[Oracle]密码及账号策略设定

最新推荐文章于 2024-08-02 16:50:13 发布
最新推荐文章于 2024-08-02 16:50:13 发布
阅读量2.1w 收藏 5
点赞数 1
分类专栏: Oracle 文章标签: Oracle 密码 账号

       从10g开始,Oracle修改了DEFAULT资源限制,设置FAILED_LOGIN_ATTEMPTS的值为3,这避免了恶意破解用户密码的可能性。

SQL> select * from v$version;

BANNER
----------------------------------------------------------------
Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - 64bi
PL/SQL Release 10.2.0.4.0 - Production
CORE    10.2.0.4.0      Production
TNS for Solaris: Version 10.2.0.4.0 - Production
NLSRTL Version 10.2.0.4.0 - Production

SQL> select * from dba_profiles;      

PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT
------------------------------ -------------------------------- -------- ------------------
DEFAULT                        COMPOSITE_LIMIT                  KERNEL   UNLIMITED
DEFAULT                        SESSIONS_PER_USER                KERNEL   UNLIMITED
DEFAULT                        CPU_PER_SESSION                  KERNEL   UNLIMITED
DEFAULT                        CPU_PER_CALL                     KERNEL   UNLIMITED
DEFAULT                        LOGICAL_READS_PER_SESSION        KERNEL   UNLIMITED
DEFAULT                        LOGICAL_READS_PER_CALL           KERNEL   UNLIMITED
DEFAULT                        IDLE_TIME                        KERNEL   UNLIMITED
DEFAULT                        CONNECT_TIME                     KERNEL   UNLIMITED
DEFAULT                        PRIVATE_SGA                      KERNEL   UNLIMITED
DEFAULT                        FAILED_LOGIN_ATTEMPTS            PASSWORD 10
DEFAULT                        PASSWORD_LIFE_TIME               PASSWORD UNLIMITED
DEFAULT                        PASSWORD_REUSE_TIME              PASSWORD UNLIMITED
DEFAULT                        PASSWORD_REUSE_MAX               PASSWORD UNLIMITED
DEFAULT                        PASSWORD_VERIFY_FUNCTION         PASSWORD NULL
DEFAULT                        PASSWORD_LOCK_TIME               PASSWORD UNLIMITED
DEFAULT                        PASSWORD_GRACE_TIME              PASSWORD UNLIMITED

已选择16行。

但是同时引发了另一个问题,虽然其他用户试图通过暴力破解的方式猜测用户密码变得不可能,但是可以通过不断尝试,导致用户帐号被锁定,同样达到影响业务正常运行的目的。

在11g中,Oracle的延迟错误密码验证是解决这个问题的一个好方法,可以参考:http://yangtingkun.itpub.net/post/468/505041

同时Oracle也考虑到帐号被锁定后引发的管理问题,因此有一次修改了默认PROFILE:

SQL> select * from dba_profiles;

PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT
------------------------------ -------------------------------- -------- -----------------
DEFAULT                        COMPOSITE_LIMIT                  KERNEL   UNLIMITED
DEFAULT                        SESSIONS_PER_USER                KERNEL   UNLIMITED
DEFAULT                        CPU_PER_SESSION                  KERNEL   UNLIMITED
DEFAULT                        CPU_PER_CALL                     KERNEL   UNLIMITED
DEFAULT                        LOGICAL_READS_PER_SESSION        KERNEL   UNLIMITED
DEFAULT                        LOGICAL_READS_PER_CALL           KERNEL   UNLIMITED
DEFAULT                        IDLE_TIME                        KERNEL   UNLIMITED
DEFAULT                        CONNECT_TIME                     KERNEL   UNLIMITED
DEFAULT                        PRIVATE_SGA                      KERNEL   UNLIMITED
DEFAULT                        FAILED_LOGIN_ATTEMPTS            PASSWORD 3                                        -- 密码出错次数(超过后账号将锁定)
DEFAULT                        PASSWORD_LIFE_TIME               PASSWORD 180                                      -- 密码有效期(天)
DEFAULT                        PASSWORD_REUSE_TIME              PASSWORD UNLIMITED                   -- 密码不能重新用的天数
DEFAULT                        PASSWORD_REUSE_MAX               PASSWORD UNLIMITED                   -- 密码重用之前修改的最少次数
DEFAULT                        PASSWORD_VERIFY_FUNCTION         PASSWORD NULL                      
DEFAULT                        PASSWORD_LOCK_TIME               PASSWORD 1                                        -- 超过了1天后,帐号自动解锁
DEFAULT                        PASSWORD_GRACE_TIME              PASSWORD 7                                      -- 密码到期提前7天提配

已选择16行。

Oracle将PASSWORD_LOCK_TIME的值设置为1,这样当输入多次密码导致帐号被锁定后,只要超过了1天后,帐号自动解锁,这样可以避免DBA手工干预引入的管理代价。

SQL> select * from v$version;

BANNER
--------------------------------------------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production
PL/SQL Release 11.2.0.1.0 - Production
CORE    11.2.0.1.0      Production
TNS for Linux: Version 11.2.0.1.0 - Production
NLSRTL Version 11.2.0.1.0 - Production

SQL> alter profile default limit password_lock_time 1/24;

配置文件已更改

SQL> select * from dba_profiles;

PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT
------------------------------ -------------------------------- -------- ------------------
DEFAULT                        COMPOSITE_LIMIT                  KERNEL   UNLIMITED
DEFAULT                        SESSIONS_PER_USER                KERNEL   UNLIMITED
DEFAULT                        CPU_PER_SESSION                  KERNEL   UNLIMITED
DEFAULT                        CPU_PER_CALL                     KERNEL   UNLIMITED
DEFAULT                        LOGICAL_READS_PER_SESSION        KERNEL   UNLIMITED
DEFAULT                        LOGICAL_READS_PER_CALL           KERNEL   UNLIMITED
DEFAULT                        IDLE_TIME                        KERNEL   UNLIMITED
DEFAULT                        CONNECT_TIME                     KERNEL   UNLIMITED
DEFAULT                        PRIVATE_SGA                      KERNEL   UNLIMITED
DEFAULT                        FAILED_LOGIN_ATTEMPTS            PASSWORD 10
DEFAULT                        PASSWORD_LIFE_TIME               PASSWORD 180
DEFAULT                        PASSWORD_REUSE_TIME              PASSWORD UNLIMITED
DEFAULT                        PASSWORD_REUSE_MAX               PASSWORD UNLIMITED
DEFAULT                        PASSWORD_VERIFY_FUNCTION         PASSWORD NULL
DEFAULT                        PASSWORD_LOCK_TIME               PASSWORD .0416
DEFAULT                        PASSWORD_GRACE_TIME              PASSWORD 7

已选择16行。

SQL> conn test/test
ERROR:
ORA-01017: invalid username/password; logon denied


警告: 您不再连接到 ORACLE。
SQL> conn test/test
ERROR:
ORA-01017: invalid username/password; logon denied


SQL> conn test/test
ERROR:
ORA-01017: invalid username/password; logon denied


SQL> conn test/test
ERROR:
ORA-01017: invalid username/password; logon denied


SQL> conn test/test
ERROR:
ORA-01017: invalid username/password; logon denied


SQL> conn / as sysdba
已连接。
SQL> select username, account_status from dba_users where username = 'TEST';

USERNAME                       ACCOUNT_STATUS
------------------------------ --------------------------------
TEST                           LOCKED(TIMED)



一旦超过PASSWORD_LOCK_TIME的时间,帐号自动解锁,但是不适用帐号被管理员手工锁定的情况。

设置一个合理的PASSWORD_LOCK_TIME的值,可以有效的降低用户被恶意锁定所带来的危害,同时避免帐号被恶意破解。

 

转载自:http://blog.itpub.net/4227/viewspace-673255

xiaoxu0123
关注
专栏目录
Linux密码策略-密码长度-密码复杂度
weixin_30376323的博客
08-23 5517
1.设置密码长度 vim /etc/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 type= 找到同时有 “password” 和 “pam_cracklib.so...
Oracle口令管理
の正在缓存99%
05-29 778
密码必须至少包含 2 个大写字符、2 个小写字符、2 个数字字符和 2 个特殊字符。 密码包含不少于 9 个字符且不超过 30 个字符。密码不包含双引号字符(“)。但是,它可以用双引号括起来。注意:password_reuse_time 和 password_reuse_max 是复式的,可以都指定但只有。 4.口令改变时新口令必须和旧口令保证有 8 个符号以上的差异。 3.口令至少有一个字母,一个数字和一个特殊符号。 密码必须与以前的密码至少相差 4 个字符。
oracle锁定策略
qq_64470289的博客
12-16 398
只有在修改时才对数据加行级锁定 如果只是读取数据,Oracle绝不会对数据锁定 写入器(writer)不会阻塞读取器(reader) 写入器想写某行数据但另一个写入器已经对数据进行了锁定,此时写入器才会被堵塞 ...
oracle修改账号密码
最新发布
woxinzhihen的博客
08-02 344
ora忘记密码,修改密码,修改管理员密码
4、 oracle 10g中的密码策略---密码重用规则
cuigaoqi5656的博客
07-31 253
密码重用规则涉及的2个参数,password_login_max和password_login_time.这2个参数的设置及其规则与oracle9i是不同的.[@more@]PASSWORD_REUSE_TIME是重用密码的最小...
Oracle 密码相关策略
Eric.zhong
12-15 709
前言 数据库安全配置中,访问安全是最优先考虑的问题,弱密码是第一杀手。Oracle数据库在不断的发展中,为管理员预设置许多的安全设置,比如Oracle 11g起,密码大小写敏感;默认密码180天会失效;10次密码错误账号会被锁定等。这些都会失效与锁定都会反应在dba_users表的account_status字段,它有9种不同的状态: STATUS# STATUS ---------- ---...
oracle用户策略文件
cuanqie9012的博客
10-19 197
查询用户策略select username,profile from dba_users;一般用户策略名为“DEFAULT”查询用户的具体的策略select × from dba_profiles ...
Oracle数据库密码文件的使用和维护
09-11
此外,密码策略,如定期更换密码,也应严格执行,以增强系统的整体安全。 总的来说,Oracle数据库密码文件的管理是数据库管理员的重要职责,包括创建、配置初始化参数、管理用户权限以及确保文件的安全性。正确理解...
Oracle数据库安全策略研究 (2).pdf
10-10
默认设置有时过于宽松,不充分考虑安全性,例如,默认的用户账号密码策略、权限分配等,都需要根据实际需求进行严格的定制和管理。访问控制故障则涉及权限管理和审计机制的缺陷,可能导致未经授权的用户访问敏感...
Oracle密码忘记 重设方法
03-26
在IT行业中,数据库管理系统的安全性至关重要,而Oracle作为全球领先的关系型数据库...此外,对于关键的系统管理员账号,还应该设定复杂的密码策略,包括定期自动更新密码等措施,以防止未授权的访问和潜在的安全威胁。
Linux下修改Oracle用户密码
12-10
Linux下修改Oracle用户密码
Oracle数据库密码策略脚本
mhmds的专栏
06-28 3456
这里我们介绍两个脚本utlpwdmg.sql与undopwd.sql,这两个脚本是Oracle数据库软件提供的正式脚本,第一个脚本用于指定Oracle默认 的profile并提供了一个密码的验证函数,提供部分对新密码的验证;第二个脚本是将之前的改变做回原来状态。          我这里是11g数据库中的脚本,其提供的控制如下: 密码长度不低于8位密码不能跟用户名一致密码不能跟用户
Oracle 密码策略详解
鱼丸丶粗面
08-01 5382
Oracle 密码策略详解 dba_profiles
【PROFILE】使用Oracle的PROFILE对用户资源限制和密码限制的研究与探索
cuanchuwei1207的博客
10-12 223
1.用户创建语句PROFILE选项“引发的血案”如果大家细心的话,在创建用户的语法中有这么一个选项“PROFILE profile”。下面是Oracle 11gR2官方文档中关于创建用户的...
oracle 设置密码规则,Oracle密码管理(Password Management使用utlpwdmg.sql)
weixin_39636333的博客
04-04 927
使用脚本utlpwdmg.sql可以方便地启动数据库的密码管理。该脚本位于$ORACLE_HOME/rdbms/admin目录下。启动密码管理以前:SQL> select * from v$version;BANNER----------------------------------------------------------------Oracle Database 10g Ente...
Oracle 复杂用户密码规则设置
竹林幽深
09-22 3707
ORACLE中默认的密码规则是很宽松的,多么简单的密码都是可以被设置的。但是在一些对安全很敏感的环境下,我们最好开启ORACLE的复杂密码规则的功能。 下面我们来看看默认的ORACLE密码规则是什么样的: [ora9i@db ora9i]$ sqlplus "/ as sysdba" SQL*Plus: Release 9.2.0.8.0 - Production on Mon Apr 8
oracle用户密码规则,Oracle 复杂用户密码规则设置
weixin_29196315的博客
04-02 1227
ORACLE中默认的密码规则是很宽松的,多么简单的密码都是可以被设置的。但是在一些对安全很敏感的环境下,我们最好开启ORACLE的复杂密码规则的功能。下面我们来看看默认的ORACLE密码规则是什么样的:[ora9i@db ora9i]$ sqlplus "/ as sysdba"SQL*Plus: Release 9.2.0.8.0 - Production on Mon Apr 8 18:57...
Oracle数据库安全策略
weixin_34000916的博客
08-13 167
2019独角兽企业重金招聘Python工程师标准>>> ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值