作者: 刘志斌 理由:入网在线
前入口令强度
1.按捺运用缺省口令,按捺与用户名同名的口令,按捺字典词汇的口令
Oracle 11g中提供一个视图DBA_USERS_WITH_DEFPWD,可以利便地查出体系中运用缺省口令的扫数用户,缺乏的是另有不少遗漏。读者可以在互联网找到缺省口令的列表,固然是曲短长官方的,但是比DBA_USERS_WITH_DEFPWD运用的官方的列表更全。破解工具附带的词汇表有的网罗了大型英文词典中全部词汇,并支持词汇与“123”之类的常用后缀举行组合。须要垂青的是,有的词汇表中已经出现了“zhongguo”如许的字符串,以是汉语拼音组成的口令也是不稳固的。搜检体系中可否存在弱口令的最常用措施即是运用前述口令破解工具举行侵略。
2.规则口令最小字符集和口令最短长度
口令字符集最小应网罗字母、数字和非凡标记,口令长度最短应不少于8位,拼集稳固性要求高的体系,最短长度应为12位以上。异样,问题的关键在于DBA指定初始口令以及用户修正口令时包管不违背上述这些规则。每一用户都对应一个Profile,如在Profile中指定口令验证函数,则每当创立或修正口令时,会自动搜检可否餍足验证递次递次中所设定的前提,如果不餍足,则口令修正掉败。对口令明文举行搜检,显然要比对加密口令破解遵命高。其它,口令创立之时举行搜检可以及时封杀弱口令,不给黑客留下破解的窗口。
指定口令验证函数的语句为:
ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION 口令验证函数名;
上例中,为“DEFAULT” Profile指定了验证函数。对用户举行分类后,该当为每一类用户划分创立自己的Profile,而不是全部运用DEFAULT。关开口令验证函数的语句为:
ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION NULL;
在$ORACLE_HOME/rdbms/admin/下,脚本文件UTLPWDMG.SQL提供了示例的口令验证函数,实行这一脚本,将创立一名为VERIFY_FUNCTION的函数( Oracle 11g中,增加新函数verify_function_11G )。这一函数可以对口令长度可否同时出现了字母数字标记举行搜检,搜检可否与用户名同名,也搜检口令可否是几个最常用的词汇,如welcome、database1、account1等。末了,口令修正时搜检新旧口令可否过于类似。读者理论运用时应该凭证体系须要对这一函数举行须要的修正和扩展。
3.运用易影象的随机口令限制口令长度后,如果口令没有规律很难影象,则用户会回收他们自己的体式花式记住口令,大大增加了蒙受社会工程侵略的或者性。DBA须要扶助用户计划一个利便影象而又不易破解的口令。一个庞大易行的措施是找用户分外很是熟习的一个句子,如One world One dream,然后将每一个空格改换为数字或标记:One3world2One1dream#。
定期更调口令
498)this.style.width=498;">
抵御口令破解要从多方面下手
498)this.style.width=498;">
数据库中存在多种权限用户,各类受权用户组成一棵树
应对口令走漏或被破解的措施是强迫定期更调口令,设定口令反复运用限制,规则封锁口令的错误次数上限及封锁光阴。即便是加密口令落入黑客手中,在被破解之前或入侵之前,修正了口令,则口令破解变得毫有意义。为了利便影象,平凡用户有重新运用之前逾期口令的偏向,如果对重用不加节制,则定期更调口令将掉意义。上述对口令的管理依然是经由Profile完成:
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 30
PASSWORD_GRACE_TIME 7
PASSWORD_REUSE_TIME 365
PASSWORD_REUSE_MAX 0
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_VERIFY_FUNCTION my_verify_function;
下面语句制定的口令管理政策为:口令的有用期为30天,随后有7天的脱期日,脱期日后口令“逾期”,必需改观口令后才干登录。只要经由365天后才干重新运用早年的口令。在连气儿10次输出口令错误后,账号被封锁,设定不自动解锁,必需由DBA手动破除封锁。口令验证函数为my_verify_function。
Oracle 11g早年版本,缺省设置中没有设定口令的有用期,而在Oracle 11g中缺省设置有用期为180天。递次递次中直接写出口令的运用在进级到11g时一定要垂青有用期问题,避免半年后运用突然无法自动运转。其它,口令的有用期对SYS用户不起感染感动,DBA一定要自动定期更调口令。
其它一个措施是对登录数据库效劳器的主机举行限制,如指定网段或指定IP地址。进一步限制客户端应允实行的递次递次,如对非本地登录按捺运用SQLPLUS,只应允实行某特定运用。
仔细施行本文中给出的措施后,可以很有用地避免口令被破解。然则我们的目标是前进数据库体系的稳固性,而不仅仅是包管口令不被破解。数据库体系稳固的任何一个关键出现问题,都会招致功亏一篑。黑客的目标是入侵体系盗窃数据,是不会按常理出牌的,会尝试各类本领体式花式,如社会工程、稳固裂缝、物理入侵等等,而不会执着地在口令破解上与我们对照。这一点须要我们经常提示自己,从而恰当包管数据库体系稳固。
版权声明:
原创作品,应允转载,转载时请务必以超链接体式花式标明文章 原始理由 、作者信息和本声明。否则将清查轨则责任。