原文链接:https://blog.csdn.net/l106439814/article/details/26972753
一、Profile目的:
Oracle系统中的profile可以用来对用户所能使用的数据库资源进行限制,使用Create Profile命令创建一个Profile,用它来实现对数据库资源的限制使用,如果把该profile分配给用户,则该用户所能使用的数据库资源都在该profile的限制之内。具体管理内容有:CPU的时间、I/O的使用、IDLE TIME(空闲时间)、CONNECT TIME(连接时间)、并发会话数量、口令机制等。
二、条件:
创建profile必须要有CREATE PROFILE的系统权限。为用户指定资源限制,必须:
1.动态地使用alter system或使用初始化参数resource_limit使资源限制生效。该改变对密码资源无效,密码资源总是可用。
SQL> show parameter resource_limit
SQL> alter system set resource_limit=true;
2.使用create profile创建一个定义对数据库资源进行限制的profile。
3.使用create user 或alter user命令把profile分配给用户。
三、查看系统的默认PROFILE
1、通过dba_profiles视图查看一下系统中默认都有哪些PROFILE数据库创建以后,系统中只会存在一个名为DEFAULT的默认PROFILE,在用户创建之后,如果不做特殊指定,每个用户的PROFILE都会默认的使用个默认的PROFILE。
select distinct profile from dba_profiles;
四、创建 profile 的语法如下:
CREATE PROFILE profile
LIMIT { resource_parameters 对资源的限制
| password_parameters 对密码的限制
}... ;
<resource_parameters>
{{ SESSIONS_PER_USER 每个用户名并行会话数
| CPU_PER_SESSION 每会话可用的CPU时间,单位0.01秒
| CPU_PER_CALL 一次SQL调用(解析、执行和获取)允许的CPU时间
| CONNECT_TIME 会话连接时间(分钟)
| IDLE_TIME 会话空闲时间(分钟),超出将断开
| LOGICAL_READS_PER_SESSION
| LOGICAL_READS_PER_CALL
| COMPOSITE_LIMIT “组合打法”
}
{ integer | UNLIMITED | DEFAULT }
| PRIVATE_SGA
{ integer [ K | M ] | UNLIMITED | DEFAULT }
}
< password_parameters >
{{ FAILED_LOGIN_ATTEMPTS 被锁定前的试错次数
| PASSWORD_LIFE_TIME 密码使用天数,默认180天
| PASSWORD_REUSE_TIME 密码可重用的间隔时间(结合PASSWORD_REUSE_MAX)
| PASSWORD_REUSE_MAX 密码最大改变次数(结合PASSWORD_REUSE_TIME)
| PASSWORD_LOCK_TIME 超过试错次数后,被锁定的天数,默认1天
| PASSWORD_GRACE_TIME 密码过期后还可使用原密码的天数
}
{ expr | UNLIMITED | DEFAULT }
| PASSWORD_VERIFY_FUNCTION 密码复杂度校验
{ function | NULL | DEFAULT }
}
五、部分解释:
profile:配置文件的名称。Oracle数据库以以下方式强迫资源限制:
1.如果用户超过了connect_time或idle_time的会话资源限制,数据库就回滚当前事务,并结束会话。用户再次执行命令,数据库则返回一个错误
2.如果用户试图执行超过其他的会话资源限制的操作,数据库放弃操作,回滚当前事务并立即返回错误。用户之后可以提交或回滚当前事务,必须结束会话。
提示:可以将一条分成多个段,如1小时(1/24天)来限制时间,可以为用户指定资源限制,但是数据库只有在参数生效后才会执行限制。
Unlimited:分配该profile的用户对资源使用无限制,当使用密码参数时,unlimited意味着没有对参数加限制。
Default:指定为default意味着忽略对profile中的一些资源限制,Default profile初始定义对资源不限制,可以通过alter profile命令来改变。
Resource_parameter部分
Logical_reads_per_session:每会话允许读的数据块的数目,包括从内存和磁盘读的所有数据块。
Logical_read_per_call:一次执行SQL(解析、执行和提取)调用允许读的数据块最大数目。
Private_sga:指定一个会话可以在共享池(SGA)中所允许分配的最大空间,以字节为单位。(该限制只在使用共享服务器结构时才有效,会话在SGA中的私有空间包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
Composite_limit:指定一个会话的总的资源消耗,以service units单位表示。Oracle数据库以有利的方式计算cpu_per_session,connect_time,logical_reads_per_session和private-sga总的service units
Password_parameter部分:
Password_life_time:指定同一密码所允许使用的天数。如果同时指定了password_grace_time参数,如果在grace period内没有改变密码,则密码会失效,连接数据库被拒绝。如果没有设置password_grace_time参数,默认值unlimited将引发一个数据库警告,但是允许用户继续连接。
Password_reuse_time和password_reuse_max:这两个参数必须互相关联设置,password_reuse_time指定了密码不能重用前的天数,而password_reuse_max则指定了当前密码被重用之前密码改变的次数。两个参数都必须被设置为整数。
1.如果为这两个参数指定了整数,则用户不能重用密码直到密码被改变了password_reuse_max指定的次数以后在password_reuse_time指定的时间内。
如:password_reuse_time=30,password_reuse_max=10,用户可以在30天以后重用该密码,要求密码必须被改变超过10次。
2.如果指定了其中的一个为整数,而另一个为unlimited,则用户永远不能重用一个密码。
3.如果指定了其中的一个为default,Oracle数据库使用定义在profile中的默认值,默认情况下,所有的参数在profile中都被设置为unlimited,如果没有改变profile默认值,数据库对该值总是默认为unlimited。
4.如果两个参数都设置为unlimited,则数据库忽略他们。
Password_grace_time:指定宽限天数,数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改,则过期会失效。
Password_verify_function:该字段允许将复杂的PL/SQL密码验证脚本做为参数传递到create profile语句。Oracle数据库提供了一个默认的脚本,但是自己可以创建自己的验证规则或使用第三方软件验证。 对Function名称,指定的是密码验证规则的名称,指定为Null则意味着不使用密码验证功能。如果为密码参数指定表达式,则该表达式可以是任意格式,除了数据库标量子查询。
六、实验:
实验中使用了几乎所有参数,惟一没有包含的是IDLE_TIME,它将继承 DEFAULT 中的定义。删除 PROFILE 很简单,语法:DROP PROFILE profile [CASCADE];
如果创建的PROFILE已经授权给了具体的用户,则需用CASCADE选项级联的收回相应限制,在收回这些限制信息后将以系统默认的PROFILE对该用户进行限制。
--查看系统资源文件
select distinct profile from dba_profiles;
--创建资源文件
CREATE PROFILE ETS_PROFILE LIMIT
SESSIONS_PER_USER UNLIMITED --对用户的并发连接会话数不做限制
CPU_PER_SESSION UNLIMITED --对于连接到用户的每一个session的CPU时间的使用不做限制
CPU_PER_CALL 6000 --一次调用消耗的CPU时间不能超过60秒(不超过一分钟)
CONNECT_TIME 60 -- 连接到用户的每次会话时间不能超过60分钟(不超过一个小时)
LOGICAL_READS_PER_SESSION DEFAULT --一次会话使用的物理读与逻辑读数据块总量与DEFAULT profile中定义保持一致
LOGICAL_READS_PER_CALL 6000 --一次调用使用的物理读与逻辑读数据块总量不超过6000个数据块
COMPOSITE_LIMIT 6000000 -- 一次会话总的资源消耗不超过6000000个服务单元(service units)
PRIVATE_SGA 66K --一次会话在SGA中不能分配超过66K的空间
FAILED_LOGIN_ATTEMPTS 6 --帐户被锁定之前允许6次的错误尝试
PASSWORD_LIFE_TIME 60 --超过此生命周期后密码作废
PASSWORD_REUSE_TIME 60 --密码重用时间60天
PASSWORD_REUSE_MAX 5 --密码重用之前密码需要完成5次改变
PASSWORD_LOCK_TIME 1/24 --超过错误尝试次数后,用户将被锁定1小时
PASSWORD_GRACE_TIME 10 --当密码过期之后原密码还可以使用10天
PASSWORD_VERIFY_FUNCTION null --使用密码复杂度校验函数为null
--修改资源文件值
ALTER PROFILE ETS_PROFILE LIMIT FAILED_LOGIN_ATTEMPTS UNLIMITED;
--删除资源文件
DROP PROFILE ETS_PROFILE cascade;
第16行和第17行,两个策略搭配使用后,只有完成 5 次密码修改且已超过60天后,之前的密码才能被再次使用
七、PROFILE 何时生效
PROFILE中有关密码的限制永远生效,不受限制。
PROFILE中有关资源的限制与resource_limit参数的设置有关,为TRUE时生效,为FALSE时(默认)无效。
八、将配置文件分配给用户:
alter user ETS profile ETS_PROFILE;