一、oracle dba权限检查和回收的作用和意义

在Oracle数据库生产环境中，回收oracle dba权限的作用和意义重大，具体表现在以下三方面：

1. 安全性：回收赋权检查和回收可以确保数据库中的权限控制得到有效管理。通过检查和回收权限，可以防止未经授权的用户访问敏感数据或执行危险操作。

2. 数据完整性：回收赋权检查和回收可以帮助确保数据库中的数据完整性。通过检查和回收权限，可以防止未经授权的用户对数据进行修改、删除或插入操作，从而保护数据的完整性。

3. 性能优化：回收赋权检查和回收可以帮助优化数据库的性能。通过检查和回收权限，可以及时清理无效或不再需要的权限，减少数据库的负担，提高数据库的性能。

二、oracle dba权限回收的风险也很大，需要谨慎操作

在Oracle数据库生产环境中，DBA回收赋权回收可能面临以下风险和挑战：

1. 误操作风险：回收赋权操作可能由于误操作导致错误的权限回收，从而影响到正常的数据库操作。例如，回收了某个用户的必要权限，导致该用户无法执行其工作任务。

2. 数据丢失风险：回收赋权操作可能会导致数据丢失的风险。如果不正确地回收了某个用户的权限，可能会导致该用户无法访问或操作其需要的数据，从而导致数据丢失或不一致。

3. 安全漏洞风险：回收赋权操作可能会导致安全漏洞的风险。如果没有正确地回收某个用户的权限，可能会导致该用户仍然可以访问或操作敏感数据，从而造成安全漏洞。

4. 复杂性挑战：回收赋权操作可能会面临复杂性的挑战。在大型数据库环境中，存在大量的用户和角色，进行权限回收需要仔细考虑每个用户的权限需求，以避免误操作或遗漏。

5. 影响业务连续性：回收赋权操作可能会影响到业务的连续性。如果回收了某个用户的关键权限，可能会导致该用户无法继续执行其业务操作，从而影响到业务的正常进行。

因此，在进行DBA回收赋权回收时，需要谨慎操作，结合下面章节的检查命令，充分了解每个用户的权限需求，并进行充分的测试和验证，以减少风险和挑战。

三、oracle dba权限检查和回收相关命令汇总

说明：其中PRDUSER为具有dba权限的普通生产用户，使用revoke dba之后需要结合检查命令检查出来的普通权限，利用补充权限相关命令给PRDUSER授权除dba权限外的其他需要的业务操作相关的普通权限，才能做到回收dba权限而不影响原来正常的ddl和dml操作

序号

类型

场景

检查语句

补充权限

0

回收之前检查

select grantee,privilege from dba_sys_privs where grantee in ('PRDUSER');

select grantee,granted_role from dba_role_privs where grantee in ('PRDUSER');

1

同义词

主要针对多用户场景

SELECT * FROM DBA_SYNONYMS WHERE OWNER IN ('PRDUSER');

grant create any synonym to PRDUSER;
GRANT DROP ANY SYNONYM TO PRDUSER;

2

物化视图

主要针对多用户场景

select owner, mview_name from dba_mviews where owner in ('PRDUSER')

grant ALTER ANY MATERIALIZED VIEW to PRDUSER;
grant CREATE ANY MATERIALIZED VIEW to PRDUSER;
grant DROP ANY MATERIALIZED VIEW to PRDUSER;

3

序列化

主要针对多用户场景

select sequence_owner, sequence_name from dba_sequences where sequence_owner in ('PRDUSER')

grant select any sequence to PRDUSER;

可能会在插入另一个用户表的时候，其某一个字段是使用sequence方式自增的，如果没有sequence查询权限，可能拿不到自增值

4

跨库表的互访增删改查

主要针对多用胡场景

如果有多用户，相互之间有增删改查的操作的话

grant SELECT ANY TABLE to PRDUSER;
grant INSERT ANY TABLE to PRDUSER;
grant UPDATE ANY TABLE to PRDUSER;
grant DELETE ANY TABLE to PRDUSER;
grant LOCK ANY TABLE to PRDUSER;
grant UNDER ANY TABLE to PRDUSER;
grant COMMENT ANY TABLE to PRDUSER;

如果有跨用户表truncate的话，1. 是 授权drop any table，但是这个风险太大了， 2. 是创建一个存储过程，授权存储过程的执行权限，执行 truncate操作。

5

存储过程debug

grant debug connect session to PRDUSER;

这个理论上不应该给吧，产品环境未来不允许debug操作。

6

系统字典视图无法访问

grant select any dictionary to PRDUSER；

7

删除会话的权限

创建一个删除会话的存储过程，授予执行权限

create or replace procedure kill_session ( v_sid number, v_serial number ) as v_varchar2 varchar2(100);

begin execute immediate 'ALTER SYSTEM KILL SESSION ''' || v_sid || ',' || v_serial || '''';

end;

/

grant execute on kill_session to PRDUSER;

8

基础授权

unlimited tablepsace

revoke dba之后，必做的一个动作

grant unlimited tablespace to PRDUSER;

9

其他授权

grant create session to PRDUSER;

grant create any procedure to PRDUSER;

grant execute any procedure to PRDUSER;

grant create table to PRDUSER;

grant drop any table to PRDUSER;

GRANT CREATE VIEW TO PRDUSER;

grant create any type to PRDUSER;

grant create trigger to PRDUSER;