegiene for tabeller og visninger er som angitt nedenfor:.
KONTROLL
Det gir alle privilegier for en tabell eller en visning inkludert slipp og stipend, tilbakekalle individuelle tabell privilegier til brukeren
ALTER
Det tillater brukeren å endre en tabell.
SLETT
Det tillater brukeren å slette rader fra tabellen eller visningen.
INDEX
Det tillater brukeren å sette inn en rad i tabell eller visning. Det kan også kjøre import verktøyet.
REFERANSER
Det tillater brukere å lage og slippe en fremmednøkkel.
SELECT
Det tillater brukeren å hente rader fra en tabell eller visning.
UPDATE
Det tillater brukeren å endre oppføringer i en tabell, et utsnitt.
Pakke privilegier
User må har CONNECT myndighet til databasen. Pakken er et databaseobjekt som inneholder informasjon om databasesystemet for å få tilgang til data på den mest effektive måten for et bestemt program.
CONTROL
Det gir brukeren privilegier ny binding, slippe eller utførende pakker. En bruker med denne privilegier gis til BIND og EXECUTE-rettigheter.
BIND
Det tillater brukeren å binde eller binde den pakken.
EXECUTE
Gjør det mulig å kjøre en pakke.
Oversikt privilegier
Dette privilegiet mottar automatisk CONTROL privilegium på indeksen.
Sequence privilegier
Sekvens mottar BRUK automatisk og ALTER privilegier på sekvensen.
Rutine privilegier
Det involverer handlingen av rutiner som fungerer, prosedyrer og metoder innen en database.