远程Sybase数据库技术支持,联系手机:13811580958,QQ:289965371!

 

随着Sybase被完全整合到SAP下,Sybase原来的支持网站被SAP Support Portal取代。
只有购买了SAP服务的用户才能使用账号登录SAP Support Portal进行介质下载、补丁升级、报Incident等。
目前,原Sybase所有产品(包括:Adaptive Server Enterprise、Sybase IQ、Replication Server、PowerDesigner等)的官方手册仍然可以从http://infocenter.sybase.com/help/index.jsp进行浏览或下载。暂不清楚该网站http://infocenter.sybase.com/help/index.jsp何时会被完全迁移到SAP Support上!
Sybase官方手册英文版有html和pdf两种格式,而中文版手册只有pdf一种格式。为了国内Sybase用户更方便、快捷地搜索Sybase常见产品的官方手册内容,特将中文版Sybase官方手册转为html格式!
Sybase产品官方手册中文版的html格式所有内容的版权归SAP公司所有!本博客站长是Sybase数据库的铁杆粉丝!

如有Sybase数据库技术问题需要咨询,请联系我!

  QQ :289965371 点击这里给我发消息
  Email:

以下官方手册为ASE 15.7 ESD#2中文版:

  1. 新增功能公告 适用于 Windows、Linux 和 UNIX 的 Open Server 15.7 和 SDK 15.7
  2. 新增功能摘要
  3. 新增功能指南
  4. ASE 15.7 发行公告
  5. 配置指南(windows)
  6. 安装指南(windows)
  7. 参考手册:构件块
  8. 参考手册:命令
  9. 参考手册:过程
  10. 参考手册:表
  11. Transact-SQL® 用户指南
  12. 系统管理指南,卷 1
  13. 系统管理指南,卷 2
  14. 性能和调优系列:基础知识
  15. 性能和调优系列:锁定和并发控制
  16. 性能和调优系列:监控表
  17. 性能和调优系列:物理数据库调优
  18. 性能和调优系列:查询处理和抽象计划
  19. 性能和调优系列:使用 sp_sysmon 监控 Adaptive Server
  20. 性能和调优系列:利用统计分析改进性能
  21. 程序员参考 jConnect for JDBC 7.0.7
  22. Adaptive Server Enterprise 中的 Java
  23. 组件集成服务用户指南
  24. Ribo 用户指南
  25. 内存数据库用户指南
  26. Sybase Control Center for Adaptive Server® Enterprise
  27. 安全性管理指南
  28. 实用程序指南

 


< 上一个 | 内容 | 下一步 >

安全性管理指南


Adaptive Server® Enterprise

15.7 ESD #2


文档 ID DC01812-01-1572-01

最后修订日期:2012 8

版权所有 © 2012 by Sybase, Inc. 保留所有权利。

本出版物适用于 Sybase 软件及所有后续版本,除非在新版本或技术说明中另有说明。此文档中的信息如有更改,恕不另行通 知。此处说明的软件按许可协议提供,其使用和复制必须符合该协议的条款。

仅在定期安排的软件发布日期提供升级。未经 Sybase, Inc. 的事先书面许可,本书的任何部分不得以任何形式、任何手段(电 子的、机械的、手动、光学的或其它手段)进行复制、传播或翻译。

Sybase 商标可在位于 http://www.sybase.com/detail?id=101120 7 的“Sybase 商标页”(Sybase trademarks page)处进行查看。 Sybase 和文中列出的标记均是 Sybase, Inc. 的商标。 ® 表示已在美国注册。

SAP 和此处提及的其它 SAP 产品与服务及其各自的徽标是 SAP AG 在德国和世界各地其它几个国家 / 地区的商标或注册商标。

Java 和所有基于 Java 的标记都是 Oracle / 或其分公司在美国和其它国家 / 地区的商标或注册商标。 Unicode Unicode 徽标是 Unicode, Inc. 的注册商标。 提到的所有其它公司名和产品名均可能是与之相关联的相应公司的商标。

Use, duplication, or disclosure by the government is subject to the restrictions set forth in subparagraph (c)(1)(ii) of DFARS 52.227-7013 for the DOD and as set forth in FAR 52.227-19(a)-(d) for civilian agencies.

Sybase, Inc., One Sybase Drive, Dublin, CA 94568.

目录


1 章 安全性简介 1

安全性简介 1

什么是 “信息安全性”? 1

信息安全性标准 2

公共标准配置评估 2

FIPS 140-2 验证的加密模块 4

2 Adaptive Server 中的安全性管理快速入门 5

安全性管理的一般过程 5

设置安全性的建议 6

设置安全性的示例 7

Adaptive Server 中的安全性功能 8

标识和鉴定 8

自由选择访问控制 9

角色分离 10

责任审计 11

数据的保密性 12

3 章 管理 Adaptive Server 登录名和数据库用户 13

登录名和登录配置文件简介 14

管理登录帐户 14

创建登录帐户 15

上次登录和管理不活动帐户 15

登录的鉴定机制 16

更改登录帐户 17

删除登录帐户 18

选择和创建口令 18

设置和更改最大登录尝试次数 19

在丢失口令后登录 20

显示口令信息 21

检查口令中是否至少包含一个数字 22

设置和更改 minimum password length 23

口令复杂程度检查 24

启用自定义口令检查 29

为口令设置登录名和角色有效期 31

保护磁盘上和内存中存储的登录口令 36

口令的字符集注意事项 37

升级和降级行为 38

在高可用性环境中使用口令 46

建立口令和登录策略 47

登录失败 48

锁定 Adaptive Server 登录帐户和角色 49

锁定和解锁登录名 49

锁定和解锁登录帐户 50

使用 syslogins 跟踪帐户是否已锁定 50

锁定和解锁角色 51

锁定拥有阈值的登录名 52

管理登录配置文件 53

登录配置文件属性 53

应用登录配置文件和口令策略属性 54

创建登录配置文件 54

创建缺省登录配置文件 55

将登录配置文件与登录帐户相关联 55

忽略登录配置文件 55

将现有的登录帐户值转移到新的登录配置文件 56

手动复制登录配置文件 56

向登录配置文件授予角色 56

调用登录脚本 56

显示登录配置文件信息 57

修改登录配置文件 58

删除登录配置文件 59

向数据库添加用户 60

将 “ guest ”用户添加到数据库 61

guest 用户添加到服务器 63

添加远程用户 63

创建组 63

更改用户组成员资格 64

设置组和添加用户 64

在数据库中使用别名 65

添加别名 66

删除别名 66

获取有关别名的信息 67

获取有关用户的信息 67

有关用户和进程的报告 68

获取有关登录帐户的信息 69

获取有关数据库用户的信息 70

查找用户名和 ID 70

更改用户信息 71

更改口令 72

更改用户会话信息 73

删除用户和组 74

删除用户 75

删除组 75

监控许可证的使用状况 75

如何计算许可证数 76

配置许可证使用监控器 76

通过管家任务监控许可证使用状况 76

记录用户许可证数 77

用户数和登录 ID 77

ID 号的限制和范围 78

登录连接限制 78

获取有关使用情况的信息:收费退回式会计 80

报告当前使用状况统计信息 80

指定添加会计统计信息的间隔 80

4 章 管理角色 83

为用户创建和指派角色 83

系统定义角色 83

系统管理员特权 84

系统安全员特权 85

操作员特权 86

Sybase 技术支持部门 86

“复制”角色 87

分布式事务管理器角色 87

高可用性角色 87

监控和诊断 87

Job Scheduler 角色 87

实时消息传送角色 88

Web 服务角色 88

密钥管理者角色 88

规划用户定义的角色 88

创建用户定义角色 89

添加和删除角色口令 89

角色层次和互斥性 90

设置登录时的缺省激活角色 93

设置角色激活条件 94

删除用户定义角色 94

激活和停用角色 94

显示有关角色的信息 95

授予和撤消角色 98

授予角色 98

了解 grant 和角色 99

撤消角色 99

授予登录配置文件的角色 99

保护角色口令 100

字符集考虑事项 100

锁定的角色和 syssrvroles 100

对角色口令进行的登录口令策略检查 101

针对角色设置 Adaptive Server 103

5 章 外部鉴定 107

配置 Adaptive Server 以实现基于网络的安全性 107

安全服务和 Adaptive Server 108

管理基于网络的安全性 109

为安全性设置配置文件 110

向安全性机制标识用户和服务器 115

配置 Adaptive Server 的安全性 115

添加登录以支持统一登录 118

为远程连接建立 Kerberos 安全机制 119

连接到服务器并使用安全服务 120

获取有关可用安全服务的信息 122

使用 Kerberos 123

使用主管名 128

并发 Kerberos 鉴定 133

LDAP 用户鉴定配置 Adaptive Server 134

组合型 DN 算法 135

搜索型 DN 算法 135

配置 LDAP 136

LDAP 用户鉴定管理 137

Adaptive Server 登录和 LDAP 用户帐户 140

辅助查找服务器支持 140

LDAP 服务器状态转换 142

LDAP 用户鉴定调优 144

对登录映射增加更严格的控制 145

LDAP 用户鉴定错误的故障排除 147

配置 LDAP 服务器 148

LDAP 用户鉴定改进 149

自动 LDAP 用户鉴定和故障恢复 150

设置 LDAP 故障恢复时间间隔 150

为使用 PAM 的鉴定配置 Adaptive Server 152

Adaptive Server 上启用 PAM 153

增强的登录控制 155

强制鉴定 155

使用 sp_maplogin 映射登录 156

6 章 管理用户权限 159

概述 159

创建数据库的权限 161

更改数据库所有权 161

数据库所有者特权 162

数据库对象所有者特权 163

其他数据库用户的特权 164

系统过程的权限 164

授予和撤消权限 164

对象访问权限 165

授予 dbcc 命令的权限 168

系统表的权限 169

组合 grant revoke 语句 172

了解权限顺序及层次 173

Grant dbcc set proxy 发出针对 fipsflagger 的警告 173

获取另一用户的权限 174

使用 setuser 174

使用代理授权 175

更改数据库对象所有权 178

支持的对象类型 179

授权 179

移交所有权 180

权限报告 182

查询代理授权的 sysprotects 183

显示有关用户和进程的信息 183

报告数据库对象或用户的权限 184

报告特定表的权限 185

使用视图和存储过程作为安全性机制 186

使用视图作为安全性机制 186

使用存储过程作为安全机制 188

了解所有权链 189

触发器的权限 192

使用 execute as owner execute as caller 执行过程 193

创建引用对象未限定名称的过程 196

在其它具有完全限定名的数据库里调用嵌套过程的过程 198

使用行级访问控制 199

访问规则 199

使用应用程序环境功能 208

创建和使用应用程序环境 210

SYS_SESSION 系统应用程序环境 214

使用访问规则和 ACF 解决问题 214

使用登录触发器 216

从登录触发器导出 set 选项 223

设置全局登录触发器 225

7 章 授予谓词特权 227

谓词特权简介 227

用于谓词特权的命令 228

配置 Adaptive Server 以使用谓词特权 229

enable predicated privileges 229

授予谓词特权 230

授予对 select 数据的访问权限 230

授予对 update 数据的访问权限 231

授予对 delete 数据的访问权限 231

使用谓词特权强制执行数据隐私策略 232

撤消谓词特权 232

Adaptive Server 如何将谓词特权保存在 sysprotects 233

谓词角色激活 234

组合谓词以强制执行行级特权 235

了解使用谓词特权时的 SQL 行为 239

所有权链对谓词特权的影响 240

ansi_permissions 和谓词特权 240

谓词所进行的访问的相关权限 242

触发器与谓词特权配合使用 243

重新编译谓词特权 243

不允许递归谓词处理 244

通过谓词的信息泄漏 244

8 章 使用细化权限 247

细化权限简介 247

配置 Adaptive Server 以使用细化权限 248

系统特权 248

作为系统定义角色一部分的特权的效果 249

权限管理 249

manage security 权限特权 249

manage server 权限特权 251

manage database 权限特权 253

manage any object 权限特权 255

授予系统定义的角色的特权 256

分配给数据库所有者的特权 260

使用细化权限添加的角色 262

sa_serverprivs_role 262

授予系统管理员的缺省角色 264

限制系统管理员和数据库所有者的权限 265

Enable granular 权限和 sybsecurity 266

登录到锁定的 Adaptive Server 266

常规使用场景 268

场景 1 :应用程序服务器用户的权限 268

场景 2 :数据库访问管理者的权限 268

viii Adaptive Server Enterprise

场景 3 :数据库备份管理者的权限 268

场景 4 :帮助桌面操作员的权限 269

场景 5 :安全审计员的权限 269

系统表 master.dbo.sysprotects 269

数据库用户 usedb_user 270

可授予的系统特权 271

9 章 数据的保密性 297

Adaptive Server 中的安全套接字层 (SSL) 297

因特网通信概述 297

Adaptive Server 中的 SSL 300

启用 SSL 303

性能 308

密码成套程序 308

设置 SSL 密码成套程序优先选项 309

使用 SSL 指定公用名 315

使用 sp_listener 指定公用名 315

存储过程 sp_addserver 已更改 316

Kerberos 保密性 316

转储和装载数据库时使用口令保护 316

口令与 Adaptive Server 的早期版本 317

口令和字符集 317

10 章 审计 319

Adaptive Server 中的审计简介 319

Adaptive Server 与操作系统的审计记录相关联 320

审计系统 320

安装和设置审计 327

安装审计系统 328

使用 auditinit 安装审计 329

使用 installsecurity 安装审计 335

将审计数据库移动到多个设备 335

设置审计追踪管理 337

设置事务日志管理 343

启用和禁用审计 344

单表审计 345

重新启动审计 348

设置全局审计选项 348

审计选项:类型和要求 348

隐藏系统存储过程和命令口令参数 356

确定当前审计设置 357

向审计追踪中添加用户指定的记录 357

查询审计追踪 358

了解审计表 359

读取 extrainfo 360

监控失败登录尝试次数 371

审计登录失败 371

索引 373

 

第 1章 安全性简介 安全性简介 什么是“信息安全性”? 信息安全性标准 公共标准配置评估 FIPS 140-2 验证的加密模块 第 2章 Adaptive Server 中的安全性管理快 速入门 安全性管理的一般过程 设置安全性的建议 设置安全性的示例 Adaptive Server 中的安全性功能 标识和鉴定 自由选择访问控制 角色分离 责任审计 数据的保密性 第 3章 管理 Adaptive Server 登录名和数据 库用户 登录名和登录配置文件简介 管理登录帐户 创建登录帐户 上次登录和管理不活动帐户 登录的鉴定机制 更改登录帐户 删除登录帐户 选择和创建口令 设置和更改最大登录尝试次数 在丢失口令后登录 显示口令信息 检查口令中是否至少包含一个数字 设置和更改 minimum password length 口令复杂程度检查 启用自定义口令检查 为口令设置登录名和角色有效期 保护磁盘上和内存中存储的登录口令 口令的字符集注意事项 升级和降级行为 在高可用性环境中使用口令 建立口令和登录策略 登录失败 锁定 Adaptive Server 登录帐户和角色 锁定和解锁登录名 锁定和解锁登录帐户 使用 syslogins 跟踪帐户是否已锁定 锁定和解锁角色 锁定拥有阈值的登录名 管理登录配置文件 登录配置文件属性 应用登录配置文件和口令策略属性 创建登录配置文件 创建缺省登录配置文件 将登录配置文件与登录帐户相关联 忽略登录配置文件 将现有的登录帐户值转移到新的登录配置文件 手动复制登录配置文件 向登录配置文件授予角色 调用登录脚本 显示登录配置文件信息 修改登录配置文件 删除登录配置文件 向数据库添加用户 将“guest”用户添加到数据库 将 guest 用户添加到服务器 添加远程用户 创建组 更改用户组成员资格 设置组和添加用户 在数据库中使用别名 添加别名 删除别名 获取有关别名的信息 获取有关用户的信息 有关用户和进程的报告 获取有关登录帐户的信息 获取有关数据库用户的信息 查找用户名和 ID 更改用户信息 更改口令 更改用户会话信息 删除用户和组 删除用户 删除组 监控许可证的使用状况 如何计算许可证数 配置许可证使用监控器 通过管家任务监控许可证使用状况 记录用户许可证数 用户数和登录 ID 数 ID 号的限制和范围 登录连接限制 获取有关使用情况的信息:收费退回式会计 报告当前使用状况统计信息 指定添加会计统计信息的间隔 第 4章 管理角色 为用户创建和指派角色 系统定义角色 系统管理员特权 系统安全员特权 操作员特权 Sybase 技术支持部门 “复制”角色 分布式事务管理器角色 高可用性角色 监控和诊断 Job Scheduler 角色 实时消息传送角色 Web 服务角色 密钥管理者角色 规划用户定义的角色 创建用户定义角色 添加和删除角色口令 角色层次和互斥性 设置登录时的缺省激活角色 设置角色激活条件 删除用户定义角色 激活和停用角色 显示有关角色的信息 授予和撤消角色 授予角色 了解 grant 和角色 撤消角色 授予登录配置文件的角色 保护角色口令 字符集考虑事项 锁定的角色和 syssrvroles 对角色口令进行的登录口令策略检查 针对角色设置 Adaptive Server 第 5章 外部鉴定 配置 Adaptive Server 以实现基于网络的安全性 安全服务和 Adaptive Server 管理基于网络的安全性 为安全性设置配置文件 向安全性机制标识用户和服务器 配置 Adaptive Server 的安全性 添加登录以支持统一登录 为远程连接建立 Kerberos 安全机制 连接到服务器并使用安全服务 获取有关可用安全服务的信息 使用 Kerberos 使用主管名 并发 Kerberos 鉴定 为 LDAP 用户鉴定配置 Adaptive Server 组合型 DN 算法 搜索型 DN 算法 配置 LDAP LDAP 用户鉴定管理 Adaptive Server 登录和 LDAP 用户帐户 辅助查找服务器支持 LDAP 服务器状态转换 LDAP 用户鉴定调优 对登录映射增加更严格的控制 LDAP 用户鉴定错误的故障排除 配置 LDAP 服务器 LDAP 用户鉴定改进 自动 LDAP 用户鉴定和故障恢复 设置 LDAP 故障恢复时间间隔 为使用 PAM 的鉴定配置 Adaptive Server 在 Adaptive Server 上启用 PAM 增强的登录控制 强制鉴定 使用 sp_maplogin 映射登录 第 6章 管理用户权限 概述 创建数据库的权限 更改数据库所有权 数据库所有者特权 数据库对象所有者特权 其他数据库用户的特权 系统过程的权限 授予和撤消权限 对象访问权限 授予 dbcc 命令的权限 系统表的权限 组合 grant 和 revoke 语句 了解权限顺序及层次 Grant dbcc 和 set proxy 发出针对 fipsflagger 的警告 获取另一用户的权限 使用 setuser 使用代理授权 更改数据库对象所有权 支持的对象类型 授权 移交所有权 权限报告 查询代理授权的 sysprotects 表 显示有关用户和进程的信息 报告数据库对象或用户的权限 报告特定表的权限 使用视图和存储过程作为安全性机制 使用视图作为安全性机制 使用存储过程作为安全机制 了解所有权链 触发器的权限 使用 execute as owner 或 execute as caller 执行过程 创建引用对象未限定名称的过程 在其它具有完全限定名的数据库里调用嵌套过程的过程 使用行级访问控制 访问规则 使用应用程序环境功能 创建和使用应用程序环境 SYS_SESSION 系统应用程序环境 使用访问规则和 ACF 解决问题 使用登录触发器 从登录触发器导出 set 选项 设置全局登录触发器 第 7章 授予谓词特权 谓词特权简介 用于谓词特权的命令 配置 Adaptive Server 以使用谓词特权 enable predicated privileges 授予谓词特权 授予对 select 数据的访问权限 授予对 update 数据的访问权限 授予对 delete 数据的访问权限 使用谓词特权强制执行数据隐私策略 撤消谓词特权 Adaptive Server 如何将谓词特权保存在 sysprotects 中 谓词角色激活 组合谓词以强制执行行级特权 了解使用谓词特权时的 SQL 行为 所有权链对谓词特权的影响 ansi_permissions 和谓词特权 谓词所进行的访问的相关权限 触发器与谓词特权配合使用 重新编译谓词特权 不允许递归谓词处理 通过谓词的信息泄漏 第 8章 使用细化权限 细化权限简介 配置 Adaptive Server 以使用细化权限 系统特权 作为系统定义角色一部分的特权的效果 权限管理 manage security 权限特权 manage server 权限特权 manage database 权限特权 manage any object 权限特权 授予系统定义的角色的特权 分配给数据库所有者的特权 使用细化权限添加的角色 sa_serverprivs_role 授予系统管理员的缺省角色 限制系统管理员和数据库所有者的权限 Enable granular 权限和 sybsecurity 登录到锁定的 Adaptive Server 常规使用场景 场景 1:应用程序服务器用户的权限 场景 2:数据库访问管理者的权限 场景 3:数据库备份管理者的权限 场景 4:帮助桌面操作员的权限 场景 5:安全审计员的权限 系统表 master.dbo.sysprotects 数据库用户 usedb_user 可授予的系统特权 第 9章 数据的保密性 Adaptive Server 中的安全套接字层 (SSL) 因特网通信概述 Adaptive Server 中的 SSL 启用 SSL 性能 密码成套程序 设置 SSL 密码成套程序优先选项 使用 SSL 指定公用名 使用 sp_listener 指定公用名 存储过程 sp_addserver 已更改 Kerberos 保密性 转储和装载数据库时使用口令保护 口令与 Adaptive Server 的早期版本 口令和字符集 第 10章 审计 Adaptive Server 中的审计简介 将 Adaptive Server 与操作系统的审计记录相关联 审计系统 安装和设置审计 安装审计系统 使用 auditinit 安装审计 使用 installsecurity 安装审计 将审计数据库移动到多个设备 设置审计追踪管理 设置事务日志管理 启用和禁用审计 单表审计 重新启动审计 设置全局审计选项 审计选项:类型和要求 隐藏系统存储过程和命令口令参数 确定当前审计设置 向审计追踪中添加用户指定的记录 查询审计追踪 了解审计表 读取 extrainfo 列 监控失败登录尝试次数 审计登录失败



--------------------------------------华丽的分割线-------------------------------------------------------------------------
之前就已经研发成功了能够从Sybase SQL Anywhere的DB文件中恢复数据的工具:ReadASADB。
此工具支持ASA v5.0,v6.0,v7.0,v8.0,v9.0,v10.0,v11.0,v12.0等版本。
恢复Sybase SQL Anywhere的工具在国内应该算首创。

ReadASADB功能
能够从损坏的SQL Anywhere数据文件(.db)和UltraLite数据文件(.udb)上提取数据的非常规恢复工具

  1. 适用于所有的SQL Anywhere版本    包括:5.x,6.x,7.x,8.x,9.x,10.x,11.x,12.x
  2. 适用于所有的UltraLite版本
  3. 能够恢复出来表结构和数据
  4. 能够恢复自定义数据类型
  5. 能够恢复存储过程等对象的语法
  6. 能够导出到目标数据库
  7. 能够导出到SQL文件并生成导入脚本
  8. 支持多种字符集  包括:cp850、cp936、gb18030、utf8等
  9. 能够恢复未加密或者简单加密类型的数据
  10. 简单易用
  11. 限制:不支持AES加密的数据文件
请参考:研发成功了从Sybase SQL Anywhere的DB文件上恢复数据的工具
            SQL Anywhere数据库非常规恢复工具ReadASADB使用介绍

ReadASADB适用场景

各种误操作:

  1. 误截断表(truncate table)
  2. 误删除表(drop table)
  3. 错误的where条件误删数据
  4. 误删除db或log文件
  5. 误删除表中的字段

本工具的应用场景:

1.因为物理磁盘故障、操作系统、系统软件方面或者掉电等等原因导致的Sybase SQL Anywhere数据库无法打开的情况;
2.误操作,包括truncate table,drop table,不正确的where条件导致的误删除等;
Sybase SQL Anywhere无法打开时,比较常见的错误是:Assertion failed。
如:
1、Internal database error *** ERROR *** Assertion failed:201819 (8.0.1.2600) Checkpoint log: invalid bitmap page -- transaction rolled back
2、Internal database error *** ERROR *** Assertion failed:201819 (8.0.1.2600) Page number on page does not match page requested -- transaction rolled back
3、Internal database error *** ERROR *** Assertion failed:200502 (9.0.2.2451) Checksum failure on page 23 -- transaction rolled back
4、File is shorter than expected
5、Internal database error *** ERROR *** Assertion failed: 201116 Invalid free list index page found while processing checkpoint log -- transaction rolled back
6、*** ERROR *** Assertion failed: 51901 Page for requested record not a table page or record not present on page等等。
+-------------------------------------华丽的分割线-------------------------------------------------------------------------