问：我目前正在研究如何最大限度地确保数据库环境安全。我们在HP-UX.上安装了9iR2 EE。

　　在数据库服务器上各种各样的数据库，每个数据库都有它的DBA和开发者。服务器为Raid 1+0。Oracle安装在一个文件系统上面，我们想给每个数据库创建一个它们各自的文件系统。我知道它是Oracle’s OFA转移过来的，但是在这种情况下Unix管理和安全更易于使每个数据库包含一个安装点。这样做合理吗，会不会引出一些问题？

　　对于Unix用户、群和安全你有些什么建议？此刻OS用户Oracle拥有的是软件，他还是dba群的用户。那么，其他用户、DBA和开发人员的安全设置又如何呢？尤其我提到的是特殊的数据库payroll。我不想其他Unix用户也能访问Oracle相关文件，SQL、报告等等。一些应用程序也已经有OS能鉴别的用户。我们的用户是一群DBA用户，但是这个群里DBA的数量将会减少。那么在这一设置中init、log、trace、和.ora文件会怎么样呢？Oracle会有所有这些文件吗？

　　答：如果在不同的环境中有不一样的DBA组群，那么你应该为他们每个人创建各自的ORACLE_HOME。Oracle二进制的link time能识别OSDBA和OSOPER组群身份。所以如果你是在ORACLE_HOME里运行的一个数据库DBA，那你就是在它里面运行的所有数据库的DBA。在当前Oracle安装方法辨别权限的唯一方法就是将这些ORACLE_HOME分开，使它们都有各自的DBA组群（进行安装，要求他们填写在OSDBA组群的名字，选择一些叙述语，如用dbapayroll代替payroll、用HR 代替dbahr等）。Oracle帐号也不相同，所以你也将拥有各种不同的软件（如dbapay、dbahr、dbaerp等）。有这种一对一映射，你能安全地维护同一硬件和OS上环境，并且不会危及到任何应用程序的安全。成本就是为Oracle二进制文件按预留较大的空间，但是磁盘很便宜，而安全不便宜。