Oracle 如何授予 CREATE ANY DIRECTORY 限制,即所有目录都必须在给定目录内创建?
Oracle How to grant CREATE ANY DIRECTORY with the restriction that all directories must be created inside a given directory?
我想授予用户 CREATE ANY DIRECTORY 权限,但有以下限制:该用户创建的所有目录必须在 /foo/bar 内,任何试图在 /foo/bar 外创建目录的尝试这应该因权限错误而失败。我如何在 Oracle 11G 或 12C 上执行此操作?
您可以在触发器中包含此限制。系统事件和属性列表 Working with system events
CREATE OR REPLACE TRIGGER trg_before_ddl
BEFORE DDL ON DATABASE
declare
v_sql ORA_NAME_LIST_T;
v_ddl varchar2(4000);
v_cnt BINARY_INTEGER;
is_valid number;
begin
if ora_sysevent in ('CREATE') and ora_dict_obj_type = 'DIRECTORY' then
v_cnt := ora_sql_txt (v_sql);
FOR i IN 1..v_cnt LOOP
v_ddl := v_ddl || RTRIM (v_sql (i), CHR (0));
END LOOP;
v_ddl := regexp_substr(v_ddl,'AS ''(.*)''', 1, 1, 'i', 1 ); -- get path from ddl_statement
-- check valid directory here, path is in v_ddl ;
is_valid := REGEXP_instr(v_ddl,'^/valid_dir/.*$');
if (is_valid = 0) then
raise_application_error(-20000,'Directory is not valid' || v_ddl);
end if;
end if;
END;
/
CREATE DIRECTORY valid_dir AS '/valid_dir/xyz';
CREATE DIRECTORY invalid_dir AS '/invalid_dir/xyz';
这取决于,如果你想限制 Oracle 可以从 utl_file 命令访问哪些 OS 个目录,你可以设置 utl_file_dir 参数。不幸的是,此参数是系统范围的,因此您将无法 grant/revoke 使用此参数的特定用户。另请记住,如果更改此参数,这些更改将在 Oracle 数据库重新启动后生效:
alter system set utl_file_dir = '/foo/bar' scope=spfile;
shutdown immediate;
startup open;
有关 utl_file_dir 的更多信息,请参阅 12.1 Oracle Docs。
就是说,如果您真的想限制谁可以创建 Oracle 目录到特定的 OS 目录,一个过程将适合该任务,因为这将允许您进行更细粒度的控制(并限制谁对过程的所有者拥有非常强大的 create any directory 特权):
sqlplus kjohnston
create or replace procedure mydircreate (p_dir varchar2)
as
ex_custom EXCEPTION;
PRAGMA EXCEPTION_INIT( ex_custom, -20001 );
begin
if lower(p_dir) not like '/foo/bar/%' then
raise_application_error( -20001, 'Not authorized' );
end if;
execute immediate 'create or replace directory mydir as ''' || p_dir || '''';
end mydircreate;
create user testuser identified by <password>;
grant create session to testuser;
grant execute on kjohnston.mydircreate to testuser;
exit;
sqlplus testuser
SQL> exec kjohnston.mydircreate('mydir', '/randomdir');
ORA-20001: Not authorized
SQL> exec kjohnston.mydircreate('mydir', '/foo/bar/baz');
PL/SQL procedure successfully completed.
我想授予用户 CREATE ANY DIRECTORY 权限,但有以下限制:该用户创建的所有目录必须在 /foo/bar 内,任何试图在 /foo/bar 外创建目录的尝试这应该因权限错误而失败。我如何在 Oracle 11G 或 12C 上执行此操作?
您可以在触发器中包含此限制。系统事件和属性列表 Working with system events
CREATE OR REPLACE TRIGGER trg_before_ddl
BEFORE DDL ON DATABASE
declare
v_sql ORA_NAME_LIST_T;
v_ddl varchar2(4000);
v_cnt BINARY_INTEGER;
is_valid number;
begin
if ora_sysevent in ('CREATE') and ora_dict_obj_type = 'DIRECTORY' then
v_cnt := ora_sql_txt (v_sql);
FOR i IN 1..v_cnt LOOP
v_ddl := v_ddl || RTRIM (v_sql (i), CHR (0));
END LOOP;
v_ddl := regexp_substr(v_ddl,'AS ''(.*)''', 1, 1, 'i', 1 ); -- get path from ddl_statement
-- check valid directory here, path is in v_ddl ;
is_valid := REGEXP_instr(v_ddl,'^/valid_dir/.*$');
if (is_valid = 0) then
raise_application_error(-20000,'Directory is not valid' || v_ddl);
end if;
end if;
END;
/
CREATE DIRECTORY valid_dir AS '/valid_dir/xyz';
CREATE DIRECTORY invalid_dir AS '/invalid_dir/xyz';
这取决于,如果你想限制 Oracle 可以从 utl_file 命令访问哪些 OS 个目录,你可以设置 utl_file_dir 参数。不幸的是,此参数是系统范围的,因此您将无法 grant/revoke 使用此参数的特定用户。另请记住,如果更改此参数,这些更改将在 Oracle 数据库重新启动后生效:
alter system set utl_file_dir = '/foo/bar' scope=spfile;
shutdown immediate;
startup open;
有关 utl_file_dir 的更多信息,请参阅 12.1 Oracle Docs。
就是说,如果您真的想限制谁可以创建 Oracle 目录到特定的 OS 目录,一个过程将适合该任务,因为这将允许您进行更细粒度的控制(并限制谁对过程的所有者拥有非常强大的 create any directory 特权):
sqlplus kjohnston
create or replace procedure mydircreate (p_dir varchar2)
as
ex_custom EXCEPTION;
PRAGMA EXCEPTION_INIT( ex_custom, -20001 );
begin
if lower(p_dir) not like '/foo/bar/%' then
raise_application_error( -20001, 'Not authorized' );
end if;
execute immediate 'create or replace directory mydir as ''' || p_dir || '''';
end mydircreate;
create user testuser identified by <password>;
grant create session to testuser;
grant execute on kjohnston.mydircreate to testuser;
exit;
sqlplus testuser
SQL> exec kjohnston.mydircreate('mydir', '/randomdir');
ORA-20001: Not authorized
SQL> exec kjohnston.mydircreate('mydir', '/foo/bar/baz');
PL/SQL procedure successfully completed.