nextgen databases

Willkommen auf meinen Blog rund um das Thema Datenbanken

Hier findest du praxisnahe Einblicke, Tipps und Best Practices zu Administration, Performance-Tuning und Automatisierung.

Mein Ziel ist es, komplexe Themen verständlich aufzubereiten und Lösungen zu teilen, die sich direkt im Alltag von Datenbank-Profis einsetzen lassen

PDB Lockdown Profiles - einfach erklärt

wir als DBA´s wollen die Datenbankadministration vereinfachen, aber gerade in hoch regulierten Branchen gelingt uns das nur selten. Ich habe schon lockdown profile mit hundert Zeilen und mehr gesehen, am Ende versteht dann niemand mehr wieso bestimmte Dinge nicht mehr funktionieren;-).

Anstatt Einschränkungen einzeln zu vergeben können wir Feature Bundels und Features verwenden und diese dann gegebenenfalls durch das aktivieren/deaktivieren von Features oder einzelnen Befehlen eränzen.

 

🔐 Was ist ein Lockdown Profile?

Ein Lockdown Profile ist eine Sicherheitsfunktion in Oracle Multitenant-Datenbanken, mit der du bestimmte SQL-Befehle, Features oder Optionen in einer PDB deaktivieren kannst.

 

🧩 Drei Arten von Einschränkungen

Mit lockdown prfilen kannst du unter anderem folgende Bereiche steuern:

 

Features deaktivieren


Beispiel:

ALTER LOCKDOWN PROFILE hr_prof DISABLE FEATURE = ('UTL_HTTP', 'UTL_SMTP');

→ Sperrt Netzwerkzugriffe über UTL_HTTP und UTL_SMTP

 

Optionen deaktivieren


Beispiel:

ALTER LOCKDOWN PROFILE hr_prof DISABLE OPTION = ('PARTITIONING');

→ Verhindert die Nutzung von Partitionierung in der PDB.

 

SQL-Befehle deaktivieren


Beispiel:

ALTER LOCKDOWN PROFILE hr_prof DISABLE STATEMENT = ('ALTER SYSTEM');

→ Sperrt den Befehl ALTER SYSTEM vollständig.

 

Lockdown Profile anzeigen

SELECT * from DBA_LOCKDOWN_PROFILES

 

🛠️ Minimalbeispiel: Profil erstellen und zuweisen

 

-- Profil erstellen

CREATE LOCKDOWN PROFILE dev_profile;

 

-- ALTER SYSTEM deaktivieren

ALTER LOCKDOWN PROFILE dev_profile DISABLE STATEMENT = ('ALTER SYSTEM');

 

-- Profil in der PDB aktivieren

ALTER SYSTEM SET PDB_LOCKDOWN = dev_profile;

 

👥 Einschränkungen nach Benutzergruppen

Du kannst Regeln auch nur für bestimmte Benutzer anwenden:

-- Nur lokale Benutzer betroffen ALTER LOCKDOWN PROFILE dev_profile DISABLE STATEMENT = ('ALTER SYSTEM') USERS = LOCAL;

 

 

💡 Praxistipp

Nutze Feature-Bundles wie COMMON_USER oder NETWORK_ACCESS als Basis und ergänze gezielt. So bleibt dein Profil schlank, wartbar und leicht verständlich.

 

✅ Fazit

PDB Lockdown Profiles sind ein mächtiges Werkzeug, um Sicherheit und Kontrolle in Oracle Multitenant-Umgebungen zu erhöhen. Mit wenigen Kommandos kannst du gezielt Features, Optionen und SQL-Befehle sperren – und das sogar benutzerabhängig.

Wenn du möchtest, helfe ich dir gerne dabei, ein passendes Profil für deine Umgebung zu entwerfen – inklusive Fehlerhandling, 

Quelle: ALTER LOCKDOWN PROFILE

 

Autor: Mark Seidenfaden