达梦：用户密码策略及资源限制

小虾米vivian

已于 2022-12-05 14:18:54 修改

阅读量5.7k

点赞数 2

分类专栏：国产达梦文章标签：数据库 sql 服务器

于 2022-09-22 22:40:28 首次发布

本文链接：https://blog.csdn.net/Penrosee/article/details/127001225

版权

国产达梦专栏收录该内容

35 篇文章 5 订阅

订阅专栏

一、用户的密码策略

密码策略决定了新建用户的密码复杂度，由 ini 参数 PWD_POLICY 决定，默认为 2，即密码长度不小于9。

不同的生产环境，可能有不同的管理要求，但强烈建议设置较高指数的密码策略，密码做定期修改，杜绝泄漏。该参数为系统级动态参数，具体的修改方式请参考达梦数据库参数。

检查密码复杂度的方式如下所示：

select * from v$dm_ini where para_name='PWD_POLICY';

用户口令最长为48字节，创建用户语句中的PASSWORD POLICY子句用来指定该用户的口令策略，系统支持的口令策略有：

0 无限制。但总长度不得超过48个字节
1 禁止与用户名相同
2 口令长度需大于等于INI参数PWD_MIN_LEN设置的值
4 至少包含一个大写字母（A-Z）
8 至少包含一个数字（0-9）
16 至少包含一个标点符号（英文输入法状态下，除“和空格外的所有符号）

口令策略可单独应用，也可组合应用。

1、修改密码策略示例

组合应用时，如需要应用策略2和4，则设置口令策略为2+4=6 。

等保测评建议设置为：

SP_SET_PARA_VALUE(1, 'PWD_POLICY',31);

修改密码策略有两种方式：

方式一：

alter user test PASSWORD_POLICY 6;

方式二：

查询当前的PWD_POLICY值

SELECT * FROM V$PARAMETER WHERE NAME= ‘PWD_POLICY’;

修改PWD_POLICY值

SP_SET_PARA_VALUE(1, ‘PWD_POLICY’,6);

PWD_POLICY参数为动态参数，修改完成后立即生效。

二、用户的资源限制

1、DM资源限制项

资源限制用于限制用户对DM数据库系统资源的使用，包含如下内容：

资源限制项	说明	最大值	最小值	缺省值
SESSION_PER_USER	在一个实例中，一个用户可以同时拥有的会话数量	32768	1	安全版本中默认值为4096；其他版本中默认值为系统所能提供的最大值
CONNECT_TIME	一个会话连接、访问和操作数据库服务器的时间上限（单位：1分钟。若配置了ini参数RESOURCE_FLAG=1，则单位为1秒钟）	1440分或86400秒（1天）	1	无限制
CONNECT_IDLE_TIME	会话最大空闲时间（单位：1分钟。若配置了ini参数RESOURCE_FLAG=1，则单位为1秒钟）	1440分或86400秒（1天）	1	无限制
FAILED_LOGIN_ATTEMPS	将引起一个账户被锁定的连续注册失败的次数	100	1	3
CPU_PER_SESSION	一个会话允许使用的CPU时间上限（单位：秒）	31536000（365天）	1	无限制
CPU_PER_CALL	用户的一个请求能够使用的CPU时间上限（单位：秒）	86400（1天）	1	无限制
READ_PER_SESSION	会话能够读取的总数据页数上限	2147483646	1	无限制
READ_PER_CALL	每个请求能够读取的数据页数	2147483646	1	无限制
MEM_SPACE	会话占有的私有内存空间上限（单位：MB）	2147483647	1	无限制
PASSWORD_LIFE_TIME	一个口令在其终止前可以使用的天数	365	1	无限制
PASSWORD_REUSE_TIME	一个口令在可以重新使用前必须经过的天数	365	1	无限制
PASSWORD_REUSE_MAX	一个口令在可以重新使用前必须改变的次数	32768	1	无限制
PASSWORD_LOCK_TIME	如果超过 FAILED_LOGIN_ATTEMPS设置值，一个账户将被锁定的分钟数	1440（1天）	1	1
PASSWORD_GRACE_TIME	以天为单位的口令过期宽限时间，过期口令超过该期限后，禁止执行除修改口令以外的其他操作	30	1	10

注意

若用户为系统预设用户（包括SYSDBA、SYSAUDITOR、SYSSSO），则关于口令的6项资源限制项自动失效。

DM安全版本还提供了用户IP地址限制和用户时间段限制。

详情参看：用户资源限制

2、修改用户资源限制示例

例1：创建对失败登录次数进行控制的用户，如果用户失败的登录次数达到3次，这个用户账号将被锁定5分钟。

CREATE USER USER1 IDENTIFIED BY USER1PASSWORD 
LIMIT FAILED_LOGIN_ATTEMPS 3, PASSWORD_LOCK_TIME 5;

例2：创建对修改口令进行限制的用户，要求用户在30天内必须把口令修改过5次后，才能使用过去用过的口令。

CREATE USER USER2 IDENTIFIED BY USER2PASSWORD

LIMIT PASSWORD_REUSE_TIME 30, PASSWORD_REUSE_MAX 5;

例3：创建对允许IP和允许时间段进行限制的用户，要求用户在192.168.0.*网段进行登录，且访问时间必须为工作时段。

CREATE USER USER3 IDENTIFIED BY USER3PASSWORD

ALLOW_IP "192.168.0.*" ALLOW_DATETIME MON "8:30:00" TO FRI "17:30:00";

例4：创建对允许IP和允许时间段进行限制的用户，要求用户在192.168.0.29或192.168.0.30 IP进行登录，且访问时间段为2016年1月1日 8：30至2016年12月31日17：30。

CREATE USER USER4 IDENTIFIED BY USER4PASSWORD 
ALLOW_IP "192.168.0.29", "192.168.0.30" 
ALLOW_DATETIME "2016-1-1" "8:30:30" to "2016-12-12" "17:30:00";

本次分享到这里就结束了~ ，喜欢还请点赞-收藏-关注哦

更多内容，请访问达梦社区地址：达梦数据库 - 新一代大型通用关系型数据库 | 达梦在线服务平台