Oracle 中的数据库备份 - 导出数据库还是使用其他工具？

Question

sjk

Asked: 2017-10-11 04:12:51 +0800 CST2017-10-11 04:12:51 +0800 CST 2017-10-11 04:12:51 +0800 CST

如何限制数据泵登录到本地主机

772

我在 Oracle 12c 数据库中有一个用户将用于运行完整的数据泵导出和导入。我想限制从该用户登录到本地主机。

我试图创建登录触发器：

create or replace trigger logon_trigger 
  after logon on database
declare
  host varchar2(50);
begin 
  host := trim(lower(sys_context('USERENV', 'HOST')));
  if lower(user) = '<data pump user>' then
    if host <> '<hostname>' then
      raise_application_error(-20000, 'Login not allowed');
    end if;
  end if;
end;
/

我可以从审计跟踪中看到此触发器已触发（ORA-20000：不允许登录），但仍允许用户从远程主机登录。

此限制适用于普通用户，但不适用于数据泵用户。我怀疑这与角色 exp_full_database 和 imp_full_database 有关。

有什么方法可以使这个触发器工作，还是我应该使用本地操作系统身份验证？

1 个回答

Voted

Balazs Papp · Answer 1 · 2017-10-11T04:38:21+08:00

ADMINISTER DATABASE TRIGGER 特权导致登录触发器跳过错误（文档 ID 265012.1）

ADMINISTER DATABASE TRIGGER Privilege Behavior with Database Logon Trigger
--------------------------------------------------------------------------
Logon triggers can be used to mediate database access: when the restrictive 
conditions are not met, an application error with a message is raised that 
causes the logon to be denied.

...

However, we need to keep at least one user who can still connect when there is 
a problem : a fallback mechanism must exist where an administrative user is 
exempt from such errors of a prohibited connection. 

Any user granted the ADMINISTER DATABASE TRIGGER system privilege can still 
connect : instead of getting the error causing the session to be terminated, 
the error is recorded in the alert.log and a trace file in user_dump_dest.

和：

select * from dba_sys_privs where privilege = 'ADMINISTER DATABASE TRIGGER';

GRANTEE                        PRIVILEGE                                ADM
------------------------------ ---------------------------------------- ---
WMSYS                          ADMINISTER DATABASE TRIGGER              NO 
DBA                            ADMINISTER DATABASE TRIGGER              YES
SYS                            ADMINISTER DATABASE TRIGGER              NO 
IMP_FULL_DATABASE              ADMINISTER DATABASE TRIGGER              NO

所以是的，您可以尝试本地操作系统身份验证。

如何限制数据泵登录到本地主机

连接到 PostgreSQL 服务器：致命：主机没有 pg_hba.conf 条目

如何让sqlplus的输出出现在一行中？

选择具有最大日期或最晚日期的日期

如何列出 PostgreSQL 中的所有模式？

列出指定表的所有列

如何在不修改我自己的 tnsnames.ora 的情况下使用 sqlplus 连接到位于另一台主机上的 Oracle 数据库

你如何mysqldump特定的表？

使用 psql 列出数据库权限

如何从 PostgreSQL 中的选择查询中将值插入表中？

如何使用 psql 列出所有数据库和表？

如何限制数据泵登录到本地主机

1 个回答

相关问题