數(shù)據(jù)庫安全問題一直是人們關注的焦點之一，我們知道一個企業(yè)或者機構的數(shù)據(jù)庫假如遭到黑客的攻擊，而這些數(shù)據(jù)庫又保存著非常重要的數(shù)據(jù)，象銀行、通信等數(shù)據(jù)庫，后果將不堪設想。Oracle數(shù)據(jù)庫使用了多種手段來保證數(shù)據(jù)庫的安全性，如密碼，角色，權限等等。 作為Oracle的數(shù)據(jù)庫治理員都知道，數(shù)據(jù)庫系統(tǒng)典型安裝后，一般sys和system以及internal這三個用戶具有默認的口令，數(shù)據(jù)庫安裝成功后，系統(tǒng)治理員作的第一件工作就是修改這些用戶的口令，保證數(shù)據(jù)庫的安全性。然而，眾多治理員往往忽視了其中的一個安全問題，下面我們就將具體討論這個問題。 Oracle數(shù)據(jù)庫系統(tǒng)假如采用典型安裝后，除了創(chuàng)建前面介紹的幾個用戶外，另外還自動創(chuàng)建了一個叫做DBSNMP的用戶，該用戶負責運行Oracle系統(tǒng)的智能代理（Intelligent Agent），該用戶的缺省密碼也是“DBSNMP”。假如忘記修改該用戶的口令，任何人都可以通過該用戶存取數(shù)據(jù)庫系統(tǒng)。現(xiàn)在我們來看一下該用戶具有哪些權限和角色，然后來分析一下該用戶對數(shù)據(jù)庫系統(tǒng)可能造成的損失。 啟動SQL/PLUS程序，使用該用戶登錄進入： 以下為引用的內容： SQL>select * from session_privs;CREATE SESSIONALTER SESSIONUNLIMITED TABLESPACECREATE TABLECREATE CLUSTERCREATE SYNONYMCREATE PUBLIC SYNONYMCREATE VIEWCREATE SEQUENCECREATE DATABASE LINKCREATE PROCEDURECREATE TRIGGERANALYZE ANYCREATE TYPECREATE OPERATORCREATE INDEXTYPE可以看到該用戶不是SYS或SYSTEM治理用戶，然而，它卻具有兩個系統(tǒng)級權限：UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM。 看到這兩個權限你應該馬上想到，這些都是安全隱患，尤其是UNLIMITED TABLESPACE，它是破壞數(shù)據(jù)庫系統(tǒng)的攻擊點之一。假如這時候你還依然認為，即使有人利用這個沒有修改的口令登錄進數(shù)據(jù)庫也造成不了什么損失的話，我就不得不提醒你：該用戶具有UNLIMITED TABLESPACE的系統(tǒng)權限，它可以寫一個小的腳本，然后惡意將系統(tǒng)用垃圾數(shù)據(jù)填滿，這樣數(shù)據(jù)庫系統(tǒng)也就無法運行，并將直接導致最終的癱瘓。目前很多數(shù)據(jù)庫系統(tǒng)都要求7X24的工作，假如出現(xiàn)了系統(tǒng)用垃圾數(shù)據(jù)填滿的情況，那么，等數(shù)據(jù)庫系統(tǒng)恢復時，恐怕不可挽回的損失已經(jīng)造成了。 為了保證Oracle數(shù)據(jù)庫系統(tǒng)運行的絕對安全，強烈建議數(shù)據(jù)庫治理員修改該用戶的默認口令，不要為不懷好意的人留下“方便之門”。