技術隨手記

2012年1月28日星期六

DBA Tips: Is your SYSMAN Account Locked??

http://www.articles.freemegazone.com/oracle-sysman-account-locked.php?ref=1

The default super administrator SYSMAN account is created with the password specified by you when you install Enterprise Manager. Many database administrators like me must have faced the scenario when they are unable to connect to database engine because instead of a normal login screen they get an error message “Enterprise Manager is not able to connect to database instance. The state of the components are listed below……”

Everything is up and running but still your Enterprise Manager can not connect to the database instance. How frustrating it is, right?

In this article I will discuss how to troubleshoot the problem if one day or another you are unable to connect to the database instance as a result of error like this.

Check Enterprise Manager Log File:

In the first step we will check the enterprise manager log file as follows.

[oracle@myserver log]$ pwd

/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD
/sysman/log
[oracle@ myserver log]$ tail -50 emoms.log
.
.
.
2008-02-11 23:12:04,968 [ApplicationServerThread-11]
ERROR app.SessionObjectManager sessionDestroyed.128 -
java.sql.SQLException: ORA-28000: the account is locked
java.sql.SQLException: ORA-28000: the account is locked
.
.
.

We can see that the log file contains ORA-28000 error (ORA-28000: the account is locked). Generally we get ORA-28000 error if the user has consequently entered wrong password for maximum number of times specified by the user profile parameter FAILED_LOGIN_ATTEMPTS or the account is locked by DBA.

Check Database Users:

Now we will check database users.

SYSTEM> select username, account_status from dba_users;

USERNAME ACCOUNT_STATUS
------------------- -------------------------------
MGMT_VIEW OPEN
SYS OPEN
SYSTEM OPEN
DBSNMP OPEN
SYSMAN LOCKED(TIMED)

Here we can see that the all other accounts are working fine but the SYSMAN account is locked.

Stop Database Console:

Now we will stop the Database Console

[oracle@myserver dbascripts]$ emctl stop dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.1.0.6.0
Copyright (c) 1996, 2007 Oracle Corporation. All rights reserved.

https://myserver.mydomain:1158/em/console/aboutApplication

Stopping Oracle Enterprise Manager 11g Database Control ...
... Stopped.

Reset SYSMAN Account:

Once the database console is stopped then we will reset the SYSMAN account.

[oracle@myserver log]$ sqlplus "/ as sysdba"
SQL*Plus: Release 11.1.0.6.0 - Production on Tue Feb 12 09:51:59 2008
Copyright (c) 1982, 2007, Oracle. All rights reserved.

Connected to:
Oracle Database 11g Enterprise Edition Release 11.1.0.6.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SYS> alter user sysman identified by <new_password> account unlock;
User altered.

Now our SYSMAN account is successfully reset. Now we need to reset SYSMAN account in the targets.xml file. The targets.xml file is located in $ORACLE_HOME/myserver.mydomain _mySID/sysman/emd

We will modify the properties ‘Username' and ‘Password'.

[oracle@myserver emd]$ pwd
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD/sysman/emd
[oracle@myserver emd]$ cp targets.xml targets.xml.ori
[oracle@myserver emd]$ vi targets.xml
.
.
.
<Property NAME="UserName" VALUE="SYSMAN" ENCRYPTED="FALSE"/>
<Property NAME="password" VALUE="<new_password>" ENCRYPTED="FALSE"/>
.
.
.

After modifying targets.xml file then we will reset the SYSMAN account in emoms.properties file in $ORACLE_HOME/myserver.my_domain_mySID/sysman.config. We will modify the parameters ‘oracle.sysman.eml.mntr.emdRepPwd' and ‘oracle.sysman.eml.mntr.emdRepPwdEncrypted'.

[oracle@myserver config]$ pwd
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD/sysman/config
[oracle@myserver config]$ cp emoms.properties emoms.properties.ori
[oracle@myserver config]$ vi emoms.properties
.

.
.
oracle.sysman.eml.mntr.emdRepPwd= <new_password>
.
.
.
oracle.sysman.eml.mntr.emdRepPwdEncrypted= FALSE
.
.
.

Start the Database Console:

At the end we will start the database console.

[oracle@myserver dbascripts]$ emctl start dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.1.0.6.0
Copyright (c) 1996, 2007 Oracle Corporation. All rights reserved.

https://myserver.mydomain:1158/em/console/aboutApplication

Starting Oracle Enterprise Manager 11g Database Control ...... started.
-----------------------------------------------------------------------------------------------
Logs are generated in directory
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD/sysman/log

Here you are... Enjoy your Enterprise Manager!! Read Again!!

解决"ORA-28001: the password has expired”

http://lysming.iteye.com/blog/695759

OracleSQLXML
Oracle 10g 以上密码失效问题
oracle em无法登录，我自己遇到的问题总结如下：

其中有两个用户可能密码失效
1、 sysman
2、 dbsnmp

首先，以SYS DBA身份进入sqlpuls
打开sqlpuls

SQL->请输入用户名：sys as sysdba
SQL->密码：
登录成功以后查询DBA用户状态
SQL->select username,account_status from dba_users;
查看其中常用的用户状态是否是EXPIRED 还是LOCKED
有的是LOCKED<TIME>
如果sysman状态是过期，修改密码方法：

1、执行emctl stop dbconsole
执行完成后再停止agent：emctl stop agent
使用下面的命令来检查是否缺失停止了：
emctl status dbconsole
emctl status agent
确认停止以后就可以在sqlpuls里改密码了
2、执行下面的命令修改sysman密码：
SQL->alter user sysman identified by <你要改的密码>;
不过首先你得确认一下sysman是否被锁定，就是执行
SQL->select username,account_status from dba_users;
看sysman的状态，如果是LOCKED，那么你先得解锁：
SQL->alter user sysman account unlock;
解锁完成后再修改密码，或者修改后再解锁都行，步骤可以颠倒，但是绝对不能少。
修改完成后
SQL->connect sysman/密码
如果连接成功就可以进行下一步了。

3、修改emoms.properties
在路径 ORACLE_HOME\[HOST]_[SID]\sysman\config下
找到文件后编辑以下两句：

oracle.sysman.eml.mntr.emdRepPwd= [Your encrypted password]
oracle.sysman.eml.mntr.emdRepPwdEncrypted=True

找到后把[Your encrypted password]改成你这个用户要改的密码（明文），然后把下面的True改成False.
4、重新启动dbConsole
emctl start dbconsole
emctl start agent
两个都启动了以后你再到emoms.properties里看，是不是密码给你加密了，而且emdRepPwdEncrypted变成了True!

如果用户dbsnmp也失效的话，同样的办法，先停止dbconsole和agent然后在sqlplus里确保他的状态是open，修改密码，然后再去文件中改，不过这次文件不一样，变成了targets.xml ，它的路径在
ORACLE_HOME\[HOST]_[SID]\sysman\emd
修改以下行：
<Property NAME="password" VALUE="<[Your encrypted password]>" ENCRYPTED="TRUE"/>
同样把<[Your encrypted password]>改成你要改的密码，把后面的TRUE改成FALSE，保存。重新启动dbconsole和agent.

2012年1月22日星期日

oracle數據庫的啟動與關閉過程詳解

http://taven.chinaorg.net/1034635

命令行啟動數據庫

在發布startup命令啟動數據庫時，oracle將在默認位置$ORACLE_HOME/dbs（UNIX/Linux）中查找初始化參數文件。Oracle將以下面的順序在其中尋找合適的初始化文件

Ø Spfile$ORACLE_SID.ora

Ø Spfile.ora

Ø Init$ORACLE_SID.ora

可以用幾種方式啟動oracle數據庫。

a) STARTUP NOMOUNT命令

可以在SQL*Plus會話中使用STARTUP NOMOUNT命令啟動實例，這樣啟動僅有實例運行。如果以這種方式啟動，將不讀控制文件，而且數據文件也不打開。操作系統啟動Oracle後台進程，並且給oracle分配SGA。事實上，只有實例本身在運行。
SQL> startup nomount;
ORACLE例程已經啟動。

Total System Global Area 167772160 bytes
Fixed Size                 1247900 bytes
Variable Size             75498852 bytes
Database Buffers          88080384 bytes
Redo Buffers               2945024 bytes
SQL>
有時在某些維護操作和恢復過程中，不能打開數據庫讓大家訪問。在此情形下可以以這種方式啟動。在數據庫創建過程中且必須重建控制文件時，也需要使用nomount啟動模式。

b) STARTUP MOUNT命令

在啟動過程中，實例啟動後的下一步是安裝數據庫。在安裝步驟中，oracle把實例與數據庫關聯。Oracle打開並讀取控制文件，獲取數據文件和重做日誌文件的名稱和位置。
如果已經以以非安裝模式啟動了數據庫，應該使用一下命令：
SQL> alter database mount;
數據庫已更改。
SQL>
為了以安裝模式直接啟動，可使用如下命令：
SQL> startup mount;
ORACLE例程已經啟動。

Total System Global Area 167772160 bytes
Fixed Size                 1247900 bytes
Variable Size             75498852 bytes
Database Buffers          88080384 bytes
Redo Buffers               2945024 bytes
數據庫裝載完畢。
SQL>
在進行諸如全數據庫恢復、更改數據庫的歸檔日誌模式或重命名數據文件這一類的活動時，通常需要以安裝模式啟動數據庫。請注意，這三種操作都要求oracle訪問數據文件，但不提供對文件的用戶操作。

c) STARTUP OPEN命令

啟動過程的最後一步是打開數據庫。當數據庫以打開模式啟動時，所有有效用戶可以連接到數據庫，執行數據庫操作。在此步驟之前，一般用戶根本就不能連接到數據庫。通過發布下面的命令讓數據庫出於打開模式：
   SQL>
alter database open;
數據庫已更改。
SQL>
更常見的是使用STARTUP命令同時安裝和打開數據庫：
SQL> startup;
ORACLE例程已經啟動。

Total System Global Area 167772160 bytes
Fixed Size                 1247900 bytes
Variable Size             75498852 bytes
Database Buffers          88080384 bytes
Redo Buffers               2945024 bytes
數據庫裝載完畢。
數據庫已經打開。
SQL>
為了打開數據庫，oracle服務器首先打開所有數據文件和聯機重做日誌文件，並確認數據庫是一致的。如果數據庫不一致，例如，如果控制文件中的SCN與數據文件頭中的某些SCN不匹配，則後台進程將自動在打開數據庫前進行一個實例恢復。如果需要介質恢復而不是實例恢復，oracle將指出需要數據庫恢復，並且在你完成恢復前不能打開數據庫。

2、命令行關閉數據庫

為進行某種類型的備份或者軟件的升級等活動，可能需要關閉一個正在運行的數據庫，關閉數據庫有幾種方式。所選擇的方式將影響關閉數據庫所花費的時間，並且在重啟數據庫時可能需要進行數據庫實例恢復。下面是關閉數據庫的4種可用方式。

a) SHUTDOWN NORMAL命令

如下發布此命令：
SQL>shutdown
normal;
以下是SHUTDOWN NORMAL命令的詳細說明：

Ø 一旦發布此命令，不允許任何用戶進行新的連接；

Ø 在關閉數據庫之前，oracle等待所有的用戶退出會話；

Ø 重啟數據庫時不需要實例恢復，因為oracle會在關閉以前把所有重做日誌緩衝區和數據塊緩衝區內容寫入磁盤，從而使數據庫關閉時是一致的；

Ø Oracle關閉數據文件並終止後台進程，釋放內存。

b) SHUTDOWN TRANSACTIONAL命令

如果不想等待某用戶退出而花費很長時間，可以使用SHUTDOWN
TRANSACTIONAL命令，如下發布此命令：
SQL>shutdown
transactional;
以下是SHUTDOWN TRANSACTIONAL命令的詳細說明：

Ø 一旦發布此命令，不允許任何用戶進行新的連接；

Ø 現有用戶不能啟動新事務，並且將斷開連接；

Ø 如果某用戶有一個正在執行的事務，在斷開該用戶的連接前，oracle將等待直到該事務完成；

Ø 重啟數據庫時不需要實例恢復，因為oracle會在關閉以前把所有重做日誌緩衝區和數據塊緩衝區內容寫入磁盤，從而使數據庫關閉時是一致的；

Ø 在所有現有事務完成後，oracle關閉實例並釋放內存；

c) SHUTDOWN IMMEDIATE命令

有時，在決定關閉數據庫時，某用戶可能正在執行非常長得事務。在這樣的情形下，前面介紹的兩種方式都不適用。可以使用SHUTDOWN IMMEDIATE命令關閉數據庫。如下發布此命令：
SQL>shutdown
immediate;
以下是SHUTDOWN IMMEDIATE命令的詳細說明：

Ø 一旦發布此命令，不允許任何用戶進行新的連接；

Ø 立即斷開所有用戶的連接；

Ø 終止所有當前正在執行的事務；

Ø 對於所有半途終止的事務，oracle將進行回退，使數據庫保持一致。隨後終止後台進程並釋放內存。

Ø 重啟數據庫時不需要實例恢復，因為它在關閉時是一致的。

d) SHUTDOWN ABORT命令

就oracle而言，使用這個選項相當於斷電。如下發布此命令：
SQL>shutdown abort;
下面是SHUTDOWN ABORT命令的詳細說明：

Ø 一旦發布此命令，不允許任何用戶進行新的連接；

Ø 現有會話被終止，不管它們是否有活動的事務；

Ø 不回退被終止的事務；

Ø 不將重做日誌緩衝區和數據緩衝區寫到磁盤；

Ø 終止後台進程、立即釋放內存並關閉數據庫；

Ø 在重啟時，oracle將執行自動實例恢復，因為不能保證數據庫在關閉時是一致的。

2012年1月8日星期日

Oracle 用戶、對象權限、系統權限

http://tc.itkee.com/database/detail-1606.html
--================================
--Oracle 用戶、對象權限、系統權限
--================================

一、用戶與模式
用戶：對數據庫的訪問，需要以適當用戶身份通過驗證，並具有相關權限來完成一系列動作
SYS用戶，缺省始終創建，且未被鎖定，擁有數據字典及其關聯的所有對象
SYSTEM用戶，缺省始終創建，且未被鎖定，可以訪問數據庫內的所有對象
模式(schema)：是某個用戶擁有所有對象的集合。具有創建對象權限並創建了對象的用戶稱爲擁有某個模式

注意：創建數據庫對象(視圖,表等)的任一用戶都擁有一個以該用戶名稱開頭的模式，且被視爲模式用戶

二、創建及修改用戶
條件：需要具有創建用戶的權限，如sys,system,sysdba,dba role等
語法：
CREATE USER user
IDENTIFIED {BY password | EXTERNALLY | GLOBALLY AS external name }
[DEFAULT TABLESPACE tablespace_name]
[TEMPORARY TABLESPACE tablespace_name]
[QUOTA {n {[K|M] | UNLIMITED } ON tablespace_name
QUOTA {n {[k|M] | UNLIMITED } ON tablespace_name ... ]
[PASSWORD EXPIRE]
[ACCOUNT { LOCK | UNLOCK }]
[PROFILE { profile_name | DEFAULT }]

eg:
CREATE USER robinson IDENTIFIED BY tiger;

--省略了DEFAULT TABLESPACE和TEMPORARY TABLESPACE 時，則由database_properties中對應的參數確定
SQL> SELECT property_name,property_value FROM database_properties WHERE property_name LIKE 'DEFAULT%';

PROPERTY_NAME PROPERTY_VALUE
------------------------------ --------------------------------------------------
DEFAULT_TEMP_TABLESPACE TEMP
DEFAULT_PERMANENT_TABLESPACE USERS
DEFAULT_TBS_TYPE SMALLFILE

更多關於表空間的請參考：Oracle 表空間與數據文件
1.修改用戶
修改用戶的語法同創建用戶，僅僅講關鍵字create替換爲alter，alter user可以修改除用戶名之外的任一屬性
ALTER USER robinson ACCOUNT LOCK;

2.修改密碼
DBA 可以創建用戶和修改密碼
用戶本人可以使用ALTER USER 語句修改密碼
SQL> ALTER robinson IDENTIFIED BY newpassword;

3.刪除用戶：
DROP USER username [CASCADE]

CASECADE 連同用戶創建的對象一併刪除，如果該用戶創建了對象，要加CASCADE刪除，否則刪除不掉
另外，不能刪除當前正在與ORACLE服務器相連的用戶。

4.改變用戶在表空間上的配額：
ALTER USER username QUOTA 0 ON system;
ALTER USER scott QUOTA UNLIMITED ON USERS;
ALTER USER dog QUOTA 30M ON system;

5.查看用戶表空間配額（dba_ts_quotas)：
SQL> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 "Max MB"
2 FROM dba_ts_quotas WHERE USERNAME='SCOTT';

USERNAME TABLESPACE_NAME Max MB
------------------------------ --------------------------
SCOTT SYSTEM 30

6.查看特定對象下用戶所擁有的對象
使用dba_objects視圖
SQL> SELECT owner,object_name, object_type FROM dba_objects WHERE owner= 'SCOTT';

三、ORACLE權限：
系統權限: 允許用戶執行特定的數據庫動作，如創建表、創建索引、連接實例等
對象權限: 允許用戶操縱一些特定的對象，如讀取視圖，可更新某些列、執行存儲過程等

1.系統權限
超過一百多種有效的權限（SELECT * FROM SYSTEM_PRIVILEGE_MAP查）
數據庫管理員具有高級權限以完成管理任務，例如:
C創建新用戶
C刪除用戶
C刪除表
C備份表

a.常用的系統權限：
CREATE SESSION 創建會話
CREATE SEQUENCE 創建序列
CREATE SYNONYM 創建同名對象
CREATE TABLE 在用戶模式中創建表
CREATE ANY TABLE 在任何模式中創建表
DROP TABLE 在用戶模式中刪除表
DROP ANY TABLE 在任何模式中刪除表
CREATE PROCEDURE 創建存儲過程
EXECUTE ANY PROCEDURE 執行任何模式的存儲過程
CREATE USER 創建用戶
DROP USER 刪除用戶
CREATE VIEW 創建視圖

b.授予用戶系統權限
GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]
[WITH ADMIN OPTION];

PUBLIC 所有用戶
WITH ADMIN OPTION 使用戶同樣具有分配權限的權利，可將此權限授予別人

SQL> GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott;
SQL> GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION;
SQL> CONN scott; --scott具有WITH ADMIN OPTION，故可以將EXECUTE ANY PROCEDURE授予robinson
Enter password:
Connected.
SQL> GRANT EXECUTE ANY PROCEDURE TO robinson;

Grant succeeded.
SQL> GRANT EXECUTE ANY PROCEDURE TO PUBLIC; --將EXECUTE ANY PROCEDURE授予所有用戶

Grant succeeded.
SQL> CONN system/redhat; --使用system爲robinson授予CREATE TABLE、CREATE SESSION權限
Connected.
SQL> GRANT CREATE TABLE,CREATE SESSION TO robinson;

Grant succeeded.

c.使用系統權限
--使用robinson具有創建會話、創建表
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示沒有權限在users表空間創建對象
CREATE TABLE tb1 AS SELECT * FROM USER_TABLES
*
ERROR at line 1:
ORA-01950: no privileges on tablespace 'USERS'

SQL> CONN sys as sysdba; --使用sys帳戶登陸併爲robinson在users表空間指定配額後可以創建表tb1
Enter password:
Connected.
SQL> ALTER USER robinson QUOTA 10M ON USERS;

User altered.

SQL> CONN robinson/lion;
Connected.
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;

Table created.

d.查看系統權限
dba_sys_privs --針對所有用戶被授予的系統權限
user_sys_privs --針對當前登陸用戶被授予的系統權限

SQL> SELECT grantee,privilege,admin_option FROM dba_sys_privs
2 WHERE grantee IN ('SCOTT','ROBINSON')
3 ORDER BY grantee;

GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON CREATE SESSION NO
ROBINSON CREATE TABLE NO
ROBINSON EXECUTE ANY PROCEDURE NO
SCOTT CREATE PUBLIC SYNONYM NO
SCOTT CREATE SESSION NO
SCOTT CREATE SYNONYM NO
SCOTT CREATE TABLE NO
SCOTT CREATE USER NO
SCOTT CREATE VIEW NO
SCOTT EXECUTE ANY PROCEDURE YES
SCOTT UNLIMITED TABLESPACE NO

e.回收系統權限
REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}

--下面的示例中並沒有回收掉原來由scott授予給robisnon EXECUTE ANY PROCEDURE 的權限
SQL> REVOKE EXECUTE ANY PROCEDURE FROM scott;

Revoke succeeded.

SQL> select grantee,privilege,admin_option from dba_sys_privs
2 where grantee in ('SCOTT','ROBINSON') and privilege = 'EXECUTE ANY PROCEDURE'
3 order by grantee;

GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON EXECUTE ANY PROCEDURE NO

注意：對於使用with admin option 爲某個用戶授予系統權限，那麼對於被這個用戶授予相同權限的所有
用戶來說，取消該用戶的系統權限並不會級聯取消這些用戶的相同權限

2.對象權限
不同的對象具有不同的對象權限
對象的擁有者擁有所有權限
對象的擁有者可以向外分配權限
ORACLE一共有種對象權限

對象權限表視圖序列過程
修改(alter) √ √
刪除(delete) √ √
執行(execute) √
索引(index) √
插入(insert) √ √
關聯(references) √ √
選擇(select) √ √ √
更新(update) √ √

a.對象授權
GRANT object_priv｜ALL [(columns)]
ON object
TO {user|role|PUBLIC}
[WITH GRANT OPTION];

ALL：所有對象權限
PUBLIC：授給所有的用戶
WITH GRANT OPTION：允許用戶再次給其它用戶授權

b.授予系統權限與授予對象權限的語法差異：
授予對象權限時需要指定關鍵字ON，從而能夠確定權限所應用的對象。對於表和視圖可以指定特定的列來授權。

--對象授權示例
SQL> SHOW USER;
USER is "SCOTT"
SQL> GRANT SELECT ON emp TO robinson;

Grant succeeded.

SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;

Grant succeeded.

--新創建一個用戶john，使用robinson賬戶授予更新scott.emp(sal,mgr)的權限
SQL> CREATE USER john IDENTIFIED BY john;

User created.

SQL> GRANT CREATE SESSION TO john;

Grant succeeded.

SQL> CONN ROBINSON/LION
Connected.
SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john; --授予scott.emp(sal,mgr)的更新權限

Grant succeeded.

SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT'; --成功更新

1 row updated.

--向數據庫中所有用戶分配權限
SQL> GRANT SELECT ON dept TO PUBLIC;

Grant succeeded.

c.查詢權限分配情況
數據字典視圖描述
ROLE_SYS_PRIVS 角色擁有的系統權限
ROLE_TAB_PRIVS 角色擁有的對象權限

USER_TAB_PRIVS_MADE 查詢授出去的對象權限(通常是屬主自己查）
USER_TAB_PRIVS_RECD 用戶擁有的對象權限

USER_COL_PRIVS_MADE 用戶分配出去的列的對象權限
USER_COL_PRIVS_RECD 用戶擁有的關於列的對象權限

USER_SYS_PRIVS 用戶擁有的系統權限
USER_TAB_PRIVS 用戶擁有的對象權限
USER_ROLE_PRIVS 用戶擁有的角色

--查詢已授予的對象權限(即某個用戶對哪些表對哪些用戶開放了對象權限)
SQL> SELECT * FROM user_tab_privs_made; --下面是scott用戶開放的對象權限

GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- ------------------------ ------------------------- -------------------- --- ---
PUBLIC DEPT SCOTT SELECT NO NO
ROBINSON EMP SCOTT SELECT NO NO

--查詢列上開放的對象權限
SQL> SELECT * FROM user_col_privs_made;

GRANTEE TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- -------------------- --------------------- -------------- -------------------- ---
ROBINSON EMP SAL SCOTT UPDATE YES
JOHN EMP MGR ROBINSON UPDATE NO
ROBINSON EMP MGR SCOTT UPDATE YES
JOHN EMP SAL ROBINSON UPDATE NO

--查詢已接受的對象特權(即某個用戶被授予了哪些表上的哪些對象特權)
SQL> SELECT * FROM user_tab_privs_recd;

OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- -------------------- ------------------------------ -------------------- --- ---
SCOTT EMP SCOTT SELECT NO NO

--查詢用戶已接受列的對象權限
SQL> SELECT * FROM user_col_privs_recd;

OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- ------------------ ---------------- -------------------- -------------------- ---
SCOTT EMP MGR SCOTT UPDATE YES
SCOTT EMP SAL SCOTT UPDATE YES

d.收回對象權限
使用REVOKE 語句收回權限
使用WITH GRANT OPTION 子句所分配的權限同樣被收回

REVOKE {privilege [, privilege...]|ALL}
ON object
FROM {user[, user...]|role|PUBLIC}
[CASCADE CONSTRAINTS];

CASCADE CONSTRAINTS 爲處理引用完整性時需要

--收回權限示例
SQL> conn scott/tiger;
Connected.
SQL> REVOKE SELECT ON emp FROM robinson;

Revoke succeeded.

SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此處的提示revoke的是整個表，而非列
REVOKE UPDATE(sal,mgr) ON emp FROM robinson
*
ERROR at line 1:
ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column

SQL> REVOKE UPDATE ON emp FROM robinson;

Revoke succeeded.

--用戶robinson的update 權限被revoke,曾級聯賦予john的權限也被收回，
--如下提示表、視圖不存在，user_col_privs_recd中無記錄
SQL> CONN john/john;
Connected.
SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';
UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'
*
ERROR at line 1:
ORA-00942: table or view does not exist

SQL> SELECT * FROM user_col_privs_recd;

no rows selected

注意：如果取消某個用戶的對象權限，對於該用戶使用with grant option授予其它用戶相同權限來說，
將級聯刪除這些用戶權限

e.其它
檢查DBA權限的用戶
select * from dba_role_privs where granted_role='DBA';

查看用戶具有的系統權限：
SELECT * FROM session_privs;

四、總結
1.使用create user語句創建用戶，alter user語句修改用戶，其語法大致相同
drop user username [CASCADE] 會刪除用戶所擁有的所有對象及數據
2.系統權限允許用戶在數據庫中執行特定的操作，如執行DDL語句。
with admin option 使得該用戶具有將自身獲得的權限授予其它用戶的功能
但收回系統權限時，不會從其它帳戶級聯取消曾被授予的相同權限
3.對象權限允許用戶對數據庫對象執行特定的操作，如執行DML語句。
with grant option 使得該用戶具有將自身獲得的對象權限授予其它用戶的功能
但收回對象權限時，會從其它帳戶級聯取消曾被授予的相同權限
4.系統權限與對象權限授予時的語法差異爲對象權限使用了ON object_name 子句
5. PUBLIC 爲所有的用戶
6. ALL：對象權限中的所有對象權限

2011年12月23日星期五

DBA生存之四大守则

http://www.builder.com.cn/2007/0930/531123.shtml
在我的DBA系列课程讲义中,我曾经总结了"DBA的四大守则",做为一点告诫,每次我都会在课程开始时强调这几个内容.

此前在几篇文章中,陆续的介绍过2大守则:

DBA生存守则之三
年终难终进入数据库事故多发期

曾经有很多朋友问我另外2个守则是什么,今天一并写在这里,做为回答.

我列出的四大守则是:

1.备份重于一切
我们必需知道,系统总是要崩溃的，没有有效的备份只是等哪一天死！我经常开玩笑的说,唯一会使DBA在梦中惊醒的就是,没有有效的备份.

2.三思而后行
think thrice before you act

任何时候都要清楚你所做的一切，否则宁可不做！有时候一个回车,一条命令就会造成不可恢复的灾难,所以,你必需清楚确认你所做的一切,并且在必要时保护现场.

3.rm是危险的
要知道在UNIX/Linux下，这个操作意味着你可能将永远失去后面的东西，所以，确认你的操作！！！
太多的人在 "rm -rf" 上悲痛欲绝,当年写下这条守则时,是一个凌晨被一个朋友吵醒,他说误操作rm -rf删除掉了200G的数据库,并且没有备份.

我当时能告诉他的只有一句话:要保持冷静.

4.你来制定规范
良好的规范是减少故障的基础。所以,做为一个DBA,你需要来制订规范,规范开发甚至系统人员,这样甚至可以规避有意或是无意的误操作.减少数据库的风险.

我们知道,在管理良好的数据库服务器上,rm -rf甚至可能是不允许使用的.

也许我们需要遵守的可能更多,所以我一直强调DBA一定要严谨专注,当然我也非常喜欢另外一句话:坚韧卓绝之人，必能成就万事.

以上四大守则,愿于诸位DBA朋友共勉.

怎样成长为一个真正的Oracle DBA

http://www.builder.com.cn/2007/0820/460894.shtml
Oracle分两大块，一块是开发，一块是管理。

开发主要是写写存储过程、触发器什么的，还有就是用Oracle的Develop工具做form。有点类似于程序员，需要有较强的逻辑思维和创造能力，个人觉得会比较辛苦，是青春饭；管理则需要对Oracle数据库的原理有深刻的认识，有全局操纵的能力和紧密的思维，责任较大，因为一个小的失误就会down掉整个数据库，相对前者来说，后者更看重经验。因为数据库管理的责任重大，很少公司愿意请一个刚刚接触Oracle的人去管理数据库。

对于刚刚毕业的年轻人来说，可以先选择做开发，有一定经验后转型，去做数据库的管理。当然，这个还是要看人个的实际情况来定。

二、学习方法

我的方法很简单，就是：看书、思考、写笔记、做实验、再思考、再写笔记。看完理论的东西，自己静下心来想想，多问自己几个为什么，然后把所学和所想的知识点做个笔记；在想不通或有疑问的时候，就做做实验，想想怎么会这样，同样的，把实验的结果记下来。思考和做实验是为了深入的了解这个知识点。而做笔记的过程，也是理清自己思路的过程。学习的过程是使一个问题由模糊到清晰，再由清晰到模糊的过程。而每次的改变都代表着你又学到了一个新的知识点。

学习的过程也是从点到线，从线到网，从网到面的过程。当点变成线的时候，你会有总豁然开朗的感觉。当网到面的时候，你就是高手了。很多网友，特别是初学的人，一碰到问题就拿到论坛上来问，在问前，你有没有查过书，自己有没有研究过，有没有搜索一下论坛?这就叫思维惰性。

由别人来回答你的问题，会让你在短时间内不费劲地弄懂这个知识点，然而通过自己的努力去研究它，不但会更深入的了解这个知识点，更重要的是在研究的过程会提高你解决问题和分析问题的能力。总的来说，没有钻研的学习态度，不管学什么东西，都不会成功的。当然，初学的人很多时候是因为遇到问题时，无从下手，也不知道去哪里找资料，才会到论坛上提问题的。但我认为，在提问的时候，是不是可以问别人是如何分析这个问题?从哪里可以找到相关的资料?而不是这个问题的答案是什么?授人以鱼不如授人以渔。

下面我讲下，我处理问题的过程。首先要知道Oracle的官方网站：www.oracle.com。这里有Oracle的各种版本的数据库、应用工具和权威的官方文档。

其次，还要知道http://metalink.Oracle.com/。这里是买了Oracle服务或是Oracle的合作伙伴才可以进去的，里面有很多权威的解决方案和补丁。

然后就是一些著名网站：asktom.Oracle.com www.orafaq.net, www.dbazine.com。这里有很多遇到问题了的经验之谈。

如果是概念上的问题，第一时间可以找tahiti.Oracle.com，这里会给你最详细的解释。如果在运行的过程中出了什么错误。可以去metalink看看。如果是想知道事务的处理的经验之谈。可以去asktom。当然。这里只是相对而言。

三、Oracle的体系

Oracle的体系很庞大，要学习它，首先要了解Oracle的框架。在这里，简要的讲一下Oracle的架构，让初学者对Oracle有一个整体的认识。

1、物理结构(由控制文件、数据文件、重做日志文件、参数文件、归档文件、密码文件组成)

控制文件：包含维护和验证数据库完整性的必要信息、例如，控制文件用于识别数据文件和重做日志文件，一个数据库至少需要一个控制文件。

数据文件：存储数据的文件。

重做日志文件：含对数据库所做的更改记录，这样万一出现故障可以启用数据恢复。一个数据库至少需要两个重做日志文件。参数文件：定义Oracle例程的特性，例如它包含调整SGA中一些内存结构大小的参数。

归档文件：是重做日志文件的脱机副本，这些副本可能对于从介质失败中进行恢复很必要。

密码文件：认证哪些用户有权限启动和关闭Oracle例程。

2、逻辑结构(表空间、段、区、块)

表空间：是数据库中的基本逻辑结构，一系列数据文件的集合。

段：是对象在数据库中占用的空间。

区：是为数据一次性预留的一个较大的存储空间。

块：Oracle最基本的存储单位，在建立数据库的时候指定。

3、内存分配(SGA和PGA)

SGA：是用于存储数据库信息的内存区，该信息为数据库进程所共享。它包含Oracle服务器的数据和控制信息，它是在Oracle 服务器所驻留的计算机的实际内存中得以分配，如果实际内存不够再往虚拟内存中写。

PGA：包含单个服务器进程或单个后台进程的数据和控制信息，与几个进程共享的SGA正相反PGA是只被一个进程使用的区域，PGA 在创建进程时分配在终止进程时回收。

4、后台进程(数据写进程、日志写进程、系统监控、进程监控、检查点进程、归档进程、服务进程、用户进程)

数据写进程：负责将更改的数据从数据库缓冲区高速缓存写入数据文件。

日志写进程：将重做日志缓冲区中的更改写入在线重做日志文件。

系统监控：检查数据库的一致性如有必要还会在数据库打开时启动数据库的恢复。

进程监控：负责在一个Oracle进程失败时清理资源。

检查点进程：负责在每当缓冲区高速缓存中的更改永久地记录在数据库中时，更新控制文件和数据文件中的数据库状态信息。归档进程：在每次日志切换时把已满的日志组进行备份或归档。

服务进程：用户进程服务。

用户进程：在客户端，负责将用户的SQL语句传递给服务进程，并从服务器段拿回查询数据。

5、Oracle例程

Oracle 例程由SGA内存结构和用于管理数据库的后台进程组成。例程一次只能打开和使用一个数据库。

6、SCN(System Change Number)

系统改变号，一个由系统内部维护的序列号。当系统需要更新的时候自动增加，他是系统中维持数据的一致性和顺序恢复的重要标志。

四、深入学习

管理：可以考OCP证书，对Oracle先有一个系统的学习，然后看Oracle Concepts、Oracle online document,对Oracle的原理会有更深入的了解，同时可以开始进行一些专题的研究如：RMAN、RAS、STATSPACT、DATAGUARD、TUNING、BACKUP&RECOVER等等。

开发：对于想做Oracle开发的，在了解完Oracle基本的体系结构之后，可以重点关注PL/SQL及Oracle的开发工具这一部分。PL/SQL主要是包括怎么写SQL语句，怎么使用Oracle本身的函数，怎么写存储过程、存储函数、触发器等。Oracle的开发工具主要就是Oracle自己的Developer Suite(Oracle Forms Developer and Reports Developer这些)，学会如何熟练使用这些工具。

介绍几个网站

http://tahiti.Oracle.com Oracle的官方文档

http://metalink.Oracle.com/Oracle的技术支持网站。需要购买Oracle服务才能有一个帐号，才能登陆，有大量的Knowledge Base，大量问题解决经验。

http://www.Oracle.com Oracle的官方网站，可以在这里down Oracle的软件、官方文档和获得最新的消息

http://www.dbazine.com/Oracle的杂志

0.1. DBA的性格

http://blog.oraclefans.cn/baishan1/entry/dba%E6%97%A5%E8%AE%B0_%E5%89%8D%E8%A8%80%E4%B9%8Bdba%E7%9A%84%E6%80%A7%E6%A0%BC
0.1. DBA的性格

不一定任何人都需要从事DBA这个工作，DBA是一种压力相对比较大的职业，并且要求从业人员在工作期间不断的学习新的技术。Oracle数据库每5年左右会进行大版本升级，这就需要DBA不断的学习新的知识。记得几年前在做一个项目的时候，和一个干了七八年的老DBA一起聊天，他说本来想好了，9i的技术就不去学习了，就吃8i的老本了，不过没办法，想要生存，必须去学习。最后他说他的最大愿望是不要再去学10g 的东西了。不过愿望只是愿望，2年后，我看到他出差的时候带着一本10g 的书，就说起了那次对话。他也只能笑着说，干DBA的都是苦命人，不学习是不可能的。DBA这个职业可以做的很长，国外一些高手和大师都是从事DBA工作超过20年的。不过对于绝大多数朋友来手，DBA只是职业生涯中的一个台阶而已，因此在做职业规划的时候，首先你需要考虑DBA是作为一种过渡性的工作呢，还是作为一种生活和爱好。

这就需要根据自身的性格来考虑了，有几种性格是不适合做DBA的。DBA需要谨慎的态度，如果你的性格比较急躁，那么DBA不是适合你的工作。DBA承担了企业中最为重要的数据库的维护，其工作性质决定了DBA是一种压力十分大的职业，在处理日常工作以及突发性问题的时候，急躁是最为可怕的性格，越是碰到紧急的问题，越需要DBA以冷静的心态来面对，否则很容易出现不必要的问题。2004年美国的一项调查表明，超过30%的系统故障是由于维护人员人为失误造成的,因此沉稳的性格是DBA减少出现操作失误的一个重要保证。

除了急躁外，好奇心太强的人也不适合做DBA。DBA在做维护工作的时候，经常会碰到一些莫名其妙的事情，和自己工作无关的事情尽量不要做，这是铁的纪律。Oracle公司的工程师到客户现场工作的时候，一般会拒绝客户提出的和本次任务无关的工作，这也是oracle原厂服务经常被客户诟病的一点。不过我认为这是一种很职业的态度，我只做和我工作相关的事情。从另外一个角度来说，就是做自己技术能力范围内的事情。有些DBA无法判断某个操作的风险，在这种情况下，客户让你做某件事情，你到底是做还是不做呢？最好的方式是通过向专家咨询，确认没有问题后再去做。一个好奇心很强的DBA，可能发现了一个新的脚本，就很急迫的想在自己维护的生产库上尝试一下，可能他根本没有去考虑这个脚本是否存在风险。实际上，在我这十多年的DBA工作中，也多次出现了由于好奇心强导致去做一些自己认为没有风险的事情，结果或多或少的造成了一些问题，甚至有一次我在一个客户的生产库上尝试一个以前没有做过的DUMP命令，最终碰到了一个Oracle 的BUG，导致RAC的一个节点宕机。从那以后，哪怕再好奇，我也会先充分评估操作的风险，并且尽可能不去做一些和自己工作无关的分析。实际上，作为一个DBA是很难经得起诱惑的，因为有很多情况可能你一辈子也碰不上几回，作为一个爱好ORACLE的人，碰到了某种现场，都可能会被吸引，甚至诱惑。作为DBA，经得起诱惑，是十分好的性格。从另一个方面来说，DBA需要足够的职业素养，由于DBA工作的风险十分高，任何一个违背职业素养的工作习惯都可能演变为工作中的失误，因此做一个真正的职业人是十分关键的。

DBA需要有决断的性格。虽然强调DBA不能胆子太大，但是在某些情况下，DBA必须决断。有一次客户的数据库出现了严重的问题，导致宕机，启动后没多久再次宕机，客户也十分着急，由于时间十分紧迫，现场工程师和我们在二线做支持的人都没有足够的时间去进行分析，我当时感觉和我以前碰到的一个BUG十分类似，不过从CALL STACK来看，还是有些差别。当时现场工程师就不敢做这个决定，我说这种时候了，如果这个补丁不起作用，我们的服务也就做到头了，这种情况下目前没有别的思路，但是我们目前什么都不做，肯定是不行的，所以立即打补丁。幸运的是，补丁打上之后，数据库恢复正常了。决断不仅仅是一种性格，这种情况下，决断是基于一定的条件的，因为我知道，哪怕这个补丁不能解决问题，也是没有副作用的。对风险的理解，是决断的基础。

DBA的责任心是十分关键的。我面试一个DBA，首先看到的不是他的技术能力有多强，而是他的工作态度和责任心。一个有责任心的人，哪怕技术水平稍微差一点，也不容易出大问题。而一个缺乏责任心的DBA，不亚于一颗定时炸弹。能把工作当成自己的事情的人，是肯定能够成为一个好的DBA的。在很多情况下，DBA的工作都是从纷繁的表象中去发现危险的存在，一个把工作当成苦差事的人，是很难做到这一点的。我平时很少会和同事发脾气，唯一的一次，是因为一件小事。当时客户的一个系统需要我们帮助做一个健康性检查，一共有10多套大型数据库，要在2、3天内完成巡检工作。当时有三个人一起参与巡检，采用的方式是集中采集数据，集中编写报告的方式，这种方式一般来说我们很少采用，因为这种方式可能导致巡检的质量下降，不过由于时间紧迫，也只能采用这种权宜之计了。在做巡检之前，我就和哥几个说虽然时间紧，但是一定要认真。虽然哥几个答应的挺好，不过报告出来后，我感觉还是过于粗糙。我只好打回去让他们整改，整改了2、3次还是难以让人满意。事后我和哥几个说，如果你把这件事当成一个工作，确实让一个人在这么短时间里做这么多库的巡检，难免会有些枯燥，质量下降也是难免。不过如果你是以前的手工艺者，做巡检就是我们的手艺，你拿出的活能不能对得起自己这点手艺呢？大家听后都感触颇深，既然我们吃这碗饭，那么我们就应该拿出对得起这碗饭的手艺。现代社会比较浮躁，大家都是为了生活而工作，工作已经不是目的而只是手段，这一点我也能够认同，不过人除了物质的东西，总还是需要一些形而上的信仰来支撑自己，否则会失去很多乐趣的。这种信仰就是手艺人赖以生存的基础，失去了这些信仰，把DBA工作当成纯粹的谋生手段，那么你还会为了解决一个问题而兴奋不已吗？还会为了自己的失误而感到懊悔吗？

每一个准备做DBA这个工作的人，无论自己的职场规划是如何的，作为DBA就应该明白自己承担什么样的责任。摆在我们面前会有很多的诱惑，你面对的是企业最为宝贵的财富--数据库。可能你干一辈子的收入还不如把其中一小部分数据复制出去卖给别人赚的多，但是你必须守住自己的信念，你必须对得起自己，对得起自己的衣食父母。记得刚刚工作的时候，我在DEC软件中心，帮助香港氧气公司移植他们的核心业务系统，我负责的工作就是将香港氧气公司的TME数据库里的数据移植到OPENVMS的RMS系统中去。我第一次接触数据之前，老板让我签署了一个保密协议，他当时对我说，这些数据，随便拿出一些，你就可以卖出几十万的价钱，但是我相信你不会这么做，作为职场中的人，这是最起码的道德底线，今后你可能会遇到很多类似的事情，只要你一次触动了底线，那你就万劫不复了。作为DBA，那根底线是绝对不能突破的，这不仅仅是道德的问题，实际上这个底线是对我们最好的保护。

一个人的性格是天生的，不过也是可以改变的，如果一个人想去做一件事情，并且不断的在努力，成功的机会是很大的。连郭靖这种蠢笨如牛的人都可以成为一代宗师，你想成为一个DBA又有何难呢。虽然说不是所有的人都适合做DBA，不过这一切对于一个努力的人来说，都不成问题。性格是可以改变的，习惯是可以改变的，为了自己的目标，可以改变一切的人，那么还有什么不能实现吗？我们公司有一个小伙子，性格极为内向，和同事在一起上班，可以一天只说1、2句话，甚至一句话不说。有一次去客户现场工作了2个多月，我们给他一个额外的任务就是请客户的DBA吃一顿饭，就是这么一个很小的任务，他最后都没有完成。按理说，这种性格的人，是很难成为一个合格的DBA的，因为DBA需要和别人沟通，作为DBA，三分靠技术，七分考沟通。就是这样一个内向的人，在大家的努力下，通过一年的时间，居然有了很大的改变，首先是和自己同事之间的沟通多了起来，和客户之间的交流也逐渐好了起来，虽然和其他工程师比较，他还是属于沉默寡言的那一类人，不过可以看得出，他一直很努力的克服自己的瓶颈，而且我们也看到了他的努力所得到的成果，我想再有1、2年的时间，他会成功的。在这一节的最后，我举这个例子，就是想说DBA的最后一个，也就是最重要的性格--坚持。大家应该都看过士兵突击，许三多不是一个当兵的料，不够他在战友的帮助下，一直坚持着，最后成就了兵王。在这个故事里，有两个重要的要素，一个是许三多的坚持，一个是战友的坚持。钢七连的"不抛弃，不放弃"的信念是成功的关键。对于一个刚刚走入职场，想成为一个成功的DBA的人，这个信念尤为重要。

訂閱：文章 (Atom)

2012年1月28日 星期六

2012年1月22日 星期日

2012年1月8日 星期日

2011年12月23日 星期五

2012年1月28日星期六

2012年1月22日星期日

2012年1月8日星期日

2011年12月23日星期五