【IT168 服务器学院】Logon Trigger Example 登陆例子
EXAMPLE 1)
有时候我们不希望使用者利用ODBC来连接上资料库,利用ACCESS或者EXCEL来抓资料库资料。在道德劝说无效下,就直接挡下来!
BEGIN
FOR rec in (select username,program,SYS_CONTEXT(''USERENV'',''IP_ADDRESS'') ip from v$session
where audsid = userenv(''sessionid'')) loop
IF rec.IP = ?。16.64.19'' AND rec.USERNAME = ''HR'' AND upper(rec.program) in
(''MSACCESS.EXE'',''SQLPLUSW.EXE'',''JREW.EXE'',''MSEXCEL.EXE'')
THEN
EXIT;
ELSIF upper(rec.program) in (''MSACCESS.EXE'',''SQLPLUSW.EXE'',''JREW.EXE'',''MSEXCEL.EXE'') THEN
raise_application_error(-20001,''Access Deny'');
END IF;
END LOOP;
END;
只有HR并且由指定的IP 172.16.64.19才能使用ACCESS或者SQL*PLUS或者EXCEL连上来,其他的使用者皆无法连线。
但是,拥有DBA OR SYSDBA ROLE的权限帐号,是不会受到此限制。
EXAMPLE 2)
很多时候我们需要写一个logon trigger来进行帐号登入的控管。在Three - tier 架构下,大部分的程式可能都是由一个固定的帐号,授与适当的权限经由AP Server连接到后端的Oracle资料库来进行一般操作, 这个帐号的权限可能很大,而你并不希望programer利用这个帐号进入资料库做一些测试动作,因为这样就达不到有效权限控管的要求。可是这个AP专用的帐号及密码可能是半公开的,你如何防止这样的情况发生呢? 写一个logon trigger 也许是不错的主意。
CREATE OR REPLACE TRIGGER LOGON_DB_TRIGGER
AFTER LOGON ON DATABASE
DECLARE
IP VARCHAR2(30);
UNAME VARCHAR2(30);
BEGIN
SELECT SYS_CONTEXT (''USERENV'',''IP_ADDRESS''),USERNAME INTO IP,UNAME FROM V$SESSION
WHERE AUDSID=USERENV(''SESSIONID'');
IF IP != ?。16.64.33'' AND
UNAME = ''APPLE'' THEN
RAISE_APPLICATION_ERROR(-1,''CONNECTIION REFUSED'');
END IF;
END;
写好这个Trigger,只要使用者帐号为apple,且来源IP不是172.16.64.33都会被拒绝连线掉喔!!这样是不是多了些安全管控呢?特别注意一点,如果欲受限制的帐号权限为DBA or SYSDBA者,将不受此Trigger管制。