一、 用户的密码策略
密码策略决定了新建用户的密码复杂度,由 ini 参数 PWD_POLICY
决定,默认为 2,即密码长度不小于9。
不同的生产环境,可能有不同的管理要求,但强烈建议设置较高指数的密码策略,密码做定期修改,杜绝泄漏。该参数为系统级动态参数,具体的修改方式请参考达梦数据库参数。
检查密码复杂度的方式如下所示:
select * from v$dm_ini where para_name='PWD_POLICY';
用户口令最长为48字节,创建用户语句中的PASSWORD POLICY子句用来指定该用户的口令策略,系统支持的口令策略有:
- 0 无限制。但总长度不得超过48个字节
- 1 禁止与用户名相同
- 2 口令长度需大于等于INI参数PWD_MIN_LEN设置的值
- 4 至少包含一个大写字母(A-Z)
- 8 至少包含一个数字(0-9)
- 16 至少包含一个标点符号(英文输入法状态下,除“和空格外的所有符号)
口令策略可单独应用,也可组合应用。
1、修改密码策略示例
组合应用时,如需要应用策略2和4,则设置口令策略为2+4=6 。
等保测评建议设置为:
SP_SET_PARA_VALUE(1, 'PWD_POLICY',31);
修改密码策略有两种方式:
方式一:
alter user test PASSWORD_POLICY 6;
方式二:
查询当前的PWD_POLICY值
SELECT * FROM V$PARAMETER WHERE NAME= ‘PWD_POLICY’;
修改PWD_POLICY值
SP_SET_PARA_VALUE(1, ‘PWD_POLICY’,6);
PWD_POLICY参数为动态参数,修改完成后立即生效。
二、用户的资源限制
1、DM资源限制项
资源限制用于限制用户对DM数据库系统资源的使用,包含如下内容:
资源限制项 | 说明 | 最大值 | 最小值 | 缺省值 |
---|---|---|---|---|
SESSION_PER_USER | 在一个实例中,一个用户可以同时拥有的会话数量 | 32768 | 1 | 安全版本中默认值为4096;其他版本中默认值为系统所能提供的最大值 |
CONNECT_TIME | 一个会话连接、访问和操作数据库服务器的时间上限(单位:1分钟。若配置了ini参数RESOURCE_FLAG=1,则单位为1秒钟) | 1440分或86400秒(1天) | 1 | 无限制 |
CONNECT_IDLE_TIME | 会话最大空闲时间(单位:1分钟。若配置了ini参数RESOURCE_FLAG=1,则单位为1秒钟) | 1440分或86400秒(1天) | 1 | 无限制 |
FAILED_LOGIN_ATTEMPS | 将引起一个账户被锁定的连续注册失败的次数 | 100 | 1 | 3 |
CPU_PER_SESSION | 一个会话允许使用的CPU时间上限(单位:秒) | 31536000(365天) | 1 | 无限制 |
CPU_PER_CALL | 用户的一个请求能够使用的CPU时间上限(单位:秒) | 86400(1天) | 1 | 无限制 |
READ_PER_SESSION | 会话能够读取的总数据页数上限 | 2147483646 | 1 | 无限制 |
READ_PER_CALL | 每个请求能够读取的数据页数 | 2147483646 | 1 | 无限制 |
MEM_SPACE | 会话占有的私有内存空间上限(单位:MB) | 2147483647 | 1 | 无限制 |
PASSWORD_LIFE_TIME | 一个口令在其终止前可以使用的天数 | 365 | 1 | 无限制 |
PASSWORD_REUSE_TIME | 一个口令在可以重新使用前必须经过的天数 | 365 | 1 | 无限制 |
PASSWORD_REUSE_MAX | 一个口令在可以重新使用前必须改变的次数 | 32768 | 1 | 无限制 |
PASSWORD_LOCK_TIME | 如果超过 FAILED_LOGIN_ATTEMPS设置值,一个账户将被锁定的分钟数 | 1440(1天) | 1 | 1 |
PASSWORD_GRACE_TIME | 以天为单位的口令过期宽限时间,过期口令超过该期限后,禁止执行除修改口令以外的其他操作 | 30 | 1 | 10 |
注意
若用户为系统预设用户(包括SYSDBA、SYSAUDITOR、SYSSSO),则关于口令的6项资源限制项自动失效。
DM安全版本还提供了用户IP地址限制和用户时间段限制。
详情参看:用户资源限制
2、修改用户资源限制示例
例1:创建对失败登录次数进行控制的用户,如果用户失败的登录次数达到3次,这个用户账号将被锁定5分钟。
CREATE USER USER1 IDENTIFIED BY USER1PASSWORD
LIMIT FAILED_LOGIN_ATTEMPS 3, PASSWORD_LOCK_TIME 5;
例2:创建对修改口令进行限制的用户,要求用户在30天内必须把口令修改过5次后,才能使用过去用过的口令。
CREATE USER USER2 IDENTIFIED BY USER2PASSWORD
LIMIT PASSWORD_REUSE_TIME 30, PASSWORD_REUSE_MAX 5;
例3:创建对允许IP和允许时间段进行限制的用户,要求用户在192.168.0.*网段进行登录,且访问时间必须为工作时段。
CREATE USER USER3 IDENTIFIED BY USER3PASSWORD
ALLOW_IP "192.168.0.*" ALLOW_DATETIME MON "8:30:00" TO FRI "17:30:00";
例4:创建对允许IP和允许时间段进行限制的用户,要求用户在192.168.0.29或192.168.0.30 IP进行登录,且访问时间段为2016年1月1日 8:30至2016年12月31日17:30。
CREATE USER USER4 IDENTIFIED BY USER4PASSWORD
ALLOW_IP "192.168.0.29", "192.168.0.30"
ALLOW_DATETIME "2016-1-1" "8:30:30" to "2016-12-12" "17:30:00";
本次分享到这里就结束了~ ,喜欢还请点赞-收藏-关注哦
更多内容,请访问达梦社区地址:达梦数据库 - 新一代大型通用关系型数据库 | 达梦在线服务平台