如何在CentOS上管理Oracle用户

在 CentOS 上管理 Oracle 用户的实用指南

一 环境准备与登录

• 以具有 DBA 权限的账户登录数据库服务器，切换到 oracle 系统用户并进入 SQL*Plus：
  • 命令：su - oracle 然后 sqlplus / as sysdba
• 常用连接串（在本地或远程客户端）：sqlplus username/password@//host:port/service
• 建议遵循最小权限原则，仅授予完成工作所需的最小权限，并优先通过角色进行授权与回收。

二 数据库用户生命周期管理

• 创建用户（示例含默认表空间与临时表空间）：
  • CREATE USER appuser IDENTIFIED BY "StrongPass!23" DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp ACCOUNT UNLOCK;
• 修改用户属性（改密、锁定/解锁、强制下次改密）：
  • 改密：ALTER USER appuser IDENTIFIED BY "NewPass!45";
  • 锁定/解锁：ALTER USER appuser ACCOUNT LOCK|UNLOCK;
  • 强制改密：ALTER USER appuser PASSWORD EXPIRE;
• 删除用户（含对象时加级联）：
  • DROP USER appuser CASCADE;
• 登录必备权限：
  • 至少授予 CREATE SESSION 才能登录：GRANT CREATE SESSION TO appuser;
• 表空间与配额（避免 ORA-01950 等错误）：
  • 为用户分配默认表空间后，按需授予配额：ALTER USER appuser QUOTA 5G ON users;
  • 或授予不受限使用表空间（慎用）：GRANT UNLIMITED TABLESPACE TO appuser;
• 安全建议：
  • 避免使用默认账户（如 SCOTT）承载业务；不要将强权系统权限（如 CREATE DATABASE LINK）直接授予普通用户，应通过受控角色授予。

三 权限与角色管理

• 系统权限与对象权限
  • 授予系统权限：GRANT CREATE TABLE, CREATE VIEW TO appuser;
  • 授予对象权限（可按列）：GRANT SELECT, UPDATE(id) ON scott.emp TO appuser;
  • 回收权限：REVOKE CREATE TABLE FROM appuser;、REVOKE UPDATE(id) ON scott.emp FROM appuser;
  • 授权传播：
    • 系统权限可带 WITH ADMIN OPTION，允许被授权者继续转授；
    • 对象权限可带 WITH GRANT OPTION，允许被授权者继续转授；
    • 回收对象权限会级联回收通过 WITH GRANT OPTION 下放的权限；系统权限不级联回收。
• 角色
  • 创建与授权：CREATE ROLE app_role;、GRANT CREATE SESSION, CREATE TABLE TO app_role;
  • 授予用户：GRANT app_role TO appuser;
  • 回收：REVOKE app_role FROM appuser;
  • 预定义角色说明：如 CONNECT 角色在新版本中通常仅包含 CREATE SESSION，请以实际版本为准，避免依赖过时权限集合。
• 安全实践
  • 以“最小权限”为原则，优先通过自定义角色封装所需权限；
  • 限制可直连且具有 SYS 级别权限的账户数量；
  • 可使用 Privilege Analysis 识别过度授权并收敛权限。

四 常用查询与审计

• 查看当前用户：SHOW USER;
• 查看当前用户拥有的系统权限：SELECT * FROM USER_SYS_PRIVS;
• 查看当前用户拥有的对象权限：SELECT * FROM USER_TAB_PRIVS;
• 查看当前用户被授予的角色：SELECT * FROM USER_ROLE_PRIVS;
• 安全审计建议：
  • 定期审计高权账户与异常授权路径；
  • 结合应用登录流程，使用“安全应用角色”（Secure Application Role）在登录时由 PL/SQL 包按策略动态启用角色，避免在代码中硬编码口令或分散配置。

五 OS 层 Oracle 运行账户与目录权限

• 创建 OS 运行账户与组（安装与启停数据库服务时使用）：
  • groupadd oinstall、groupadd dba
  • useradd -g oinstall -G dba -m oracle
  • passwd oracle
• 创建目录并授权：
  • mkdir -p /u01/app/oracle /u01/app/oraInventory
  • chown -R oracle:oinstall /u01/app/oracle /u01/app/oraInventory
  • chmod -R 775 /u01/app/oracle
• 说明：上述为数据库软件与实例目录的常见做法；数据库内建用户（如 SYS/SYSTEM 或业务用户）与 OS 账户是不同概念，权限授予在数据库内完成。