高危防范:巧用触发器,实现DDL监控

在数据运维过程中,常常因为DBA的疏忽而使数据安全面临威胁,有些威胁来自数据库外部,如rm操作,而有些威胁则来自数据库内部,如Truncate操作.因此对于数据库的任何操作都要三思而后行,减少出错的几率。同时对于TRUNCATE等高风险的数据库DDL操作,可以考虑通过触发器进行禁用,防止未授权的操作损害数据。

(1)如下触发器实现对于特定表的DROP、TRUNCATE防范:

如果用户试图对 test 表进行 DROP 或 TRUNCATE 操作,则将遇到错误:

(2)以下触发器可以实现全库级别的 DDL 防范:

在以下类似操作中,触发器的作用就体现出来:

(3)对于某些数据库环境,也可以限定DDL操作只能在数据库服务器本地执行,对于远程执行则予以禁止,类似的触发器可以参考如下代码,以下代码基于Schema模式建立,需要对于V$SESSION的访问授权,自定义的记录信息被写入告警日志文件:

此时如果通过远程进行DDL操作,就会收到错误:

在告警日志文件中会同时记录移行错误信息:

在本地的DROP操作可以进行:

以上是一些示范,供参考,在系统中采用需要经过测试和改进。

因为DDL的重要性,在Oracle11g中,DDL日志机制被引入,可以通过enable_ddl_logging参数设置,如果启用日志,DDL操作的信息都将被记录到告警日志中:

在Oracle Database 12c中,为了防止DDL日志对于告警日志的干扰,DDL日志进一步的独立出来,记录了一个独立的DDL日志。

oel*orcl12c-/u01/app/oracle/diag/rdbms/eygle/eygle/log/ddl$ls -l 总用量 8 -rw-r-----. 1 oracle oinstall 4235 2月 17 17:32 log.xml

以下是日志中记录的DROP表操作:

Fri Feb 17 17:32:27 2012 diag_adl:drop table eygle

由此可见,DDL审计和记录是众多Oracle数据库用户的需求,同时Oracle 也不断做出改变来满足用户的需求。

最后,还是要再次强调,虽然可以通过一些方式防范DDL对数据的威胁,但作为一个合格的DBA,一定要严谨专注,任何操作都必须三思而后行,承担起数据责任,不能有丝毫的马虎和大意,草率的判断和轻忽的选择对数据来说很可能是致命的。

以上文,与所有DBA朋友们共勉。

原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2016-09-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java架构沉思录

如何优雅地优化MySQL大表

除非单表数据未来会一直不断上涨,否则不要一开始就考虑拆分,拆分会带来逻辑、部署、运维的各种复杂度,一般以整型值为主的表在千万级以下,字符串为主的表在五百万以下是...

1233
来自专栏PHP在线

WordPress的可拓展性初探(一)

作者:西瓜玩偶(racnil070512 at hotmail dot com) WordPress是一个时下非常流行的网络信息发布平台,它的特性之一便是极强...

2919
来自专栏Linyb极客之路

MySQL锁机制及优化

总的来说,MySQL各存储引擎使用了三种类型(级别)的锁定机制:行级锁定,页级锁定和表级锁定。下面我们先分析一下MySQL这三种锁定的特点和各自的优劣所在。

1602
来自专栏杨建荣的学习笔记

这样分析一个死锁问题

之前也列举了几期的MySQL死锁问题,光有操作演练,还缺少一些自己的分析,所以我就打算补充一下。 首先对于死锁问题,我们分析的背景是基于MySQL事...

2854
来自专栏芋道源码1024

MySQL 大表优化方案(长文)

|原文链接:https://segmentfault.com/a/1190000006158186

1365
来自专栏林德熙的博客

C# 通配符转正则

https://gist.github.com/lindexi/2bd3bccb6de194aa40ad2e09a5413000

1021
来自专栏黑白安全

SQL(结构化查询语言)注入

SQL注入(也称为SQLI)是一种常见的攻击媒介,它使用恶意SQL代码用于后端数据库操作,以访问不打算显示的信息。此信息可能包括任何数量的项目,包括敏感的公司数...

7742
来自专栏JavaEdge

MySQL各种存储引擎介绍与适用场景1.引擎的介绍第三方存储引擎:InfobrightTokuDBXtraDB、PBXT2.常用两种引擎的选择

6516
来自专栏禁心尽力

会优化,你真的会优化吗?其实你可能真的缺少一份理解【数据库篇】

  其实,在写这篇博客之前,我也是感觉自己会点优化,至少知道不要使用“*”号啊,给经常查询的列创建索引啊什么的,其实都不是大家想的那样简单的,其实它们背后存在很...

1876
来自专栏杨建荣的学习笔记

记一次数据同步需求的改进(二) (r7笔记第5天)

在之前写过记一次数据同步需求的改进(一) (r7笔记第2天)之后,就开始着手对这个需求进行实践。 所谓实践出真知,在实际做的时候才发现可能计划的再好,做的时候还...

3578

扫码关注云+社区