作者: 刘志斌 理由:入彀在线
提高口令强度
1.抑制运用缺省口令,抑制与用户名同名的口令,抑制字典词汇的口令
Oracle 11g中提供一个视图DBA_USERS_WITH_DEFPWD,可以等闲地查出体系中运用缺省口令的一切用户,缺乏的是另有不少脱漏。读者可以在互联网找到缺省口令的列表,固然是非官方的,然则比DBA_USERS_WITH_DEFPWD运用的官方的列表更全。破解对象附带的词汇表有的包括了年夜型英文辞书中全部词汇,并支撑词汇与“123”之类的常用后缀停止组合。必要具体的是,有的词汇表中曾经呈现了“zhongguo”如许的字符串,所以汉语拼音组成的口令也是不平安的。搜检体系中能否存在弱口令的最常用体式格局就是运用前述口令破解对象停止进攻。
2.规定口令最小字符集和口令最利害度
口令字符集最小应包括字母、数字和特别标志,口令长度最短应不少于8位,关于平安性要求高的体系,最利害度应为12位以上。异常,结果的要害在于DBA指定初始口令以及用户修改口令时包管不违犯上述这些规定。每一用户都对应一个Profile,如在Profile中指定口令验证函数,则每当树立或修改口令时,会主动搜检能否满足验证法式中所设定的前提,如果不满足,则口令修改失败。对口令明文停止搜检,显然要比对加密口令破解听命高。别的,口令树立之时停止搜检可以实时封杀弱口令,不给黑客留下破解的窗口。
指定口令验证函数的语句为:
ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION 口令验证函数名;
上例中,为“DEFAULT” Profile指定了验证函数。对用户停止分类后,应当为每一类用户离别树立本人的Profile,而不是全部运用DEFAULT。关开口令验证函数的语句为:
ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION NULL;
在$ORACLE_HOME/rdbms/admin/下,剧本文件UTLPWDMG.SQL提供了示例的口令验证函数,实行这一剧本,将树立一名为VERIFY_FUNCTION的函数( Oracle 11g中,添加新函数verify_function_11G )。这一函数可以对口令长度能否同时呈现了字母数字标志停止搜检,搜检能否与用户名同名,也搜检口令能否是几个最常用的词汇,如welcome、database1、account1等。最后,口令修改时搜检新旧口令能否过于类似。读者理论运用时应该按照体系必要对这一函数停止必要的修改和扩年夜。
3.运用易影象的随机口令限制口令长度后,如果口令没有纪律很难影象,则用户会采取他们本人的编制记取口令,年夜年夜添加了承受社会工程进攻的可以性。DBA必要帮忙用户设计一个等闲影象而又不易破解的口令。一个庞年夜易行的体式格局是找用户特别很是熟习的一个句子,如One world One dream,然后将每一个空格互换为数字或标志:One3world2One1dream#。
活期互换口令
498)this.style.width=498;">
抵当口令破解要从多方面着手
498)this.style.width=498;">
数据库中存在多种权限用户,各种受权用户组成一棵树
应对口令泄漏或被破解的设施是强迫活期互换口令,设定口令重复运用限制,规定封闭口令的错误次数上限及封闭时间。即就是加密口令落入黑客手中,在被破解之前或入侵之前,修改了口令,则口令破解变得毫有意义。为了等闲影象,通俗用户有从新运用之前逾期口令的倾向,如果对重用不加控制,则活期互换口令将失去意义。上述对口令的操持依旧是议决Profile完成:
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 30
PASSWORD_GRACE_TIME 7
PASSWORD_REUSE_TIME 365
PASSWORD_REUSE_MAX 0
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_VERIFY_FUNCTION my_verify_function;
上面语句制订的口令操持政策为:口令的有效期为30天,随后有7天的脱期期,脱期期后口令“逾期”,必需窜改口令后才气登录。只需经过365天后才气从新运用从前的口令。在陆续10次输出口令错误后,账号被封闭,设定不主动解锁,必需由DBA手动破除封闭。口令验证函数为my_verify_function。
Oracle 11g从前版本,缺省设置中没有设定口令的有效期,而在Oracle 11g中缺省设置有效期为180天。法式中间接写出口令的利用在晋级到11g时一定要具体有效期结果,预防半年后利用突然无法主动运转。另外,口令的有效期对SYS用户不起作用,DBA一定要主动活期互换口令。
另外一个设施是对登录数据库效力器的主机停止限制,如指定网段或指定IP地址。进一步限制客户端许可实行的法式,如对非当地登录抑制运用SQLPLUS,只许可实行某特定利用。
仔细实施本文中给出的设施后,可以很有效地预防口令被破解。但是我们的目的是提高数据库体系的平安性,而不仅仅是包管口令不被破解。数据库体系平安的任何一个关头呈现结果,都会招致前功尽弃。黑客的目的是入侵体系偷盗数据,是不会按常理出牌的,会考验考试各种伎俩编制,如社会工程、平安缝隙、物理入侵等等,而不会执着地在口令破解上与我们比力。这一点必要我们屡屡提醒本人,从而实在包管数据库体系平安。
版权声明:
原创作品,许可转载,转载时请务必以超链接形式标明文章 原始理由 、作者信息和本声明。不然将清查司法责任。