profiles文件是口令和资源限制的配置集合,包括CPU的时间、I/O的使用、空闲时间、连接时间、并发会话数量、密码策略等对于资源的使用profile可以做到控制会话级别或语句调用级别。oracle自带的默认好多是不限制的,用户创建时都会被指定这个PROFILE。
oracle的profile可以在dba_profiles中查询。
select * from dba_profiles;
结果如下:
其中资源类(RESOURCE_TYPE=KERNEL)含义说明:
--1.Session_per_user: --指定限制用户的并发会话的数目。 --2.Cpu_per_session: --指定会话的CPU时间限制,单位为百分之一秒。 --3.Cpu_per_call: --指定一次调用(解析、执行和提取)的CPU时间限制,单位为百分之一秒。 --4.Connect_time: --指定会话的总的连接时间,以分钟为单位。 --5.Idle_time: --指定会话允许连续不活动的总的时间,以分钟为单位,超过该时间,会话将断开。 --6.Logical_reads_per_session: --指定一个会话允许读的数据块的数目,包括从内存和磁盘读的所有数据块。 --7.Logical_read_per_call: --指定一次执行SQL(解析、执行和提取)调用所允许读的数据块的最大数目。 --8.Private_sga: --指定一个会话可以在共享池(SGA)中所允许分配的最大空间,以字节为单位。 --9.Composite_limit: --指定一个会话的总的资源消耗,以service units单位表示。
其中密码类(RESOURCE_TYPE=PASSWORD)含义说明:
--1.Failed_login_attempts: --指定在帐户被锁定之前所允许错误密码尝试登陆的的最大次数。 -- --2.Password_life_time: --指定同一密码所允许使用的天数。 -- --3.Password_reuse_time --指可以重复使用多长时间之前的密码 -- --4.password_reuse_max: --指的是当前密码可以被重用之前,必须进行密码修改的次数。 -- --5.Password_lock_time: --指定登陆尝试失败次数到达后帐户的锁定时间,以天为单位。 -- --6.Password_grace_time: --指定宽限天数,数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改,则过期会失效。 -- --7.Password_verify_function: --该字段允许将复杂的PL/SQL密码验证脚本做为参数传递到create --profile语句。Oracle数据库提供了一个默认的脚本,但是自己可以创建自己的验证规则或使用第三方软件验证。 --对Function名称,指定的是密码验证规则的名称,指定为Null则意味着不使用密码验证功能。
创建自定义profile
CREATE PROFILE my_profile LIMIT SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION UNLIMITED CPU_PER_CALL 6000 CONNECT_TIME 60 LOGICAL_READS_PER_SESSION DEFAULT LOGICAL_READS_PER_CALL 6000 COMPOSITE_LIMIT 6000000 PRIVATE_SGA 66K FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 10;
可以在dba_profiles中查询:
select * from dba_profiles where profile = 'MY_PROFILE';
结果如下:
可以让用户使用自定义的profile
alter user apps profile my_profile;
可以通过如下查询用户的profile
SELECT du.username, dp.* FROM dba_users du, dba_profiles dp WHERE du.username = 'APPS' AND dp.profile = du.profile;
结果如下
修改profile
alter profile default limit PASSWORD_LIFE_TIME UNLIMITED;
结果:
删除并收回已经授予的profile
drop profile my_profile CASCADE;
当profile删除后,原来使用该profile的用户会使用默认的profile,如下图
设置PROFILE参数的生效时间
1、用户所有拥有的PROFILE中有关密码的限制立即生效,不受限制。从这个可看出Oracle对用户密码的重视程度。
2、用户所有拥有的PROFILE中有关资源的限制与resource_limit参数的设置有关,当为TRUE时生效,当为FALSE时(默认值)设置任何值都无效。