根據《循序漸進DB2》（牛新莊）第13章內容整理

??DB2中有3種主要的安全機制，可以幫助DBA實現數據庫安全計劃：

• 身份認證（authentication）
• 權限（authorization）
• 特權（privilege）

提出問題
??就目前接觸過的數據庫來說，大多是在數據庫中添加用戶，比方Oracle的tiger賬戶，MySQL的user表，SQL Server我記得也是數據庫添加賬戶的，那Postgresql是在pg_hba.conf中設置訪問權限，在數據庫中Create user的，但是DB2有很大的不同哦。

??然后就是哪個用戶可以訪問哪些表，grant這些操作在DB2中又是如何定義的呢？用戶、用戶權限如何查看呢？
??遠程登錄怎么設置？怎么登錄？
??帶著這些問題來往下看：

身份認證（authentication）

??身份認證是用戶在嘗試訪問DB2實例或數據庫時遇到的第一道安全閘門。身份認證就是使用安全機制驗證所提供用戶ID和口令的過程。用戶和密碼身份認證由DB2外部的設施管理，比如操作系統、域控制器或者Kerberos安全系統。這和其他數據庫管理系統是不同的，如Oracle、Infomix、Sybase和SQL Server，后者既可以在數據庫本身定義和驗證用戶賬戶，也可以在操作系統中完成（安裝podtgresql是創建的postgres用戶既是操作系統賬戶也是數據庫賬戶）。外部安全性服務對希望訪問DB2服務器的用戶進行身份認證，DB2外部的安全性軟件負責處理身份認證。當成功校驗了用戶ID和口令后，內部DB2進程將接管控制，并確保用戶有權執行所請求的操作。

??DB2是沒有用戶的，DB2所有的用戶都是操作系統用戶，這是由于歷史原因造成的。

??一旦用戶ID和口令作為實例附件或數據庫 連接請求的一部分明確的提供給DB2，DB2就會嘗試使用該外部安全設施驗證用戶ID和口令。
??實際的認證位置由DB2實例參數AUTHENTICATION的值決定。有不同的身份認證方案，包括：

• 讓用戶早DB2服務器上認證（使用服務器的安全設施）
• 在客戶機上認證（允許“單點登錄”訪問）
• 使用Kerbose安全設施認證
• 使用用戶定義的通用安全服務（Generic Security Service,GSS）插件認證
  其他的身份認證選項還包括：當用戶名和口令以及數據在客戶機和服務器之間的網絡上傳遞時進行加密。為AUTHENTICATION參數選擇的值依賴于具體環境和本地安全策略。

[db2inst1@db22 ~]$ db2 get dbm cfg | grep -i authGSS Plugin for Local Authorization (LOCAL_GSSPLUGIN) = Server Connection Authentication (SRVCON_AUTH) = NOT_SPECIFIEDDatabase manager authentication (AUTHENTICATION) = SERVER --使用服務器的安全設施Alternate authentication (ALTERNATE_AUTH_ENC) = NOT_SPECIFIEDCataloging allowed without authority (CATALOG_NOAUTH) = NOTrusted client authentication (TRUST_CLNTAUTH) = CLIENTBypass federated authentication (FED_NOAUTH) = NO

權限（authorization）

??權限涉及將DB2角色賦予用戶和/或組。每一種角色具有一定級別的權限，對特定數據庫和和/或其中的對象執行某些命令。DB2中包括以下7種不同角色或權限：

• SYSADM
• SYSCTRL
• SYSMAINT
• SYSMON
• DBADM
• SECADM
• LOAD

width: 100px;

}

權限級別說明和用途

SYSADM	DB2 UDB 中最高的管理權限級別，具有SYSADM權限的用戶可以運行實例程序，發出數據庫和數據庫管理器命令，以及訪問這個數據庫管理器實例中任何數據庫中任何數據表中的數據。 提供控制這個數據庫實例中所有數據庫對象的能力，包括數據庫、表、視圖、索引、包、模式、服務器、別名、數據類型、函數、過程、觸發器、表空間、數據庫分區組、緩沖池和事件監視器 該權限需要對使用程序和數據的完全訪問權的DB2 UDB管理員使用 我們安裝實例時使用的賬戶db2inst1是系統管理員，擁有最高管理權限級別SYSADM
SYSCTRL	最高的系統控制權限級別。提供對數據庫管理器實例機器數據庫執行維護和管理操作的能力 不允許直接訪問數據庫中的數據。具有連接數據庫的隱式特權，并可以執行具有SYSMAINT和SYSMON權限的用戶能夠執行的功能。該權限供管理一個包含敏感數據的數據庫管理器實例的用戶使用
SYSMAINT	次高的系統控制權限級別。提供對數據庫管理器實例機器數據庫執行維護和管理操作的能力 不允許直接訪問數據庫中的數據。具有連接數據庫的隱式特權，并可以執行具SYSMON權限的用戶能夠執行的功能。該權限供維護一個包含敏感數據的數據庫管理器實例的用戶使用
SYSMON 系統監視	提供獲得數據庫管理器實例及其數據庫的快照的能力。如果一個數據庫管理器實例中的數據庫包含敏感數據，而管理用戶只需要通過快照監控數據來進行問題判斷，這時候就可以給用戶授予SYSMON權限。該權限不允許改變系統資源的使用
DBADM	對于一個實例中的一個特定數據庫的次高管理權限級別。允許 用戶允許某些實用程序，發出數據庫命令以及訪問數據庫中的任何表中的數據。該權限供需要完全訪問數據庫對象和數據，但是不需要完整的維護權限的管理員使用
LOAD	允許用戶調用ＬＯＡＤ實用程序。根據ＬＯＡＤ操作的模式，用戶還需要ＬＯＡＤ操作目標上的ｉｎｓｅｒｔ和ｕｐｄａｔｅ特權。該權限供只想批量裝載一組新數據的用戶使用

特權（privilege）

就是具體表上的insert、update以及create db的權限了

安全層次

??當一個用戶在客戶端發出一條“select * from tb1”SQL語句時，首先要連接數據庫，在連接數據庫時需要提供用戶名和密碼。用戶名和密碼是在數據庫之外認證的，這需要用到操作系統或外部安全插件。例如在AIX上是使用/etc/password 驗證用戶名，使用/etc/security/passwd 來驗證密碼。這是操作系統層次。
??操作系統之下是實例級別的權限，實例之下是數據庫級別的權限，用戶要訪問表tb1，也必須在tb1上有特定的select特權。這個就是整個DB2的安全機制實現方式。

總結

以上是生活随笔為你收集整理的DB2安全（一）——概述的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。