前言：为什么权限管理这么重要呃？

说真的， 很多 DBA 在装完 Oracle 后往往把所有东西都交给 root后来啊系统平安像纸糊的一样。 其实 只要把操作系统用户权限和数据库内部权限理清楚，一切都能稳如老狗，何必呢？。

一、操作系统层面的权限配置

1）创建专属用户与组

Oracle 永远不该跑在 root 账号下。下面的命令会帮你快速搞定：，我不敢苟同...

# 创建组
groupadd oinstall
groupadd dba
# 创建专用用户并加入组
useradd -g oinstall -G dba -m -d /u01/app/oracle oracle
passwd oracle

2）目录结构与所有权

对吧？ 约定好的目录通常是 /u01/app/oracle和 /u01/app/oradata。把它们交给刚才的 oracle 用户吧：

# 建立目录
mkdir -p /u01/app/oracle
mkdir -p /u01/app/oradata
# 赋予所有权
chown -R oracle:oinstall /u01/app/oracle
chown -R oracle:oinstall /u01/app/oradata
# 推荐的权限：755
chmod -R 755 /u01/app/oracle
chmod -R 755 /u01/app/oradata

3）环境变量的魔法棒

登录 oracle 后 把常用变量写进 . 啥玩意儿？ bash_profile省得每次都要手敲：

# 编辑文件
vim /home/oracle/.bash_profile
# 添加内容
export ORACLE_BASE=/u01/app/oracle
export ORACLE_HOME=$ORACLE_BASE/product/19.0.0/dbhome_1
export ORACLE_SID=ORCLCDB
export PATH=$PATH:$ORACLE_HOME/bin
export LD_LIBRARY_PATH=$ORACLE_HOME/lib
# 生效
source ~/.bash_profile

4）SELinux 与防火墙小技巧

勇敢一点... 如果你的服务器开启了 SELinux，别忘了给 Oracle 打上海合作适的上下文，否则连文件都打不开。

# 临时关闭
setenforce 0
# 永久关闭
vi /etc/selinux/config   # 把 SELINUX=enforcing 改成 disabled
# 给目录打标签
chcon -R -t oracle_home_t /u01/app/oracle
chcon -R -t oracle_db_t   /u01/app/oradata

5）让 oracle 能使用 sudo

我狂喜。 有些运维脚本需要 sudo 权限， 这时候只给最小范围授权即可：

# 编辑 sudoers 文件
visudo
# 添加一行：
oracle ALL= NOPASSWD: /u01/app/oracle/product/19.0.0/dbhome_1/bin/lsnrctl start,\
                              /u01/app/oracle/product/19.0.0/dbhome_1/bin/lsnrctl stop,\
                              /u01/app/oracle/product/19.0.0/dbhome_1/bin/sqlplus / as sysdba

二、Oracle 数据库内部的权限分配策略

1）以 SYSDBA 登录并创建业务用户

# 切换到 oracle 用户并登录 SYSDBA
su - oracle
sqlplus / as sysdba
-- 创建新用户，指定表空间和临时表空间：
CREATE USER test_user IDENTIFIED BY StrongPass123 
    DEFAULT TABLESPACE USERS 
    TEMPORARY TABLESPACE TEMP;

2）系统权限 VS 对象权限——先分层后细化

系统权限决定了用户能否登录、创建会话、创建对象等； 等着瞧。 对象权限**则控制对具体表、视图、序列的操作。

# 授予最基本的登录和资源创建能力：
GRANT CREATE SESSION, CREATE TABLE TO test_user;
# 如需让用户可以在其他 schema 上查询：
GRANT SELECT ON hr.employees TO test_user;

3）角色的威力——别让每个用户背负太多直接授权！

创建角色示例：

CREEATE ROLE dml_user;
GRANT CREATE SESSION TO dml_user;
GRANT SELECT ANY TABLE TO dml_user;
GRANT INSERT ANY TABLE TO dml_user;
-- 再说说把角色授予具体用户：
GRANT dml_user TO test_user;
COMMIT;

4）撤销与审计——保持干净利落的环境很重要！

# 撤销单个系统权限：
REVOKE CREATE SESSION FROM test_user;
# 撤销对象上的 SELECT 权限：
REVOKE SELECT ON hr.employees FROM test_user;
# 撤销整个角色：
REVOKE dml_user FROM test_user;
COMMIT;

快速查询当前授权情况的小技巧：

• DISTINCT 系统特权： 
• DISTINCT 对象特权： 
• DISTINCT 角色关联： 

三、最佳实践清单——别忘了这些细节！ 🎯

• 最小特权原则：先想办法不给，再考虑补上。
• 分离职责：PDB 管理员、 应用开发员、审计员各自拥有独立角色。
• 定期审计： 每月跑一次脚本检查 orphan 用户或过期密码。
• 密码策略： 使用密码复杂度、 到期提醒，并强制密码历史记录。
• 备份 & 恢复演练： 确保即使误删某个授权，也能快速回滚。
• 日志监控： 开启 AUDITTRAIL=DB 或 OS，把关键 DDL/DML 操作全程留痕。
• 限制 OS 访问路径： 仅让 oracle 用户拥有对 $ORACLEHOME/$ORACLE_BASE 的写入权，其余目录只读或根本不可见。
• SELinux 正式上线前务必做一次“restorecon –Rv”检查，防止意外阻断服务。
• AWS/ECS 环境下记得映射卷挂载点的 UID/GID 必须匹配 oracle 用户，否则会出现奇怪的 “permission denied”。🌩️️️️.四、收官：从零到放心，你已经掌握了关键点！ 🚀

我直接好家伙。 把上面几段代码复制粘贴到自己的服务器里 然后深呼吸一下——看着 Oracle 顺畅启动，你会发现原来平安其实可以这么简单。** 如果还有哪块儿卡住了 不妨打开终端敲敲搜索，引擎里总有热心的大佬分享经验；或者在公司内部发起一次“最小特权”讨论会，让大家一起梳理业务需求，那效果往往比单枪匹马更好。 祝你在 Linux+Oracle 的世界里一路顺风，平安无忧！😉

本文约为2156  © 2026 技术小站 | 本文仅供学习交流，任何商业行为请自行承担风险。 “当你看到自己写的脚本成功启动数据库时那种满足感，比喝完一杯浓郁咖啡还要醇厚。” — 某夜深人静的 DBA ✨ ---，共勉。