DB2 V9.7中的DATAACCESS权限

最新推荐文章于 2024-11-10 16:30:26 发布
转载 最新推荐文章于 2024-11-10 16:30:26 发布 · 1.6k 阅读 · 0

本文探讨了在DB2 9.7版本中,当一个普通用户被赋予DATAACCESS权限后,即使未直接授予特定表的DELETE权限也能执行DELETE操作的现象。DATAACCESS权限允许用户对数据库中的所有表进行SELECT、INSERT、UPDATE和DELETE等操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近碰到一个有意思的问题,在某个 DB29.7的系统中,有一个用户名曰A,A只是一个普通用户,没有SYSADM的权限,也不属于其他特殊的用户组。原本该A被赋予了对表T的DELETE特权,可以对表T进行数据删除的操作。某日管理员因故取消了A对表T的DELETE权限,却发现用A连接数据库之后,仍然可以执行DELETEFROM T的操作。于是管理员抓狂崩溃莫名。

   初听这个问题,怀疑方向落在user A所属的组是否具有相应权限上。于是通过select * fromsysibmadm.privileges查看了所有特权,发现:

AUTHID AUTHIDTYPE PRIVILEGE  GRANTABLE OBJECTNAME OBJECTSCHEMA OBJECTTYPE
"A","U","REFERENCE",,"T","DB2INST1","TABLE"
"A","U","SELECT","Y","T","DB2INST1","TABLE"
"A","U","INSERT","Y","T","DB2INST1","TABLE"
"A","U","INDEX","Y","T","DB2INST1","TABLE"
"A","U","ALTER","Y","T","DB2INST1","TABLE"

    A所在的组包括public组,并没有T上的DELETE特权。于是问题变得愈加有意思了。

    无奈怀疑到sysibmadm.privileges所列示的信息未必完备,于是深入查了一下DBAUTH这个系统表。列示相关信息如下:

"DB2INST1","U","A","U","N","N","N","N","N","N","N","N","N","N","N","N","N","N","Y","Y"

db2 "describe table syscat.dbauth"

                               Datatype                    Column
Columnname                    schema    Datatypename     Length    Scale NullsGRANTOR                        SYSIBM   VARCHAR                   128    0 No   
GRANTORTYPE                    SYSIBM   CHARACTER                   1    0 No   
GRANTEE                        SYSIBM   VARCHAR                   128    0 No   
GRANTEETYPE                    SYSIBM   CHARACTER                   1    0 No   
BINDADDAUTH                    SYSIBM   CHARACTER                   1    0 No   
CONNECTAUTH                    SYSIBM   CHARACTER                   1    0 No   
CREATETABAUTH                  SYSIBM   CHARACTER                   1    0 No   
DBADMAUTH                      SYSIBM   CHARACTER                   1    0 No   
EXTERNALROUTINEAUTH            SYSIBM   CHARACTER                   1    0 No   
IMPLSCHEMAAUTH                 SYSIBM   CHARACTER                   1    0 No   
LOADAUTH                       SYSIBM   CHARACTER                   1    0 No   
NOFENCEAUTH                    SYSIBM   CHARACTER                   1    0 No   
QUIESCECONNECTAUTH             SYSIBM   CHARACTER                   1    0 No   
LIBRARYADMAUTH                 SYSIBM   CHARACTER                   1    0 No   
SECURITYADMAUTH                SYSIBM   CHARACTER                   1    0 No   
SQLADMAUTH                     SYSIBM   CHARACTER                   1    0 No   
WLMADMAUTH                     SYSIBM   CHARACTER                   1    0 No   
EXPLAINAUTH                    SYSIBM   CHARACTER                   1    0 No   
DATAACCESSAUTH                 SYSIBM   CHARACTER                   1    0 No   
ACCESSCTRLAUTH                 SYSIBM   CHARACTER                   1    0 No 

    发现用户A被实例用户db2inst1赋予了DATAACCESS的特权。正想我常说的那样,“事情的发生总有原因。”是的,这就是事情的根源。

    DATAACCESS特权是DB2新引入的权限,对于数据库中所有表、视图、具体化查询表和昵称,它会提供下列权限和特权:

  • 对数据库的 LOAD 权限
  • SELECT 特权(其中包括对系统目录表和视图的 SELECT 特权)
  • INSERT 特权
  • UPDATE 特权
  • DELETE 特权

    感兴趣的读者请自行参考DB2的信息中心吧,不赘述了。

db2文档
http://www-01.ibm.com/support/knowledgecenter/SSEPGG_9.7.0/com.ibm.db2.luw.sql.ref.doc/doc/r0000958.html?cp=SSEPGG_9.7.0%2F2-10-6-130&lang=en


sw1988311
关注
<IBM DB2>【精品】《DB2单机多节点分区数据库搭建纪实 for Linux》
Else 的博客
03-17 453
IBM DB2 分区库搭建
<IBM DB2>【命令No.002】《db2look命令详解》
Else 的博客
03-20 1370
在分区数据库环境中,如果数据库是使用由数据库受管空间 (DMS) 或系统受管空间 (SMS) 管理的表空间 (具有由 $N 表达式定义的指定容器路径) 创建的,那么 db2look -createdb generated CREATE DATABASE 命令将列示每个数据库分区上的所有容器路径,而不仅仅是原始指定路径或 $N 表达式。针对数组类型的安全标号组件抽取 DDL 语句时,抽取到的语句可能不会生成这样的组件:其内部表示(该数组中元素的编码)与您发出 db2look 命令所针对的数据库组件匹配。
db2权限设置,允许操作表数据,禁止操作表结构
yangjun210的专栏
01-20 3227
db2权限设置,允许操作表数据,禁止操作表结构 需要注意以下几点: 一、db2上用户默认具有的权限。       --查看权限       db2 get authorizations       ----删除权限        db2 revoke IMPLICIT_SCHEMA on database from user pjsdev 二、db2上,用户隐式具有pub
IBM DB2 Data Access Application Blocks for .NET 发布了
weixin_30752377的博客
07-30 125
继微软的Enterprise Library以后,IBM也推出了他的Data Access Application Block,以后用.Net访问各种数据库更新轻松简单了。网址:http://www-900.ibm.com/developerWorks/cn/cndmdd.nsf/dmdd-onlinecourse-bynewest/B82D90E4F990E168C8257014001B83EA...
DB2用户授权表查询权限
热门推荐
dongweizu33的专栏
12-13 1万+
创建用户 useradd -m -g db2iadm1 dwquery 设置密码 passwd dwquery 切换至DB2管理员用户 su - db2inst1 链接数据库 db2 connect to xjycdw 授权链接权限 db2 grant connect on database to user dwquery db2 connect reset 使用新建用户链接数据库 db2 co...
db2 表的权限
weixin_43803780的博客
10-16 771
第一行表示用户`USER1`对模式`MYSCHEMA`下的表`MYTABLE`拥有`SELECT`和`INSERT`权限,并且这些权限不可以再授予其他用户。- 第二行表示角色`ROLE1`对同样的表拥有`UPDATE`和`DELETE`权限,并且这些权限可以再授予其他用户或角色。- **DATAACCESSAUTH**: 数据访问授权级别,通常为`Y`表示有权限,`N`表示无权限。- **GRANTEETYPE**: 指示`GRANTEE`是用户 (`U`) 还是角色 (`G`)。
DB2中特权/权限
匿_名_用_户的专栏
04-09 3707
本文粗略讲述了DB2中的权限管理,包括特权/权限的分类、如何可看某个用户/组拥有的特权/权限,以及如何赋予特权/权限。 1. 特权/权限的分类 权限分类:  系统级别的权限(System-level authorization): 系统管理员(SYSADM)、系统控制(SYSCTRL)、系统维护(SYSMAINT)和系统监视(SYSMON)  数据库级别权限(Data
db2 11.5 dbadm 移除 DATAACCESS 權限的影響
最新发布
06-11
原来DATAACCESS权限DB2v9.7引入的一个特殊权限,它在DBADM角色中默认存在。用户引用的第5条提到一个有趣现象:即使用户被撤销了表级的DELETE特权,只要拥有DATAACCESS权限还是能删除数据。这个设计确实容易引起...
DBConvert for MSSQL and DB2 2.1.1 中文免费版.zip
08-14
使用我们的软件进行无缝数据迁移或从任何Microsoft SQL Server或Windows Azure SQL数据库同步到IBM DB2服务器。...如果连接到远程DB2服务器,则应在安装了我们的工具的计算机上安装IBM Data Server Client。
DB2入门(4)——DB2的账户设置
nayanminxing的专栏
04-10 3416
概述 DB2的身份认证(authentication) 就目前接触过的数据库来说,大多是在数据库中添加用户,比方Oracle的tiger账户,MySQL的user表,SQL Server我记得也是数据库添加账户的,那Postgresql是在pg_hba.conf中设置访问权限,在数据库中Create user的,但是DB2有很大的不同哦。 然后就是哪个用户可以访问哪些表,grant这些操作
db2 查询表、模式、用户和权限,版本
qq_42690512的博客
08-06 3715
表: select * from syscat.systables where Type = 'T' 模式: select * from syscat.schema || SELECT * FROM SYSIBM.SYSSCHEMATA 用户: select * from syscat.dbauth || 权限: select * from syscat.tabauth SQL语句查看: SELECT service_level, fixpack_num FROM TABL(syspr...
DB2检查数据库权限
unber的博客
03-13 221
使用以下语法检查在非限制性数据库上授予。,连接到 “XYZ” 数据库。,激活数据库 “XYZ”。
db2用户权限
jingemperor的博客
09-13 5366
db2用户权限 一、DB2权限简介 DB2数据库权限分为实例权限级别(SYSADM、SYSCTRL、SYSMAINT、SYSMON)和DB2数据库权限级别(DBAMD、LOAD)。SYSCTRL、SYSMAINT、SYSMON权限级别的用户不能访问数据,DBAMD、LOAD权限级别的用户可以访问数据。 实例级别权限(只能在用户组级别上进行分配): SYSADM ----系统管理权限(UNIX系统中,SYSADM用户组默认地设置为实例拥有者所在的主用户组,因此,该组中的任何用户都拥有SYSADM权限) SYS
DB2 authorities
yinghuabanwo的博客
09-15 148
Which of the following authorities is sufficient for connecting to a database? A. SQLADM B. CONNECT C. DATAACESS D. ACCESSCTRL https://www.ibm.com/support/knowledgecenter/SSEPGG_11.1.0/com.ibm.db2.luw.admin.sec.doc/doc/c0005524.html SQLADM Allows the holde
db2 查看用户权限 详细了解DB2
专注于 Java 后端架构、微服务、分布式、前端及 AI 领域的技术分享,是开发者获取硬核知识、交流实战经验的专业博客。
03-06 3962
DB2是IBM一种分布式数据库解决方案。说简单点:DB2就是IBM开发的一种大型关系型数据库平台.它支持多用户或应用程序在同一条SQL 语句中查询不同database甚至不同DBMS中的数据。目前,DB2有如下一些版本:(比如DB2 for Unix,DB2 for Windows,DB2 for AS/400,DB2 for OS/390等)   DB2是IBM公司开发的关系数据库管理系统,它有...
DB2权限
liujinwei2005的专栏
04-28 1996
本文粗略讲述了DB2中的权限管理,包括特权/权限的分类、如何查看某个用户/组拥有的特权/权限,以及如何赋予特权/权限。 1. 特权/权限的分类 权限分类: 系统级别的权限(System-level authorization): 系统管理员(SYSADM)、系统控制(SYSCTRL)、系统维护(SYSMAINT)和系统监视(SYSMON) 数据库级别权限(Database-level...
db2 用户赋权命令
weixin_43803780的博客
11-10 707
除了 `SYSADM`,DB2还提供了其他一些管理角色,如 `SECADM`、`DBADM`、`DATAACCESS` 和 `ACCESSCTRL`。- **权限管理**:授予 `SYSADM` 或 `DBADM` 角色的用户将拥有非常高的权限,因此在生产环境中应谨慎操作。- **`DATAACCESS`**:数据访问权限,允许用户访问数据库中的所有数据。- **`ACCESSCTRL`**:访问控制权限,允许用户管理数据库的访问控制。- **`DBADM`**:数据库管理员,拥有对数据库的广泛管理权限
DB2权限和访问控制
互联网知识分享
10-11 1426
DB2是一个关系型数据库管理系统,它提供了一套完整的权限和访问控制机制,用于确保数据库的安全性和完整性。权限和访问控制是数据库管理系统中非常重要的一部分,它可以限制用户对数据库的操作和访问权限,以保护敏感数据不被未授权的用户访问和修改。DB2提供了一套完整的权限和访问控制机制,可以确保数据库的安全性和完整性。通过用户和角色的管理,可以对用户和角色分配适当的权限。通过权限的授予和撤销,可以实现对数据库对象的细粒度控制。通过角色的继承和ACL的使用,可以简化权限管理和提高安全性。
数据库必知必会系列:数据库权限管理与访问控制
AI天才研究院
09-26 1968
作者:禅与计算机程序设计艺术 1.简介 数据库权限管理与访问控制(Database Access Control),即管理者能够针对特定的用户、组或其他实体,分配有限或完全权限来控制对数据库资源的访问权限,确保数据的安全、完整和可用。权限管理通过限制数据访问、授权用户执行特定操作、审核数据库活动等方式来
获取DB2 v9.7许可证的困难与解决
- 从提供的信息来看,压缩包子文件的文件名称列表中仅含有“v9.7”,这表明可能存在的一个压缩包包含了与DB2 v9.7版本相关的多个文件。 - 如果用户正在寻找特定的DB2 v9.7 license文件(如db2ese_c.lic),可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值