"Тараканы прибегали,
Все стаканы выпивали,
А букашки -
По три чашки
С молоком
И крендельком ... "
Корней Чуковский, "Муха-Цокотуха"
Оглавление
Аннотация
Эта статья является непосредственным продолжением статьи "Изучаем метки доступа к строкам: задание свойств столбца доступа в таблице", и рассматривает некоторые дополнительные свойства средства Label Security в Oracle, соответствующие мандатному доступу. Именно, показана возможность преодолевать в индивидуальном порядке запреты на изменения меток, сформулированные для групп доступа
Подразумеваемые в статье состояние базы и сценарные файлы соответствуют концу предыдущей статьи.
Персональные привилегии для избранных пользователей
Изменение метки в качестве исключения из правила
Итак, если мы применяем политику секретности к таблице и указываем при этом режим LABEL_UPDATE использования меток, обычные пользователи теряют возможность эти метки конкретных строк изменять. Однако для каких-то пользователей Label Security позволяет сделать исключение. Для этого используются специальные привилегии. В отличие от традиционных привилегий Oracle (системных и объектных) они носят не разрешающий характер (a priori ничего делать нельзя, а все, что можно, специально разрешено привилегиями), а характер преодоления явно указанного запрета (определенные действия явно запрещены, но в виде исключения допускаются); именно для них и естественно сказать: "привилегии", в то время как для традиционных "привилегий" просится более подходящее слово "полномочия". Вот их названия:
- WRITEUP,
- WRITEDOWN,
- WRITEACROSS.
Выдаются они не командой GRANT, а с помощью специальной процедуры SET_USER_PRIVS из пакета SA_USER_ADMIN. Это к сожалению, но отчасти разработчиков можно понять: эти привилегии даются пользователям в рамках конкретных политик, коих может иметься много.
Подготовим файл userprivilege.sql :
|
CONNECT lbacsys/lbacsys BEGIN POLICY_NAME => 'empsec_policy' );, USER_NAME => '&1' , PRIVILEGES => '&2' END; / |
Выдадим привилегию WRITEUP и понаблюдаем, как изменятся возможности пользователя HEAD по изменению значений меток при наличии у таблицы PHONE режима LABEL_UPDATE их использования:
SQL> @userprivilege head 'writeup'
Connected.
PL/SQL procedure successfully completed.
SQL> CONNECT head/head
Connected.
SQL> @updateallen OPEN
1 row updated.
SQL> @updateallen LIMITED
1 row updated.
SQL> @updateallen OPEN
UPDATE scott.phone
*
ERROR at line 1:
ORA-12406: unauthorized SQL statement for policy EMPSEC_POLICY
... ... ... ...
Пользователь HEAD в виде исключения получил право понижать секретность, но не повышать.
Выдадим:
@userprivilege head 'writeacross'
Проверка действия привилегии WRITEACROSS:
SQL> CONNECT head/head
Connected.
SQL> @updateallen LIMITED
1 row updated.
SQL> @updateallen OPEN
1 row updated.
SQL> @updateallen LIMITED
1 row updated.
В отличие от своих возможных коллег по доступу к ограниченной информации, пользователь HEAD теперь может как повышать, так и понижать секретность строки.
Следующий запрос позволяет проверить наличие привилегий преодоления запрета изменять метки:
SQL> COLUMN USER_NAME FORMAT A15
SQL> COLUMN USER_PRIVILEGES FORMAT A20
SQL> SELECT * FROM DBA_SA_USER_PRIVS;
| USER_NAME | POLICY_NAME | USER_PRIVILEGES |
| - | ||
| HEAD | EMPSEC_POLICY | WRITEACROSS |
Для того, чтобы изъять у пользователя привилегию, потребуется не выдать привычную команду REVOKE, а опустить значение (проставить NULL) в параметре PRIVILEGES процедуры SET_USER_PRIVS. Продолжим:
SQL> SAVE showprivs
Created file showprivs.sql
SQL> @userprivilege head ' '
Connected.
PL/SQL procedure successfully completed.
SQL> @showprivs
no rows selected
SQL> CONNECT head/head
Connected.
SQL> @updateallen LIMITED
1 row updated.
SQL> @updateallen OPEN
UPDATE scott.phone
*
ERROR at line 1:
ORA-12406: unauthorized SQL statement for policy EMPSEC_POLICY
... ... ... ...
Пользователь HEAD лишился возможности изменять метку - при наличии у таблицы режима LABEL_UPDATE работы с метками.
В нашем примере WRITEACROSS, казалось бы, заменяет WRITEUP + WRITEDOWN, но в общем случае (например, при структурной метке) все три привилегии самодостаточны. В общем случае возможно и приобретает смысл комбинирование привилегий WRITEUP, WRITEDOWN и WRITEACROSS, не сводящееся к выбору какой-нибудь одной из них.
Помимо трех указанных привилегий, связанных с запретом LABEL_UPDATE использования меток, имеются и некоторые прочие:
- READ,
- FULL,
- COMPACCESS,
- PROFILE_ACCESS.
Ограничимся здесь анализом первой из них. Остальные окажут эффект только при более сложной организации доступа, здесь не рассматриваемой, например, при наличии структурных меток.
Привилегия READ дает возможность ее обладателю преодолеть запрет на чтение строк со стороны действующей политики. Продолжим:
SQL> CONNECT employee/employee
Connected.
SQL> @phones
| ENAME | PNO |
| - | |
| ALLEN | |
| WARD | 610-1718 |
| MARTIN | 103-1983 |
| BLAKE | |
| CLARK | |
| KING | |
| TURNER | 293-1398 |
| JAMES | 932-6728 |
| MILLER | 865-6706 |
9 rows selected.
SQL> @userprivilege employee 'read'
Connected.
PL/SQL procedure successfully completed.
SQL> @showprivs
| USER_NAME | POLICY_NAME | USER_PRIVILEGES |
| - | - | - |
| EMPLOYEE | EMPSEC_POLICY | READ |
| HEAD | EMPSEC_POLICY | WRITEACROSS |
SQL> CONNECT employee/employee
Connected.
SQL> @phones
| ENAME | PNO |
| - | |
| SMITH | 665-7282 |
| ALLEN | 882-3154 |
| WARD | 610-1718 |
| JONES | 100-6539 |
| MARTIN | 103-1983 |
| BLAKE | 193-3112 |
| CLARK | 310-2673 |
| SCOTT | 680-4853 |
| KING | 542-6672 |
| TURNER | 293-1398 |
| ADAMS | 278-5105 |
| JAMES | 932-6728 |
| FORD | 485-9127 |
| MILLER | 865-6706 |
14 rows selected.
Название привилегии READ не должно вызывать иллюзий: в нашем случае она позволяет не только читать строки, включая поле метки, но и изменять. Для доказательства этого факта продолжим (от имени EMPLOYEE):
SQL> @updateallen OPEN
1 row updated.
SQL> @updateallen LIMITED
1 row updated.
следующая статья серии