編者按: 驗(yàn)證口令 獲得訪問授權(quán) 這是目前最常用的訪問控制手段 Oracle數(shù)據(jù)庫也采用這樣的安全策略 在這一策略中 口令的管理是關(guān)鍵 然而要做好這項(xiàng)工作 既保證數(shù)據(jù)的安全也保證用戶使用方便卻并非易事 在Oracle數(shù)據(jù)庫中 若要訪問數(shù)據(jù) 必須先具有該數(shù)據(jù)庫的一個(gè)賬戶 這個(gè)訪問可以是直接訪問(通過一個(gè)數(shù)據(jù)庫的用戶連接)或間接訪問(通過在數(shù)據(jù)庫鏈接中預(yù)設(shè)權(quán)限的訪問) 每個(gè)賬戶必須有一個(gè)與其相關(guān)的口令 一個(gè)數(shù)據(jù)庫賬戶可以連接到一個(gè)操作系統(tǒng)賬戶上 口令是在創(chuàng)建用戶賬戶時(shí)為每一用戶設(shè)置的 并可在該賬戶創(chuàng)建后對(duì)它們進(jìn)行變更 用戶變更賬戶口令的能力受他訪問工具權(quán)限的限制 數(shù)據(jù)庫以加密的形式將口令存儲(chǔ)在一個(gè)數(shù)據(jù)字典表中 如果賬戶直接與操作系統(tǒng)賬戶相關(guān) 就可以旁路口令檢查 在Oracle i中 口令可以無效 數(shù)據(jù)庫管理員可以建立能重復(fù)使用口令的條件(通過一個(gè)數(shù)據(jù)庫口令歷史設(shè)置值) 也可以使用環(huán)境文件為口令制定標(biāo)準(zhǔn) 如最小長(zhǎng)度 或如果連續(xù)多次與賬戶連接不成功 就可以自動(dòng)鎖定賬戶 環(huán)境文件 可以使用環(huán)境文件來限制用戶能使用的系統(tǒng)和數(shù)據(jù)庫資源 并管理口令限制 如果數(shù)據(jù)庫中沒有創(chuàng)建環(huán)境文件 將使用缺省環(huán)境文件(Default) 缺省環(huán)境文件對(duì)于所有用戶資源沒有限制 表 列出了可以通過環(huán)境文件限制的資源 (注: PASSWORD_REUSE_MAX和PASSWORD_REUSE_TIME互不相容 如果其中一個(gè)資源設(shè)置成一個(gè)值 另一個(gè)必須設(shè)置成Unlimited ) 如表 所示 許多資源都可以被限制 在用戶超過資源限制前不會(huì)發(fā)生任何動(dòng)作 一旦到達(dá)限值 SQL語句就被停止 環(huán)境文件是通過 create profile 命令創(chuàng)建的 可以用 alter profile 命令修改 下例所示的 alter profile 命令用于修改現(xiàn)有的環(huán)境文件 在這個(gè)例子中 數(shù)據(jù)庫的缺省環(huán)境文件被修改成允許最大空閑時(shí)間為 小時(shí) alter profile DEFAULT limit idle_time ; 在Oracle i中 可以使用環(huán)境文件來管理口令的終止 重新使用和復(fù)雜性 例如 可以限制一個(gè)口令的壽命 鎖定口令過舊的賬戶 也可以強(qiáng)制一個(gè)口令至少有一定程度的復(fù)雜性 并鎖定一個(gè)多次注冊(cè)失敗的賬戶 口令的鎖定與過期 FAILED_LOGIN_ATTEMPTS用于設(shè)定賬戶允許的嘗試次數(shù) 可以防止惡意人員無限制地嘗試賬戶口令來破解口令 例如 如果設(shè)置用戶環(huán)境文件的FAILED_LOGIN_ATTEMPTS資源為 該賬戶允許連續(xù)注冊(cè)失敗 次 第 次失敗就會(huì)引起賬戶被鎖定 在下面的例子中 創(chuàng)建一個(gè)供用戶TestUser使用的TEST_PROFILE環(huán)境文件 create profile TEST_PROFILE limit FAILED_LOGIN_ATTEMPTS ; create user TESTUSER identified by abcd profile TEST_PROFILE; grant CREATE SESSION to TESTUSER; 如果連續(xù) 次與TestUser賬戶的連接失敗 該賬戶將自動(dòng)被Oracle鎖定 此后當(dāng)輸入TestUser賬戶的正確口令時(shí) 會(huì)收到一條錯(cuò)誤信息 ERROR:ORA : the account is locked 要對(duì)賬戶解鎖 可在數(shù)據(jù)庫管理員賬戶中使用 alter user 命令的account unlock子句 如下所示 alter user TESTUSER account unlock; 賬戶解鎖后 TestUser賬戶再一次被允許連接 可以通過 alter user 命令的account lock子句來手動(dòng)鎖定一個(gè)賬戶 alter user TESTUSER account lock; 若一個(gè)賬戶由于多次連接失敗而被鎖定 當(dāng)超過其環(huán)境文件的PASSWORD_LOCK_TIME值時(shí)將自動(dòng)解鎖 例如 如果PASSWORD_LOCK_TIME設(shè)為 前面例子中的TestUser賬戶就被鎖定 天 過后賬戶即被自動(dòng)解鎖 可以通過環(huán)境文件中的PASSWORD_LIFE_TIME資源建立一個(gè)口令的最大期限 例如 可以強(qiáng)制TEST_PROFILE環(huán)境文件的用戶每 天改變一次口令 alter profile TEST_PROFILE limit PASSWORD_LIFE_TIME ; 在這個(gè)例子中 alter profile 命令用于修改TEST_PROFILE環(huán)境文件 PASSWORD_LIFE_TIME值設(shè)為 因此使用這個(gè)環(huán)境文件的每個(gè)賬戶在 天后口令就會(huì)過期 如果口令過期 就必須在下次注冊(cè)時(shí)修改它 除非環(huán)境文件對(duì)過期的口令有一特定的寬限期 寬限期參數(shù)叫做PASSWORD_GRACE_TIME 如果在寬限期內(nèi)沒有修改口令 賬戶就會(huì)過期 (注: 如果使用PASSWORD_LIFE_TIME參數(shù) 就必須為用戶提供一種便于其改變口令的方法 ) 過期 賬戶與 鎖定 賬戶不同 鎖定賬戶會(huì)隨著時(shí)間的推移自動(dòng)解鎖 而過期賬戶需要通過數(shù)據(jù)庫管理員人工干預(yù)才能重新激活 (注 如果使用口令過期特性 就要確保擁有應(yīng)用程序的賬戶具有不同的環(huán)境文件設(shè)置值 否則它們會(huì)被鎖定 使得應(yīng)用程序不能使用 ) 如前面例子所述 若要重新恢復(fù)一個(gè)過期賬戶 需使用 alter user 命令 在這個(gè)例子中 用戶TestUser首先由數(shù)據(jù)庫管理員手工使其口令過期 alter user TESTUSER password expire; 接著 TestUser試圖連接其賬戶 當(dāng)他輸入口令時(shí) 立即被提示輸入賬戶的新口令 也可以使用 create user 命令的 password expire 子句 強(qiáng)制用戶在第一次訪問時(shí)修改口令 不過 create user 命令不允許對(duì)用戶設(shè)置的新口令設(shè)置限期日期 要設(shè)置的話 必須使用前面例子中的PASSW??????餀???? ??ORD_LIFE_TIME環(huán)境文件參數(shù) 若要查看任一賬戶的口令限期 可查詢DBA_USERS數(shù)據(jù)字典視圖的Expire_Date列 若用戶自己想查看 可查詢USER_USERS數(shù)據(jù)字典視圖的Expiry_Date列(通過SQL*Plus或一個(gè)基于客戶機(jī)的查詢工具) 防止口令重新使用 若要防止一個(gè)口令被重新使用 可以使用兩個(gè)環(huán)境文件參數(shù)的其中一個(gè): PASSWORD_REUSE_MAX或PASSWORD_REUSE_TIME 這兩個(gè)參數(shù)互不相容 如果給其中的一個(gè)設(shè)置了值 另一個(gè)就必須設(shè)為Unlimited PASSWORD_REUSE_TIME參數(shù)規(guī)定一個(gè)口令可以重新使用前必須經(jīng)過的天數(shù) 例如 如果設(shè)置PASSWORD_REUSE_TIME為 天 則在 天內(nèi)不能使用同一個(gè)口令 PASSWORD_REUSE_MAX參數(shù)指定一個(gè)口令可以重新使用前必須對(duì)其改變的次數(shù) 如果試圖在這個(gè)限制到達(dá)前重新使用該口令 Oracle會(huì)拒絕口令的修改 例如 可以為本章前面創(chuàng)建的TEST_PROFILE環(huán)境文件設(shè)置一個(gè)PASSWORD_REUSE_MAX參數(shù) alter profile TEST_PROFILE limit PASSWORD_REUSE_MAX PASSWORD_REUSE_TIME UNLIMITED; 如果用戶TestUser現(xiàn)在試圖重新使用一個(gè)最近的口令 修改口令就會(huì)失敗 例如 如下修改口令 alter user TESTUSER identified by eye ; 然后再次改變它 alter user TESTUSER identified by eye ; 在下次修改口令時(shí) 試圖重新使用最近的口令 就會(huì)失敗 他不能重新使用任何他最近用過口令 必須提供一個(gè)新口令 口令歷史被存儲(chǔ)在SYS模式下一個(gè)叫USER_HISTORY$的表中 在這個(gè)表中 Oracle存儲(chǔ)了用戶資源識(shí)別符 加密的口令值和創(chuàng)建該口令的日期/時(shí)間標(biāo)記 當(dāng)PASSWORD_REUSE_TIME值已過期或口令修改次數(shù)超過PASSWORD_REUSE_MAX值時(shí) 這個(gè)老的口令記錄就從SYS USER_HISTORY$表中刪除 如果一個(gè)新的密碼與現(xiàn)有的密碼一樣 這個(gè)新口令就被拒絕 由于老口令存儲(chǔ)在SYS擁有的一個(gè)表中 所以數(shù)據(jù)存儲(chǔ)在System表空間中 因此 如果要為頻繁修改口令的大量用戶保留非常大的口令歷史 口令歷史表SYS HISTORY$所需的空間就會(huì)影響System表空間的空間需求 設(shè)置口令復(fù)雜度 可以強(qiáng)制用戶的口令符合復(fù)雜度標(biāo)準(zhǔn) 例如 可以要求口令的最小長(zhǎng)度 限制不能是一些簡(jiǎn)單的詞 至少包括一個(gè)數(shù)字或標(biāo)點(diǎn)符號(hào)等 create profile 和 alter profile 命令的PASSWORD_VERIFY_FUNCTION參數(shù)指定用于評(píng)估口令的函數(shù)名 如果用戶提出的口令不符合要求 就不會(huì)被接受 例如 可以拒絕 abcde 和 eye 作為口令 因?yàn)樗鼈兾窗魏螖?shù)字值 為簡(jiǎn)化實(shí)施口令復(fù)雜度的過程 Oracle提供了一個(gè)函數(shù)VERIFY_FUNCTION 在缺省情況下 不創(chuàng)建這個(gè)函數(shù) 只有在運(yùn)行utlpwdmg sql腳本文件(該文件位于Oracle軟件主目錄下的/rdbms/admin子目錄中)時(shí)才創(chuàng)建VERIFY_FUNCTION函數(shù)(注意這個(gè)函數(shù)應(yīng)當(dāng)在SYS模式下創(chuàng)建) 函數(shù)中的前三個(gè)條件子句檢查口令是否與用戶名相同 是否少于 個(gè)字符 是否是一組特定的詞之一 可以任意修改這些檢查或增加你的要求 例如 安全原則可能要求口令最少有六個(gè)字符 運(yùn)行前要簡(jiǎn)單地更新部分utlpwdmg sql文件 函數(shù)的下一個(gè)主要部分是對(duì)口令字符串內(nèi)容的三段檢查 要通過這些檢查 口令中至少要包含一個(gè)字符 一個(gè)數(shù)字和一個(gè)標(biāo)點(diǎn)符號(hào) 同前面的檢查一樣 它們是可以編輯的 例如 可以不要求用戶在其口令中使用標(biāo)點(diǎn)符號(hào) 只要簡(jiǎn)單地繞過那部分口令檢查就可以 函數(shù)的下一部分是將新口令與老口令逐字符進(jìn)行比較 如果它們之間的不同之處少于三處 新口令將不予接受 這個(gè)腳本文件中最后一條命令不屬于該函數(shù) 它是一條改變?nèi)笔…h(huán)境文件的 alter profile 命令 如果改變了缺省環(huán)境文件 那么數(shù)據(jù)庫中所有使用缺省環(huán)境文件的用戶都會(huì)受到影響 要注意 lishixinzhi/Article/program/Oracle/201311/17911
創(chuàng)新互聯(lián)公司是創(chuàng)新、創(chuàng)意、研發(fā)型一體的綜合型網(wǎng)站建設(shè)公司,自成立以來公司不斷探索創(chuàng)新,始終堅(jiān)持為客戶提供滿意周到的服務(wù),在本地打下了良好的口碑,在過去的10多年時(shí)間我們累計(jì)服務(wù)了上千家以及全國政企客戶,如成都餐廳設(shè)計(jì)等企業(yè)單位,完善的項(xiàng)目管理流程,嚴(yán)格把控項(xiàng)目進(jìn)度與質(zhì)量監(jiān)控加上過硬的技術(shù)實(shí)力獲得客戶的一致贊賞。
如果是初學(xué)者,就把所有用戶的密碼統(tǒng)一設(shè)置成為一個(gè)密碼,方便記憶和管理。包括sys、system、scott和自己新建的用戶.scott用戶默認(rèn)是被鎖住的,安裝完成之后,再用下面的命令解鎖。\x0d\x0a原因:默認(rèn)Oracle10g的scott不能登陸。\x0d\x0a解決:\x0d\x0a(1)conn sys/sys as sysdba;//以DBA的身份登錄\x0d\x0a(2)alter user scott account unlock;// 然后解鎖
應(yīng)該填寫登陸數(shù)據(jù)庫的密碼。
在ORALCE數(shù)據(jù)庫系統(tǒng)中,用戶如果要以特權(quán)用戶身份(SYS/SYSDBA/SYSOPER)登錄ORALCE數(shù)據(jù)庫可以有兩種身份驗(yàn)證的方法:即使用與操作系統(tǒng)集成的身份驗(yàn)證或使用ORALCE數(shù)據(jù)庫的密碼文件進(jìn)行身份驗(yàn)證。因此,管理好密碼文件,對(duì)于控制授權(quán)用戶從服務(wù)器本機(jī)或遠(yuǎn)端登錄Oracle數(shù)據(jù)庫系統(tǒng),執(zhí)行數(shù)據(jù)庫管理工作,具有重要的意義.
ORALCE口令文件用于存儲(chǔ)擁有部分特權(quán)用戶(sys等用戶)的口令(注意:普通賬號(hào)密碼是不會(huì)存儲(chǔ)在口令文件的)。允許用戶通過口令文件驗(yàn)證,在數(shù)據(jù)庫未啟動(dòng)之前登陸,從而啟動(dòng)數(shù)據(jù)庫。如果沒有口令文件,在數(shù)據(jù)庫未啟動(dòng)之前就只能通過操作系統(tǒng)認(rèn)證.口令文件存放在$ORACLE_HOME/dbs目錄下(linux,window放在database),默認(rèn)名稱是orapw$ORACLE_SID。即密碼文件位置:
Linux下的存放位置:$ORACLE_HOME/dbs/orapwsid.ora
Windows下的存放位置:$ORACLE_HOME/database/PW%ORACLE_SID%.ora
1、首先,需要啟動(dòng)安裝程序,彈出黑色窗口,靜候片刻。
2、然后安全配置更新:無需填寫電子郵箱,也無需更新,忽略警告。
3、然后安裝選項(xiàng)、系統(tǒng)類:直接點(diǎn)擊下一步即可。
4、然后修改安裝路徑,管理口令為了好記可填寫:orcl,忽略警告。
5、等待大約二分鐘,點(diǎn)擊完成。
6、口令管理:找到SCOTT,√去掉,口令為:tiger,忽略警告
7、然后等待安裝完成即可。
安裝時(shí)的口令管理不需要管理,只是需要輸入一個(gè)密碼(這里稱之為口令管理)
管理口令就是給登錄用戶設(shè)置登錄密碼用的,等安裝完畢后,通過口令才能連接oracle數(shù)據(jù)庫。
Oracle?Database,又名Oracle?RDBMS,或簡(jiǎn)稱Oracle。是甲骨文公司的一款關(guān)系數(shù)據(jù)庫管理系統(tǒng)。它是在數(shù)據(jù)庫領(lǐng)域一直處于領(lǐng)先地位的產(chǎn)品??梢哉fOracle數(shù)據(jù)庫系統(tǒng)是目前世界上流行的關(guān)系數(shù)據(jù)庫管理系統(tǒng),系統(tǒng)可移植性好、使用方便、功能強(qiáng),適用于各類大、中、小、微機(jī)環(huán)境。它是一種高效率、可靠性好的?適應(yīng)高吞吐量的數(shù)據(jù)庫解決方案。
normal 、sysdba、 sysoper 、sys,sysdba,dba概念—區(qū)別
sys和system用戶的區(qū)別
【system】用戶只能用normal身份登陸em。
【sys】用戶具有“SYSDBA”或者“SYSOPER”權(quán)限,登陸em也只能用這兩個(gè)身份,不能用normal。
“SYSOPER”權(quán)限,即數(shù)據(jù)庫操作員權(quán)限,權(quán)限包括:
打開數(shù)據(jù)庫服務(wù)器 關(guān)閉數(shù)據(jù)庫服務(wù)器
備份數(shù)據(jù)庫 恢復(fù)數(shù)據(jù)庫
日志歸檔 會(huì)話限制
“SYSDBA”權(quán)限,即數(shù)據(jù)庫管理員權(quán)限,權(quán)限包括:
打開數(shù)據(jù)庫服務(wù)器 關(guān)閉數(shù)據(jù)庫服務(wù)器
備份數(shù)據(jù)庫 恢復(fù)數(shù)據(jù)庫
日志歸檔 會(huì)話限制
管理功能 創(chuàng)建數(shù)據(jù)庫
normal 、sysdba、 sysoper有什么區(qū)別
normal 是普通用戶
另外兩個(gè),你考察他們所具有的權(quán)限就知道了
sysdba擁有最高的系統(tǒng)權(quán)限
sysoper主要用來啟動(dòng)、關(guān)閉數(shù)據(jù)庫,sysoper 登陸后用戶是 public
sysdba登陸后是 sys
SQL conn / as sysdba
已連接。
SQL grant sysoper to test;
授權(quán)成功。
SQL conn test/test as sysoper;
已連接。
SQL show user
USER 為"PUBLIC"
SQL conn test/test as sysdba
已連接。
SQL show user
USER 為"SYS"
SQL
dba和sysdba的區(qū)別
dba、sysdba這兩個(gè)系統(tǒng)角色有什么區(qū)別呢
在說明這一點(diǎn)之前我需要說一下oracle服務(wù)的創(chuàng)建過程
·創(chuàng)建實(shí)例
·啟動(dòng)實(shí)例
·創(chuàng)建數(shù)據(jù)庫(system表空間是必須的)
啟動(dòng)過程
·實(shí)例啟動(dòng)
·裝載數(shù)據(jù)庫
·打開數(shù)據(jù)庫
sysdba,是管理oracle實(shí)例的,它的存在不依賴于整個(gè)數(shù)據(jù)庫完全啟動(dòng),
只要實(shí)例啟動(dòng)了,他就已經(jīng)存在,以sysdba身份登陸,裝載數(shù)據(jù)庫、打開數(shù)據(jù)庫
只有數(shù)據(jù)庫打開了,或者說整個(gè)數(shù)據(jù)庫完全啟動(dòng)后,dba角色才有了存在的基礎(chǔ)!