zoukankan      html  css  js  c++  java
  • Oracle OS认证以及口令文件

    1.OS认证
    Oracle安装之后默认情况下是启用了OS认证的,这里提到的os认证是指服务器端os认证。OS认证的意思把登录数据库的用户和口令校验放在了操作系统一级。如果以安装Oracle时的用户登录OS,那么此时在登录Oracle数据库时不需要任何验证,如:
    SQL> connect /as sysdba
    已连接。
    SQL> connect sys/aaa@test as sysdba
    已连接。
    SQL> connect sys/bbb as sysdba
    已连接。
    SQL> connect aaa/bbb as sysdba
    已连接。
    SQL> show user
    SYS
    SQL>
    不论输入什么用户(哪怕这个用户如aaa在数据库中根本不存在),只要以sysdba权限连接数据库,都可以连接上,并且连接用户是sys,这样很方便,有时候,如果忘记了数据库的密码,而又想登录数据库,可以通过这种方式,前提是在数据库服务器上.

    但是方便的同时也带来了一些安全隐患,于是很多人想屏蔽os认证,

    在win下只要把oracle_home/NETWORK/admin /sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES= (nts)nts改成none或者注释掉这句话(在前面加上#),就可以屏蔽os功能,要想以sys用户连上数据库必须输入正确的sys口令,或者可以把 oracle的安装用户从组ora_dba中删除掉,当然也可以直接把ora_dba这个组也删除,都可以屏蔽os功能.如:
    SQL> connect /as sysdba
    ERROR:
    ORA-01031: 权限不足
    SQL> connect sys/aaa as sysdba
    ERROR:
    ORA-01017: 用户名/口令无效; 登录被拒绝
    SQL> connect aaa/bbb as sysdba
    ERROR:
    ORA-01031: 权限不足
    SQL> connect sys/system as sysdba
    已连接。
    SQL>

    在unix/linux下也可以在文件sqlnet.ora中增加SQLNET.AUTHENTICATION_SERVICES=(none)以及删 除dba(groupdel dba)组或者把oracle用户从dba组中删除都可以屏蔽os认证。利用这两种方法屏蔽os功能似乎总有些让人不放心,或者说不能让人完全信服,因为 毕竟系统管理员还是可以创建ora_dba or dba组以及修改sqlnet.ora文件......
    2. 口令文件
    Oracle 的口令文件的作用是存放所有以sysdba或者sysoper权限连接数据库的用户的口令,如果想以sysdba权限远程连接数据库,必须使用口令文件, 否则不能连上,由于sys用户在连接数据库时必须以sysdba or sysoper方式,也就是说sys用户要想连接数据库必须使用口令文件,因此我认为在数据库中存放sys用户的口令其实没有任何意义!使用口令文件的好 处是即使数据库不处于open状态,依然可以通过口令文件验证来连接数据库。开始安装完oracle,没有给普通用户授予sysdba权限,口令文件中只 存放了sys的口令,如果之后把sysdba权限授予了普通用户,那么此时会把普通用户的口令从数据库中读到口令文件中保存下来,当然这时必须要求数据库 处于open状态。如:
    SQL> grant sysdba to test;
    授权成功。
    SQL> connect test/aaa@orcl as sysdba
    ERROR:
    ORA-01017: 用户名/口令无效; 登录被拒绝
    警告: 您不再连接到 ORACLE。
    SQL> connect test/test@orcl as sysdba
    已连接。
    SQL> alter database close;
    数据库已更改。
    SQL> grant sysdba , sysoper to test;
    grant sysdba , sysoper to test
    *
    第 1 行出现错误:
    ORA-01109: 数据库未打开

    到底有几个用户被授予了sysdba或者sysoper权限,可以通过查询如下v$pwfile_users获得,v$pwfile_users的信息就是源于口令文件的.

    SQL> select * from v$pwfile_users;
    USERNAME SYSDB SYSOP
    ------------------------------ ----- -----
    SYS TRUE TRUE
    TEST TRUE FALSE
    到 底可以有几个用户被授予sysdba或者sysoper权限,是由创建口令文件时指定的entries数决定的,准确的说还不完全是,最终还和os block的大小有关,如果entries指定了5,一个os block可以存放8个用户的口令,那么可以由8个用户被授予sysdba或者sysoper。

    还有一个问题修改了口令,口令长度增加了,按说占用的空间多了,事实是不论我们的口令多长,加密之后的长度几乎都是相同的,也就是说口令文件占用的大小和口令指定的长度几乎关系不大!

    C:>orapwd file=databasepwd.ora password=system entries=5
    OPW-00005: 存在相同名称的文件 - 请删除或重命名
    C:>orapwd file=databasepwd.ora password=system entries=5   force=y

    创建口令文件需要注意的是=前后没有空格!另外值得一提的是10g增加了一个新的参数force default值n,它的作用类似于创建表空间时的reuse功能,当同名文件存在时是否覆盖。

    是否使用口令文件,是通过oracle提供的一个参数remote_login_passwordfile来控制的,remote_login_passwordfile有none,shared,exclusive3个值,
    none表示不使用口令文件,停用口令文件验证,Oracle数据库不允许远程SYSDBA/SYSOPER身份登录
    exclusive表示实例独占使用口令文件,也就是各自实例使用单独的口令文件,
    shared表示多个实例共享一个口令文件,缺省情况下,win下口令文件的格式是pwdsid.ora,unix下的格式是orapwSID(大小写敏感), Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找,orapw的口令文件,如果口令文件命名为orapw,多个数据库就可以共享.

    SQL> alter system set remote_login_passwordfile=exclusive scope=spfile;  

    3. 修改用户密码

    //查看用户
    SQL> select username,password from dba_users;

    SQL> alter user system identified by manager;

    4. sys/system 密码丢失的处理方法:

    1).查询视图V$PWFILE_USERS,select * from V$PWFILE_USERS;
     记录下拥有 SYSOPER/SYSDBA 系统权限的用户 信息
    2).关闭数据库 shutdown immediate
    3).删除密码文件,文件路径一般为:ORACLE_HOME\DATABASE,文件名为  PWD<SID>.ORA
    4).创建密码文件
            ORAPWD FILE=< FILENAME > PASSWORD =< PASSWORD >
    5).向密码文件中增加用户
           CONNECT SYS/internal_user_passsword  AS SYSDBA;
           启动数据库实例并打开数据库; 创建相应用户帐号,对其授权
           授予 权限:GRANT SYSDBA TO user_name(如果先前数据库 只有sys具有sysdba权限,可不做这步)
    6).修改密码文件状态,默认密码文件的状态shared,要将初始化参数里的
            REMOTE_LOGIN_PASSWORDFILE 设置成EXCLUSIVE 

    SQL> alter system set remote_login_passwordfile=exclusive scope=spfile; 

  • 相关阅读:
    POJ1001 Exponentiation
    centos 在安装YouCompleteMe时提示 Fatal : pyconfig.h No such file or directory
    VMware12上安装CentOS无法上网问题
    mysql报错:/usr/sbin/mysqld:unknown variable 'default-character-set=utf8'
    centos7 python3.5安装mysqlclient1.3.9
    DirectDraw创建Windows窗口
    二进制移位溢出
    格式化时间 与 时间戳的转换
    ADO 读取 ACCESS
    Windows DOS 窗口设置字体颜色
  • 原文地址:https://www.cnblogs.com/datalife/p/1985313.html
Copyright © 2011-2022 走看看