Oracle PUP（PRODUCT_USER_PROFILE）配置和使用

最近在翻Oracle SQLPLUS官方文档，在讲SQLPLUS Security章节介绍了PUP这个机制。借此，我来使用以下：PUP(PRODUCT_USER_PROFILE)

最近在翻Oracle SQLPLUS官方文档，在讲SQLPLUS Security章节介绍了PUP这个机制。借此，，我来使用以下：
 
PUP(PRODUCT_USER_PROFILE)介绍
  PRODUCT_USER_PROFILE是SYSTEM账户下一个表，可提供用户级别的安全限制。
  PUP设置对DBA权限用户无效。
  PUP只针对本地数据库生效(Local Database)。
 
1、SYSTEM 用户创建PUP：
 SQLPLUS SYSTEM
 
@ D:\app\Administrator\product\11.2.0\dbhome_1\sqlplus\admin\pupbld.sql
 
脚本内容：

DROP SYNONYM PRODUCT_USER_PROFILE;

CREATE TABLE SQLPLUS_PRODUCT_PROFILE AS
  SELECT PRODUCT, USERID, ATTRIBUTE, SCOPE, NUMERIC_VALUE, CHAR_VALUE,
  DATE_VALUE FROM PRODUCT_USER_PROFILE;

DROP TABLE PRODUCT_USER_PROFILE;
ALTER TABLE SQLPLUS_PRODUCT_PROFILE ADD (LONG_VALUE LONG);

-- Create SQLPLUS_PRODUCT_PROFILE from scratch

CREATE TABLE SQLPLUS_PRODUCT_PROFILE
(
  PRODUCT        VARCHAR2 (30) NOT NULL,
  USERID        VARCHAR2 (30),
  ATTRIBUTE      VARCHAR2 (240),
  SCOPE          VARCHAR2 (240),
  NUMERIC_VALUE  DECIMAL (15,2),
  CHAR_VALUE    VARCHAR2 (240),
  DATE_VALUE    DATE,
  LONG_VALUE    LONG
);

-- Remove SQL*Plus V3 name for sqlplus_product_profile

DROP TABLE PRODUCT_PROFILE;

-- Create the view PRODUCT_PRIVS and grant access to that

DROP VIEW PRODUCT_PRIVS;
CREATE VIEW PRODUCT_PRIVS AS
  SELECT PRODUCT, USERID, ATTRIBUTE, SCOPE,
        NUMERIC_VALUE, CHAR_VALUE, DATE_VALUE, LONG_VALUE
  FROM SQLPLUS_PRODUCT_PROFILE
  WHERE USERID = 'PUBLIC' OR USER LIKE USERID;

GRANT SELECT ON PRODUCT_PRIVS TO PUBLIC;
DROP PUBLIC SYNONYM PRODUCT_PROFILE;
CREATE PUBLIC SYNONYM PRODUCT_PROFILE FOR SYSTEM.PRODUCT_PRIVS;
DROP SYNONYM PRODUCT_USER_PROFILE;
CREATE SYNONYM PRODUCT_USER_PROFILE FOR SYSTEM.SQLPLUS_PRODUCT_PROFILE;
DROP PUBLIC SYNONYM PRODUCT_USER_PROFILE;
CREATE PUBLIC SYNONYM PRODUCT_USER_PROFILE FOR SYSTEM.PRODUCT_PRIVS;

--禁用HR用户的DROP命令
 SYSTEM@orcl> insert into product_user_profile values('SQL*Plus', 'HR', 'DROP', NULL, NULL, 'DISABLED', NULL, NULL);
 

已创建 1 行。
 

SYSTEM@orcl> commit;
 

提交完成。
 

2、PUP表结构概览
 SYSTEM@orcl> desc product_user_profile
  名称                                    是否为空? 类型
  ---------------------------------------- -------- ---------------------------
  PRODUCT                                  NOT NULL VARCHAR2(30)
  USERID                                            VARCHAR2(30)
  ATTRIBUTE                                        VARCHAR2(240)
  SCOPE                                            VARCHAR2(240)
  NUMERIC_VALUE                                    NUMBER(15,2)
  CHAR_VALUE                                        VARCHAR2(240)
  DATE_VALUE                                        DATE
  LONG_VALUE                                        LONG
 

 --PRODUCT : 说明要限制的程序
  --USERID : 要限制的用户（大写）
  --ATTRIBUTE : 要限制的命令或角色
  --SCOPE : 不适用；放NULL
  --NUMERIC_VALUE : 不适用；放NULL
  --CHAR_VALUE ：DISABLED
  --DATE_VALUE ：不适用；放NULL
  --LONG_VALUE ：不适用；放NULL
 
 

3、HR登录进行DROP操作证明设置生效：
 SYSTEM@orcl> conn hr/hr
 已连接。
 

HR@orcl> create table t(x int);
 

表已创建。
 

HR@orcl> drop table t;
 SP2-0544: 在产品用户概要文件中禁用命令 "drop"
 HR@orcl> conn system/oracle@orcl
 已连接。
 

SYSTEM@orcl> delete from product_user_profile;
 

已删除 1 行。
 

SYSTEM@orcl> commit;
 

提交完成。
 

SYSTEM@orcl> conn hr/hr@orcl
 已连接。
 

HR@orcl> drop table t;
 

表已删除。