当访问oracle数据库时,必须提供用户名和口令,然后才能连接数据库。为防止其他人员或黑客窃取用户口令,dba必须充分考虑用户口令的安全性,以防止黑客登录到数据库运行非法操作。对于大型数据库管理系统来说,数据库用户众多,并且不用用户担负不同的管理任务,为了有效利用服务器资源,还应该限制不用用户的资源占用。
1.使用PROFILE管理口令
当客户登录到oracle数据库时,需要提供用户名和口令。默认情况下用户名和口令是以明文方式通过网络传输。为了避免黑客通过网络窃取口令,应该在客户端将环境变量ora_encrypt_login设置为true。这样,oracle会自动为口令加密。
1.1账户锁定
账户锁定用于控制用户连续登录失败的最大次数,如果登录失败次数达到限制,那么oracle会自动冻结用户账户。
- failed_login_attempts:用于指定连续登录的最大失败次数。
- password_lock_time:用于指定账户被锁定的天数。
例子:将账户usertemp01的连续登录失败次数控制在三次以内,账户锁定时间控制在10天之内:
create profile lock_account limit failed_login_attempts 3 password_lock_time 10; alter user usertemp01 profile lock_account;
注意:如果没有指定pass_word_time 该选项,oracle会自动使用默认值(unlimited)在这种情况下需要dba手工解锁用户。
conn sys/sys as sysdba alter user usertemp01 account unlock;
1.2口令有效期和宽限期
口令有效期是指用户账户口令的有效期使用时间,口令宽限期是指在用户账户口令到期之后的宽限使用时间。默认情况下,当建立用户并为其提供口令之后,其口令会一直生效。为了防止其他人和黑客破解用户账户口令,出于口令安全的考虑,dba用户应该强制普通用户定期改变口令。为了强制用户定期改变口令,oracle提供了一下两个选项:
password_life_time:指定用户口令有效期(单位天)。
password_grace_time:用于指定口令宽限期(单位天)。
注意:为了强制用户定期改变口令,二者应该同时设置。
例子:口令有限期10天,口令宽限期2天
create profile password_life_time limit password_life_time 10 password_grace_time 2; alter user usertemp01 profile password_life_time;
第十天登录时,会显示ora_28002:the password will expire within 2 days。如果第十天没有改变口令,那么在11,12天也会显示类似的警告信息。如果在12天没有改,在13天登录时,oracle会强制改变口令,否则不允许登录。
1.3口令历史
口令历史用于控制口令的可重用次数或者可重用时间。当使用了口令历史选项之后,oracle会将口令修改信息存放在数据字典中。这样当修改口令时,oracle会对新旧口令进行比较,以确保用户不会重用过去已经用过的口令。为了强制用户使用不同的口令,应该使用口令历史选项。口令历史有这两个选项:
password_reuse_time:用于指定口令可重用的时间。
password_reuse_max:用于指定重用口令之前口令需改变的次数。
注意:当使用口令历史选项时,只能使用其中一个选项。当使用一个选项时,必须将另一个选项设置为unlimited 。
例子:强制用户在口令终止10之内不能重用以前的口令:
create profile password_history limit password_life_time 10 password_grace_time 2 password_reuse_time 10 password_reuse_max unlimited; alter user usertemp01 profile password_history;
在第十三天登录时,oracle会强制用户改变口令。但如果仍然采用过去的口令,则口令修改不能生效。
1.4口令复杂度校验
口令校验是指使用pl/sql函数确保用户口令的有效性,以强制用户使用复杂口令。通过使用口令校验函数,dba可以强制用户使用复杂口令。当使用口令校验函数时,既可以使用系统口令校验函数也可以使用自定义口令校验函数。在11g之前。系统口令校验函数名称为verify_function,在11g中系统口令校验函数名称为verify_function_11g,并且该函数定义了一下规则:
- 口令不能少于8个字符
- 口令不能和用户名相同
- 口令不能与数据库名称相同
- 口令至少包含一个字符和一个数字
- 口令至少有3个字符与以前的口令不用
- 口令不能使用字符串welcome1,database1,account1,user1234,password1,oracle123,computer1,abcdefg1,change_on_install,oracle.
1.4.1使用系统口令校验函数verify_function_11g
注意必须以sys用户登录建立口令校验函数。脚本utlkpwdmg.sql 用于建立系统口令校验函数 verify_function_11g当运行该脚本时,不仅会建立口令校验函数verify_function_11g,而且会修改default的口令管理选项。
conn sys/sys as sysdba @?\rdbms\admin\utlpwdmg.sql
1.4.2禁用口令校验函数
为了禁用口令检验函数,可以将password_verify_function 选项设置为null
conn sys/sys as sysdba alter profile password_history limit password_verify_function null; alter user usertemp01 identified by usertemp01;