關(guān)于Oracle數(shù)據(jù)庫中密碼安全管理總結(jié)
關(guān)于Oracle數(shù)據(jù)庫中密碼安全管理總結(jié)
在Oracle數(shù)據(jù)庫系統(tǒng)中,用戶如果要以特權(quán)用戶身份(INTERNAL/SYSDBA/SYSOPER)登錄Oracle數(shù)據(jù)庫可以有兩種身份驗證的方法:即使用與操作系統(tǒng)集成的身份驗證或使用Oracle數(shù)據(jù)庫的密碼文件進行身份驗證。因此,管理好密碼文件,對于控制授權(quán)用戶從遠端或本機登錄Oracle數(shù)據(jù)庫系統(tǒng),執(zhí)行數(shù)據(jù)庫管理工作,具有重要的意義。
Oracle數(shù)據(jù)庫的密碼文件存放有超級用戶INTERNAL/SYS的口令及其他特權(quán)用戶的用戶名/口令,它一般存放在ORACLE_HOME\DATABASE目錄下。
一、密碼文件的創(chuàng)建:
在使用OracleInstanceManager創(chuàng)建一數(shù)據(jù)庫實例的時侯,在ORACLE_HOME\DATABASE目錄下還自動創(chuàng)建了一個與之對應(yīng)的密碼文件,文件名為
PWDSID.ORA,其中SID代表相應(yīng)的Oracle數(shù)據(jù)庫系統(tǒng)標識符。此密碼文件是進行初始數(shù)據(jù)庫管理工作的基礎(chǔ)。在此之后,管理員也可以根據(jù)需要,使用工具ORAPWD.EXE手工創(chuàng)建密碼文件,命令格式如下:
C:\>ORAPWDFILE=<FILENAME>PASSWORD=<PASSWORD>ENTRIES=
PASSWORD:設(shè)置INTERNAL/SYS帳號的口令;
MAX_USERS:密碼文件中可以存放的最大用戶數(shù),對應(yīng)于允許以SYSDBA/SYSOPER權(quán)限登錄數(shù)據(jù)庫的最大用戶數(shù)。由于在以后的維護中,若用戶數(shù)超出了此限制,則需要重建密碼文件,所以此參數(shù)可以根據(jù)需要設(shè)置得大一些。
有了密碼文件之后,需要設(shè)置初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE來控制密碼文件的使用狀態(tài)。
二、設(shè)置初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE:
在Oracle數(shù)據(jù)庫實例的初始化參數(shù)文件中,此參數(shù)控制著密碼文件的使用及其狀態(tài)。它可以有以下幾個選項:
NONE:指示Oracle系統(tǒng)不使用密碼文件,特權(quán)用戶的登錄通過操作系統(tǒng)進行身份驗證;EXCLUSIVE:指示只有一個數(shù)據(jù)庫實例可以使用此密碼文件。只有在此設(shè)置下的密碼文件可以包含有除INTERNAL/SYS以外的用戶信息,即允許將系統(tǒng)權(quán)限SYSOPER/SYSDBA授予除INTERNAL/SYS以外的其他用戶。
SHARED:指示可有多個數(shù)據(jù)庫實例可以使用此密碼文件。在此設(shè)置下只有INTERNAL/SYS帳號能被密碼文件識別,即使文件中存有其他用戶的信息,也不允許他們以SYSOPER/SYSDBA的權(quán)限登錄。此設(shè)置為缺省值。
在REMOTE_LOGIN_PASSWORDFILE參數(shù)設(shè)置為EXCLUSIVE、SHARED情況下,Oracle系統(tǒng)搜索密碼文件的次序為:在系統(tǒng)注冊庫中查找ORA_SID_PWFILE參數(shù)值(它為密碼文件的全路徑名);若未找到,則查找ORA_PWFILE參數(shù)值;若仍未找到,則使用缺省值ORACLE_HOME\DATABASE\PWDSID.ORA;其中的SID代表相應(yīng)的Oracle數(shù)據(jù)庫系統(tǒng)標識符。
三、向密碼文件中增加、刪除用戶:
當初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置為EXCLUSIVE時,系統(tǒng)允許除INTERNAL/SYS以外的其他用戶以管理員身份從遠端或本機登錄到Oracle數(shù)據(jù)庫系統(tǒng),執(zhí)行數(shù)據(jù)庫管理工作;這些用戶名必須存在于密碼文件中,系統(tǒng)才能識別他們。由于不管是在創(chuàng)建數(shù)據(jù)庫實例時自動創(chuàng)建的密碼文件,還是使用工具ORAPWD.EXE手工創(chuàng)建的密碼文件,都只包含INTERNAL/SYS用戶的信息;為此,在實際操作中,可能需要向密碼文件添加或刪除其他用戶帳號。
由于僅被授予SYSOPER/SYSDBA系統(tǒng)權(quán)限的用戶才存在于密碼文件中,所以當向某一用戶授予或收回SYSOPER/SYSDBA系統(tǒng)權(quán)限時,他們的帳號也將相應(yīng)地被加入到密碼文件或從密碼文件中刪除。由此,向密碼文件中增加或刪除某一用戶,實際上也就是對某一用戶授予或收回SYSOPER/SYSDBA系統(tǒng)權(quán)限。
要進行此項授權(quán)操作,需使用SYSDBA權(quán)限(或INTERNAL帳號)連入數(shù)據(jù)庫,且初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE的設(shè)置必須為EXCLUSIVE。具體操作步驟如下:
創(chuàng)建相應(yīng)的密碼文件;
設(shè)置初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE;使用SYSDBA權(quán)限登錄:CONNECTSYS/internal_user_passswordASSYSDBA;
啟動數(shù)據(jù)庫實例并打開數(shù)據(jù)庫;
創(chuàng)建相應(yīng)用戶帳號,對其授權(quán)(包括SYSOPER和SYSDBA):授予權(quán)限:GRANTSYSDBATOuser_name;收回權(quán)限:REVOKESYSDBAFROMuser_name;現(xiàn)在這些用戶可以以管理員身份登錄數(shù)據(jù)庫系統(tǒng)了。四、使用密碼文件登錄:
有了密碼文件后,用戶就可以使用密碼文件以SYSOPER/SYSDBA權(quán)限登錄Oracle數(shù)據(jù)庫實例了,注意初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE應(yīng)設(shè)置為EXCLUSIVE或SHARED。任何用戶以SYSOPER/SYSDBA的權(quán)限登錄后,將位于SYS用戶的Schema之下,以下為兩個登錄的例子:
1.以管理員身份登錄:
假設(shè)用戶scott已被授予SYSDBA權(quán)限,則他可以使用以下命令登錄:
CONNECTscott/tigerASSYSDBA2.以INTERNAL身份登錄:
CONNECTINTERNAL/INTERNAL_PASSWORD五、密碼文件的維護:1.查看密碼文件中的成員:
可以通過查詢視圖V$PWFILE_USERS來獲取擁有SYSOPER/SYSDBA系統(tǒng)權(quán)限的用戶的信息,表中SYSOPER/SYSDBA列的取值TRUE/FALSE表示此用戶是否擁有相應(yīng)的權(quán)限。這些用戶也就是相應(yīng)地存在于密碼文件中的成員。
2.擴展密碼文件的用戶數(shù)量:
當向密碼文件添加的帳號數(shù)目超過創(chuàng)建密碼文件時所定的限制(即ORAPWD.EXE工具的MAX_USERS參數(shù))時,為擴展密碼文件的用戶數(shù)限制,需重建密碼文件,具體步驟如下:
a)查詢視圖V$PWFILE_USERS,記錄下?lián)碛蠸YSOPER/SYSDBA系統(tǒng)權(quán)限的用戶信息;
b)關(guān)閉數(shù)據(jù)庫;c)刪除密碼文件;
d)用ORAPWD.EXE新建一密碼文件;e)將步驟a中獲取的用戶添加到密碼文件中。3.修改密碼文件的狀態(tài):
密碼文件的狀態(tài)信息存放于此文件中,當它被創(chuàng)建時,它的缺省狀態(tài)為SHARED。可以通過改變初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE的設(shè)置改變密碼文件的狀態(tài)。當啟動數(shù)據(jù)庫事例時,Oracle系統(tǒng)從初始化參數(shù)文件中讀取
REMOTE_LOGIN_PASSWORDFILE參數(shù)的設(shè)置;當加載數(shù)據(jù)庫時,系統(tǒng)將此參數(shù)與口令文件的狀態(tài)進行比較,如果不同,則更新密碼文件的狀態(tài)。若計劃允許從多臺客戶機上啟動數(shù)據(jù)庫實例,由于各客戶機上必須有初始化參數(shù)文件,所以應(yīng)確保各客戶機上的初始化參數(shù)文件的一致性,以避免意外地改變了密碼文件的狀態(tài),造成數(shù)據(jù)庫登陸的失敗。
4.修改密碼文件的存儲位置:
密碼文件的存放位置可以根據(jù)需要進行移動,但作此修改后,應(yīng)相應(yīng)修改系統(tǒng)注冊庫有關(guān)指向密碼文件存放位置的參數(shù)或環(huán)境變量的設(shè)置。
5.刪除密碼文件:
在刪除密碼文件前,應(yīng)確保當前運行的各數(shù)據(jù)庫實例的初始化參數(shù)
REMOTE_LOGIN_PASSWORDFILE皆設(shè)置為NONE。在刪除密碼文件后,若想要以管理員身份連入數(shù)據(jù)庫的話,則必須使用操作系統(tǒng)驗證的方法進行登錄。
擴展閱讀:Oracle安全管理總結(jié)
Oracle數(shù)據(jù)庫系統(tǒng)安全配置總結(jié)
一、檢查ORACLE系統(tǒng)用戶是否已經(jīng)被鎖定和密碼是否指定為失效
selectdecode(type#,0,"ROLE",1,"USER")type,name,decode(astatus,0,"OPEN",1,"EXPIRED",
2,"EXPIRED(GRACE)",4,"LOCKED(TIMED)",8,"LOCKED",
5,"EXPIREDandLOCKED(TIMED)",
6,"EXPIRED(GRACE)andLOCKED(TIMED)",9,"EXPIREDandLOCKED",
10,"EXPIRED(GRACE)andLOCKED")account_statusfromsys.user$
whereuser$.name"XS$NULL"andpassword=decode(name,
"ANONYMOUS","anonymous","CTXSYS","71E687F036AD56E5","DBSNMP","E066D214D5421CCC",
"HR","6399F3B38EDF3288","MDSYS","72979A94BAD2AF80","ODM","C252E8FA117AF049",
"ODM_MTR","A7A32CD03D3CE8D5","OE","9C30855E7E0CB02D","OLAPSYS","3FB8EF9DB538647C",
"ORDPLUGINS","88A2B2C183431F00","ORDSYS","7EFA02EC7EA6B86F","OUTLN","4A3BA55E08595C81",
"PM","72E382A52E89575A","QS","8B09C6075BDF2DC4","QS_ADM","991CDDAD5C5C32CA",
"QS_CB","CF9CFACF5AE24964","QS_CBADM","7C632AFB71F8D305","QS_CS","91A00922D8C0F146",
"QS_ES","E6A6FA4BB042E3C2","QS_OS","FF09F3EB14AE5C26","QS_WS","24ACF617DD7D8F2F",
"RMAN","E7B5D92911C831E1","SCOTT","F894844C34402B67","SH","9793B3777CD3BD1A",
"WKPROXY","B97545C4DD2ABE54","WKSYS","69ED49EE1851900D","WMSYS","7C9BA362F8314299","XDB","88D8364765FCE6AF",name)orderbyname;
LOCKED表示已經(jīng)被鎖定EXPIRED表示密碼失效
說明:一般執(zhí)行此命令后的查詢結(jié)果顯示所有為EXPIREDandLOCKED才符合安全標準的要求。
二、檢查ORACLE對用戶登錄失敗次數(shù)和是否有設(shè)定密碼被鎖定的時間
Selectlimitfromsys.dba_profileswhereprofile="DEFAULT"andresource_name="FAILED_LOGIN_ATTEMPTS";(登錄失敗次數(shù))
selectlimitfromsys.dba_profileswhereprofile="DEFAULT"andresource_name="PASSWORD_LOCK_TIME";(超時鎖定時間)
sys.dba_profiles為sys用戶的視圖,其中由sys.profile$,sys.profname$,sys.resource_map,sys.obj$這些表連接而成。
很多關(guān)于用戶的安全參數(shù)都可以通過設(shè)置系統(tǒng)表來實現(xiàn),以下是從網(wǎng)上找到比較詳細關(guān)于profile的詳解,以供參考。
--系統(tǒng)參數(shù)配置connectsys/password@db_linkassysdbaselect*fromdba_profileswhereresource_namelike"FAILED_LOGIN_ATTEMPTS%";--1DEFAULTFAILED_LOGIN_ATTEMPTSPASSWORD10--連續(xù)錯誤連接10次用戶被鎖定--2.
--查看被鎖的用戶
selectLOCK_DATE,usernamefromdba_userswhereusername="USERNAME";LOCK_DATE為空說明沒有鎖定,非空為鎖定。-----
SELECTS.USERNAME,
DECODE(L.TYPE,"TM","TABLELOCK","TX","ROWLOCK",NULL)LOCK_LEVEL,O.OWNER,
O.OBJECT_NAME,O.OBJECT_TYPE,S.SID,
S.SERIAL#,S.TERMINAL,S.MACHINE,S.PROGRAM,S.OSUSER
FROMV$SESSIONS,V$LOCKL,DBA_OBJECTSOWHERES.SID=L.SID
ANDO.OBJECT_ID=L.ID1
ANDS.USERNAMEISNOTNULL;--3.
--解鎖方法
ALTERUSERUSER_NAMEACCOUNTUNLOCK;
--值的注意,在升級過程中,被鎖的用戶,有可能不值一個--重新升級
-----設(shè)置系統(tǒng)的默認登錄次數(shù)
alterprofileDEFAULTlimitFAILED_LOGIN_ATTEMPTS10;
alterprofileDEFAULTlimitFAILED_LOGIN_ATTEMPTSUNLIMITED;
------------
數(shù)據(jù)管理員為這個用戶單獨設(shè)置了登錄次數(shù)則要查找這個用戶對應(yīng)的profile,然后修改.可以查看用戶的創(chuàng)建語名找到對應(yīng)的設(shè)置。
Oracle系統(tǒng)中的profile可以用來對用戶所能使用的數(shù)據(jù)庫資源進行限制,使用CreateProfile命令創(chuàng)建一個Profile,用它來實現(xiàn)對數(shù)據(jù)庫資源的限制使用,如果把該profile分配給用戶,則該用戶所能使用的數(shù)據(jù)庫資源都在該profile的限制之內(nèi)。
二、條件:
創(chuàng)建profile必須要有CREATEPROFILE的系統(tǒng)權(quán)限。
為用戶指定資源限制,必須:
1.動態(tài)地使用altersystem或使用初始化參數(shù)resource_limit使資源限制生效。該改變對密碼資源無效,密碼資源總是可用。
SQL>showparameterresource_limit
NAMETYPEVALUE
resource_limitbooleanFALSE
SQL>altersystemsetresource_limit=true;
系統(tǒng)已更改。
SQL>showparameterresource_limit;
NAMETYPEVALUE
resource_limitbooleanTRUE
SQL>
2.使用createprofile創(chuàng)建一個定義對數(shù)據(jù)庫資源進行限制的profile。
3.使用createuser或alteruser命令把profile分配給用戶。
三、語法:
CREATEPROFILEprofileLIMIT{resource_parameters|password_parameters}[resource_parameters|password_parameters]…;
{{SESSIONS_PER_USER|CPU_PER_SESSION|CPU_PER_CALL|CONNECT_TIME|IDLE_TIME|LOGICAL_READS_PER_SESSION|LOGICAL_READS_PER_CALL|COMPOSITE_LIMIT}{integer|UNLIMITED|DEFAULT}|PRIVATE_SGA{integer[K|M]|UNLIMITED|DEFAULT}}
{{FAILED_LOGIN_ATTEMPTS|PASSWORD_LIFE_TIME|PASSWORD_REUSE_TIME|PASSWORD_REUSE_MAX|PASSWORD_LOCK_TIME|PASSWORD_GRACE_TIME}{expr|UNLIMITED|DEFAULT}|PASSWORD_VERIFY_FUNCTION{function|NULL|DEFAULT}}四、語法解釋:
profile:配置文件的名稱。Oracle數(shù)據(jù)庫以以下方式強迫資源限制:
1.如果用戶超過了connect_time或idle_time的會話資源限制,數(shù)據(jù)庫就回滾當前事務(wù),并結(jié)束會話。用戶再次執(zhí)行命令,數(shù)據(jù)庫則返回一個錯誤,
2.如果用戶試圖執(zhí)行超過其他的會話資源限制的操作,數(shù)據(jù)庫放棄操作,回滾當前事務(wù)并立即返回錯誤。用戶之后可以提交或回滾當前事務(wù),必須結(jié)束會話。
提示:可以將一條分成多個段,如1小時(1/24天)來限制時間,可以為用戶指定資源限制,但是數(shù)據(jù)庫只有在參數(shù)生效后才會執(zhí)行限制。
Unlimited:分配該profile的用戶對資源使用無限制,當使用密碼參數(shù)時,unlimited意味著沒有對參數(shù)加限制。
Default:指定為default意味著忽略對profile中的一些資源限制,Defaultprofile初始定義對資源不限制,可以通過alterprofile命令來改變。
Resource_parameter部分:
Session_per_user:指定限制用戶的并發(fā)會話的數(shù)目。
Cpu_per_session:指定會話的CPU時間限制,單位為百分之一秒。
Cpu_per_call:指定一次調(diào)用(解析、執(zhí)行和提取)的CPU時間限制,單位為百分之一秒。
Connect_time:指定會話的總的連接時間,以分鐘為單位。
Idle_time:指定會話允許連續(xù)不活動的總的時間,以分鐘為單位,超過該時間,會話將斷開。但是長時間運行查詢和其他操作的不受此限制。
Logical_reads_per_session:指定一個會話允許讀的數(shù)據(jù)塊的數(shù)目,包括從內(nèi)存和磁盤讀的所有數(shù)據(jù)塊。
Logical_read_per_call:指定一次執(zhí)行SQL(解析、執(zhí)行和提。┱{(diào)用所允許讀的數(shù)據(jù)塊的最大數(shù)目。
Private_sga:指定一個會話可以在共享池(SGA)中所允許分配的最大空間,以字節(jié)為單位。(該限制只在使用共享服務(wù)器結(jié)構(gòu)時才有效,會話在SGA中的私有空間包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
Composite_limit:指定一個會話的總的資源消耗,以serviceunits單位表示。Oracle數(shù)據(jù)庫以有利的方式計算cpu_per_session,connect_time,logical_reads_per_session和private-sga總的serviceunits
Password_parameter部分:
Failed_login_attempts:指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數(shù)。
Password_life_time:指定同一密碼所允許使用的天數(shù)。如果同時指定了password_grace_time參數(shù),如果在graceperiod內(nèi)沒有改變密碼,則密碼會失效,連接數(shù)據(jù)庫被拒絕。如果沒有設(shè)置password_grace_time參數(shù),默認值unlimited將引發(fā)一個數(shù)據(jù)庫警告,但是允許用戶繼續(xù)連接。
Password_reuse_time和password_reuse_max:這兩個參數(shù)必須互相關(guān)聯(lián)設(shè)置,password_reuse_time指定了密碼不能重用前的天數(shù),而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數(shù)。兩個參數(shù)都必須被設(shè)置為整數(shù)。
1.如果為這兩個參數(shù)指定了整數(shù),則用戶不能重用密碼直到密碼被改變了password_reuse_max指定的次數(shù)以后在password_reuse_time指定的時間內(nèi)。
如:password_reuse_time=30,password_reuse_max=10,用戶可以在30天以后重用該密碼,要求密碼必須被改變超過10次。
2.如果指定了其中的一個為整數(shù),而另一個為unlimited,則用戶永遠不能重用一個密碼。
3.如果指定了其中的一個為default,Oracle數(shù)據(jù)庫使用定義在profile中的默認值,默認情況下,所有的參數(shù)在profile中都被設(shè)置為unlimited,如果沒有改變profile默認值,數(shù)據(jù)庫對該值總是默認為unlimited。
4.如果兩個參數(shù)都設(shè)置為unlimited,則數(shù)據(jù)庫忽略他們。
Password_lock_time:指定登陸嘗試失敗次數(shù)到達后帳戶的縮定時間,以天為單位。
Password_grace_time:指定寬限天數(shù),數(shù)據(jù)庫發(fā)出警告到登陸失效前的天數(shù)。如果數(shù)據(jù)庫密碼在這中間沒有被修改,則過期會失效。
Password_verify_function:該字段允許將復(fù)雜的PL/SQL密碼驗證腳本做為參數(shù)傳遞到createprofile語句。Oracle數(shù)據(jù)庫提供了一個默認的腳本,但是自己可以創(chuàng)建自己的驗證規(guī)則或使用第三方軟件驗證。對Function名稱,指定的是密碼驗證規(guī)則的名稱,指定為Null則意味著不使用密碼驗證功能。如果為密碼參數(shù)指定表達式,則該表達式可以是任意格式,除了數(shù)據(jù)庫標量子查詢。
五、舉例:
1.創(chuàng)建一個profile:
createprofilenew_profilelimitpassword_reuse_max10password_reuse_time30;
2.設(shè)置profile資源限制:
createprofileapp_userlimitsessions_per_userunlimitedcpu_per_sessionunlimitedcpu_per_call3000connect_time45logical_reads_per_sessiondefaultlogical_reads_per_call1000private_sga15kcomposite_limit5000000;
總的resourcecost不超過五百萬serviceunits。計算總的resourcecost的公式由alterresourcecost語句來指定。
3.設(shè)置密碼限制profile:
createprofileapp_users2limitfailed_login_attempts5password_life_time60password_reuse_time60password_reuse_max5password_verify_functionverify_functionpassword_lock_time1/24password_grace_time10;
4.將配置文件分配給用戶:
SQL>alteruserdinyaprofileapp_user;
用戶已更改。
SQL>alteruserdinyaprofiledefault;
用戶已更改。
友情提示:本文中關(guān)于《關(guān)于Oracle數(shù)據(jù)庫中密碼安全管理總結(jié)》給出的范例僅供您參考拓展思維使用,關(guān)于Oracle數(shù)據(jù)庫中密碼安全管理總結(jié):該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡(luò)整理 免責聲明:本文僅限學習分享,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除。