ASM安全 这个小节主要描述与ASM相关的各种安全配置话题，像配置ASM需要的userids、groupids；ASM权限如 SYSOPER,SYSDBA和新的SYSASM权限，最后还有ASM 使用的ORACLE密码文件,orapwd。

一个ASM实例多个UNIX Userids 如果使用一个不同于RDBMS实例的用户和独立的ASM_HOME，那么每个RDBMS实例的ORACLE 用户必须是ASM实例dba组的成员；ASM的ORACLE用户不必是RDBMS实例DBA组的成员。如果你想用不同的UNIX userid并使用多个其他UNIX userid创建的ASM实例来管理他们自己的存储，你可以为每个数据库创建自己的dba组(不同于ASM dba组的)，例如数据库可以使用名字为dba1，dba2等DBA组。如果你想RDBMS实例以共享使用相同的磁盘组，那么所有的RDBMS实例需要以read/write权限访问磁盘组。ASM实例需要以read/write权限访问所有的磁盘。对于 RDBMS实例来说，你可以限制实例可以访问哪些磁盘。

ASM权限 在ORACLE 10G，通过SQLPLUS访问ASM实例与访问标准的数据库实例一样，可以以SYSDBA或SYSOPER权限访问。然而，注意那是因为没有数据字典在ASM实例中，权限认证是通过操作系统级别或 ORACLE password文件来完成的。有代表性的是SYSDBA权限通过操作系统用户组进行赋权。在UNIX系统上，一般使用的是dba group。默认dba组拥有访问本节点上所有实例的SYSDBA权限，包括ASM实例。使用SYSDBA权限连接ASM，拥有管理本地系统磁盘组的完全的管理访问权限。 注意在WINDOWS系统中，ORACLE一般运行在local system或administrator 用户下，OSOPER和OSDBA组是硬编码组分别与ORA_OPER和ORA_DBA关联。 从ORACLE DATABASE 11g开始，一个叫SYSASM的权限成为访问ASM 实例的主要手段，大多数ASM实例的管理命令不再使用与SYSDBA。SYSDBA 仍然可用向后兼容，如果使用了SYSDBA，在ASM alert日志中就会有如下信息写入：Warning: Deprecated privilege SYSDBA for command 'STARTUP'

SYSASM权限的目的是把ASM认证与RDBMS认证分开。SYSASM权限拥有 对ASM实例的全部控制权。认证通过OSASM用户组，类似于SYSDBA权限，只是SYSDBA认证是通过OSDBA实现的。对于ORACLE Database 11g ASM来说，使用SYSASM取代SYSDBA认证是最佳实践。 下面展示了如何使用SYSASM并且配置一个新的拥有SYSASM角色的用户：[oracle11@racnode1~]$ sqlplus "/ as sysasm"
创建ASMUSER，使用如下命令：
SQL> CREATE USER ASMUSER IDENTIFIED BY ASMUSER1;
SQL> GRANT SYSASM, SYSOPER TO ASMUSER;

使用ASMUSER连接ASM实例：
[oracle@racnode1 ~]$ sqlplus "ASMUSER/ASMUSER as sysasm"
SQL> select * from v$pwfile_users;
USERNAME SYSDBA SYSOPER SYSASM
---------------------------- ----- ------- ------
SYS TRUE TRUE FALSE
ASMUSER FALSE TRUE TRUE

在ORACLE ASM 10g中，用户使用SYSOPER连接ASM实例权限与使用SYSDBA连接 权限大致相同，除了查询v$视图权限外。使用SYSOPER连接ASM实例使用如下命令：[oracle11@racnode1~]$ sqlplus " as sysoper"

从ORACLE DATABASE 11g起，ASM SYSOPER权限的职责与数据库SYSOPER基本相同。 下面的命令是SYSOPER用户可用的命令：STARTUP/SHUTDOWN
ALTER DISKGROUP MOUNT/DISMOUNT
ALTER DISKGROUP ONLINE/OFFLINE DISK
ALTER DISKGROUP REBALANCE
ALTER DISKGROUP CHECK

所有其他命令像CREATE DISKGROUP,ADD/DROP/RESIZE DISK,等等-都需要SYSASM 权限，这些命令都不能为SYSOPER权限用户所用。 所有的管理命令--包括STARTUP,SHUTDOWN，和ALTER/CREATE/DROP DISKGROUP 都登陆到ASM实例。例如，所有ALTER DISKGROUP 命令总是记录在alert log当实例发出命令以后。如果有需要，通过SYS USER从ASM实例发出的操作都会记录到 .aud文件中。要做到这点需要配置如下初始化参数：audit_sys_operations = TRUE
_disable_instance_params_check = TRUE

注意，与RDBMS实例不同，audit trail信息不能存放在ASM实例的AUD$中，因为 ASM没有数据库来存放这些表。因此输出通常dump到.aud文件里，这些文件通常存放在默认位置--$ORACLE_HOME/rdbms/audit。 init.ora中的AUDIT_FILE_DEST控制audit文件默认位置，在WINDOWS上，这些日志打印到WINDOWS SYSTEM LOG中。

ASM与orapwd ASM实例使用ORACLE password文件供远程ASM访问，非常像RDBMS实例供远端数据库访问。 注意

RDBMS实例与ASM实例完全分离，因此ASM拥有自己的password文件，不与RDBMS实例共享。 为了配置EM远程访问ASM，ASM的password文件不需存在。如果ASM实例是DBCA配置的，orapwd文件会自动创建。如果ASM实例是手动配置的必须使用owapwd命令手工创建密码文件：[oracle11@racnode1~]$ orapwd file=$ORACLE_HOME/asm/orapw+ASM1 \
password=oracle

标准orapwd工具用于管理ASM实例的密码文件，只是限制修改sys密码。 注意 在RAC系统中集群中的每个ASM实例必须都有owapwd文件。使用ASM实例中V$PWFILE_USERS视图来查看密码文件中的内容：SQL> SELECT * FROM V$PWFILE_USERS;
USERNAME SYSDB SYSOP SYSAS
------------------------------ ----- ----- -----
SYS TRUE TRUE FALSE

在ORACLE DATABASE 11g中，可以使用与RDBMS中一样的命令来修改ASM密码文件。 然而只能更新本地orapwd文件。