Аннотация

Эта статья является непосредственным продолжением статьи «Изучаем метки доступа к строкам: задание свойств столбца доступа в таблице», и рассматривает некоторые дополнительные свойства средства Label Security в Oracle, соответствующие мандатному доступу. Именно, показана возможность преодолевать в индивидуальном порядке запреты на изменения меток, сформулированные для групп доступа.

Подразумеваемые в статье состояние базы и сценарные файлы соответствуют концу предыдущей статьи.

Персональные привилегии для избранных пользователей

Изменение метки в качестве исключения из правила

Итак, если мы применяем политику секретности к таблице и указываем при этом режим LABEL_UPDATE использования меток, обычные пользователи теряют возможность эти метки конкретных строк изменять. Однако для каких-то пользователей Label Security позволяет сделать исключение. Для этого используются специальные привилегии. В отличие от традиционных привилегий Oracle (системных и объектных) они носят не разрешающий характер (a priori ничего делать нельзя, а все, что можно, специально разрешено привилегиями), а характер преодоления явно указанного запрета (определенные действия явно запрещены, но в виде исключения допускаются); именно для них и естественно сказать: "привилегии", в то время как для традиционных "привилегий" просится более подходящее слово "полномочия". Вот их названия:

• WRITEUP,
• WRITEDOWN,
• WRITEACROSS.

Выдаются они не командой GRANT, а с помощью специальной процедуры SET_USER_PRIVS из пакета SA_USER_ADMIN. Это к сожалению, но отчасти разработчиков можно понять: эти привилегии даются пользователям в рамках конкретных политик, коих может иметься много.

Подготовим файл userprivilege.sql:

CONNECT lbacsys/lbacsys

BEGIN
SA_USER_ADMIN.SET_USER_PRIVS 
(
  POLICY_NAME => 'empsec_policy'
, USER_NAME   => '&1'
, PRIVILEGES  => '&2'
);
END;
/

Выдадим привилегию WRITEUP и понаблюдаем, как изменятся возможности пользователя HEAD по изменению значений меток при наличии у таблицы PHONE режима LABEL_UPDATE их использования:

SQL> @userprivilege head 'writeup'
Connected.

PL/SQL procedure successfully completed.

SQL> CONNECT head/head 
Connected.
SQL> @updateallen OPEN

1 row updated.

SQL> @updateallen LIMITED

1 row updated.

SQL> @updateallen OPEN
UPDATE scott.phone
*
ERROR at line 1:
ORA-12406: unauthorized SQL statement for policy EMPSEC_POLICY
... ... ... ...

Привилегия WRITEUP, выданная пользователю HEAD, позволяет сделать для него исключение и «играть на повышение».

Выдадим:

@userprivilege head 'writedown'

Проверка действия привилегии WRITEDOWN:

SQL> CONNECT head/head 
Connected.
SQL> @updateallen LIMITED

1 row updated.

SQL> @updateallen OPEN

1 row updated.

SQL> @updateallen LIMITED
UPDATE scott.phone
*
ERROR at line 1:
ORA-12406: unauthorized SQL statement for policy EMPSEC_POLICY
... ... ... ...

Пользователь HEAD в виде исключения получил право понижать секретность, но не повышать.

Выдадим:

@userprivilege head 'writeacross'

Проверка действия привилегии WRITEACROSS:

SQL> CONNECT head/head 
Connected.
SQL> @updateallen LIMITED

1 row updated.

SQL> @updateallen OPEN

1 row updated.

SQL> @updateallen LIMITED

1 row updated.

В отличие от своих возможных коллег по доступу к ограниченной информации, пользователь HEAD теперь может как повышать, так и понижать секретность строки.

Следующий запрос позволяет проверить наличие привилегий преодоления запрета изменять метки:

SQL> COLUMN USER_NAME FORMAT A15
SQL> COLUMN USER_PRIVILEGES FORMAT A20
SQL> SELECT * FROM DBA_SA_USER_PRIVS;

USER_NAME       POLICY_NAME                    USER_PRIVILEGES
--------------- ------------------------------ --------------------
HEAD            EMPSEC_POLICY                  WRITEACROSS

Для того, чтобы изъять у пользователя привилегию, потребуется не выдать привычную команду REVOKE, а опустить значение (проставить NULL) в параметре PRIVILEGES процедуры SET_USER_PRIVS. Продолжим:

SQL> SAVE showprivs
Created file showprivs.sql

SQL> @userprivilege head ''
Connected.

PL/SQL procedure successfully completed.

SQL> @showprivs

no rows selected

SQL> CONNECT head/head 
Connected.
SQL> @updateallen LIMITED

1 row updated.

SQL> @updateallen OPEN
UPDATE scott.phone
*
ERROR at line 1:
ORA-12406: unauthorized SQL statement for policy EMPSEC_POLICY
... ... ... ...

Пользователь HEAD лишился возможности изменять метку - при наличии у таблицы режима LABEL_UPDATE работы с метками.

В нашем примере WRITEACROSS, казалось бы, заменяет WRITEUP + WRITEDOWN, но в общем случае (например, при структурной метке) все три привилегии самодостаточны. В общем случае возможно и приобретает смысл комбинирование привилегий WRITEUP, WRITEDOWN и WRITEACROSS, не сводящееся к выбору какой-нибудь одной из них.

Другие привилегии

Помимо трех указанных привилегий, связанных с запретом LABEL_UPDATE использования меток, имеются и некоторые прочие:

• READ,
• FULL,
• COMPACCESS,
• PROFILE_ACCESS.

Ограничимся здесь анализом первой из них. Остальные окажут эффект только при более сложной организации доступа, здесь не рассматриваемой, например, при наличии структурных меток.

Привилегия READ дает возможность ее обладателю преодолеть запрет на чтение строк со стороны действующей политики. Продолжим:

SQL> CONNECT employee/employee
Connected.
SQL> @phones

ENAME      PNO
---------- --------------------
ALLEN
WARD       610-1718
MARTIN     103-1983
BLAKE
CLARK
KING
TURNER     293-1398
JAMES      932-6728
MILLER     865-6706

9 rows selected.

SQL> @userprivilege employee 'read'
Connected.

PL/SQL procedure successfully completed.

SQL> @showprivs

USER_NAME       POLICY_NAME                    USER_PRIVILEGES
--------------- ------------------------------ --------------------
EMPLOYEE        EMPSEC_POLICY                  READ
HEAD            EMPSEC_POLICY                  WRITEACROSS

SQL> CONNECT employee/employee
Connected.
SQL> @phones

ENAME      PNO
---------- --------------------
SMITH      665-7282
ALLEN      882-3154
WARD       610-1718
JONES      100-6539
MARTIN     103-1983
BLAKE      193-3112
CLARK      310-2673
SCOTT      680-4853
KING       542-6672
TURNER     293-1398
ADAMS      278-5105
JAMES      932-6728
FORD       485-9127
MILLER     865-6706

14 rows selected.

Название привилегии READ не должно вызывать иллюзий: в нашем случае она позволяет не только читать строки, включая поле метки, но и изменять. Для доказательства этого факта продолжим (от имени EMPLOYEE):

SQL> @updateallen OPEN

1 row updated.

SQL> @updateallen LIMITED

1 row updated.