Scribd Logo
Upload

Welcome to Scribd!

  • sdzy - aq - Oracle安全实践 - V 2 修改缺省的用户口令,使用概要文件,加强口令管理

    Uploaded by

    北京时代朝阳数据库技术中心
    9 views16 pages

    Original Title

    sdzy_aq_Oracle安全实践_V 2 修改缺省的用户口令,使用概要文件,加强口令管理

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    9 views16 pages

    sdzy - aq - Oracle安全实践 - V 2 修改缺省的用户口令,使用概要文件,加强口令管理

    Uploaded by

    北京时代朝阳数据库技术中心

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 16

    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.

    com

    时代朝阳会员专区:Oracle 安全
    Oracle 数据库基本安全实践
    修改缺省的用户口令,使用概要文件,加
    强口令管理

    工作目标
    1 目前为止,选择安全的口令字符串、遵守良好的口令创建规则,是防止通过用户口令威胁
    数据库安全的最重要的方法。应当保证口令字符串的复杂度,包括:
    z 口令字符串至少包含 10 个字符;
    z 使用字母和数字的组合;
    z 不包含某个单词。
    此外,Oracle 数据库的口令文件不能以数字开头,最长不超过 30 个字符。

    目标实现概要
    1 修改管理员用户(SYS、SYSTEM、SYSMAN、DBSNMP 等)的缺省口令:
    安装数据库时,Oracle 允许为管理员用户设置相同或不同的口令字符串。无论是生产还是
    测试环境,都应该为每个管理员用户设置强壮的、各不相同的口令。

    举例:按照口令创建规则,修改管理员用户(SYS、SYSTEM、SYSMAN、DBSNMP)的
    缺省口令。
    2 修改用户的缺省口令:
    数据库创建后,除了 SYS、SYSTEM、SYSMAN、SYSTEM 用户,其他用户的账户都被自
    动锁定,并且口令过期。这些用户中,SCOTT 的缺省口令是“tiger”,而其他用户的缺省
    口令均和用户名相同(例如用户 MDSYS 的缺省口令是“mdsys”)。这些缺省的口令很容
    易成为攻击数据库的切入点。
    因此,如果要使用某个账户,应该为此账户重新设置一个强壮的口令字符串,来提高安全
    性。(注意,对于不需要使用的账户,保证其处于被锁定且口令过期的状态。)

    举例:假设需要使用 SCOTT 账户,修改缺省口令,然后激活这个账户。

    时代朝阳会员专区 第 1 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    3 使用概要文件,加强口令管理:
    通过使用概要文件来执行对登录失败、口令过期、口令字符串复杂度和口令重用原则的管
    理。每一个账户都应该遵守这些基本的口令管理原则,并周期性的修改口令。

    举例:创建一个规定了登录失败次数、口令过期时间、复杂度和重用原则的概要文件,把
    这个口令文件指派给 SCOTT 用户。
    4 版本 1.0.0

    软硬件系统配置

    配置说明:

    1 操作系统:Windows Server 2003 Enterprise Edition SP1


    2 数据库版本:Oracle10g 10.2.0.1.0

    详细操作过程描述

    修改管理员用户的缺省口令

    1 修改管理员用户 SYS,SYSTEM,SYSMAN,DBSNMP 的口令:

    时代朝阳会员专区 第 2 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    2 进入 D:\oracle\product\10.2.0\db_1\winserv2_sdzy\sysman\emd 目录,其中 winserv2 是主机名,


    sdzy 是 ORACLE_SID:

    3 将当前的 targets.xml 文件保存为 targets.xml.old 文件:

    4 打开 targets.xml 文件,其中有一行内容为:

    <Property NAME="password" VALUE="fc1def8d43aa0c35" ENCRYPTED="TRUE"/>

    时代朝阳会员专区 第 3 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    5 将它修改为如下内容,保存后退出:

    <Property NAME="password" VALUE="ora11cle23" ENCRYPTED="FALSE"/>

    6 重启 agent:

    时代朝阳会员专区 第 4 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    时代朝阳会员专区 第 5 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    7 重启后 targets.xml 文件中的口令已经加密:

    时代朝阳会员专区 第 6 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    修改用户的缺省口令
    1 数据库创建后,SCOTT 用户的账户自动被锁定,口令过期。如果需要使用 scott 账户,则
    应该遵守口令字符串的创建规则,修改 scott 用户的缺省口令:

    2 然后再激活这个账户:

    使用概要文件,加强口令管理

    1 启用概要文件:

    2 创建概要文件,failed_login_attempts 参数是用户用错误口令登录的尝试次数,超过这个次
    数,账户将被锁定,在这里设置尝试次数为 3 次;password_life_time 参数指一个口令可以
    使用的天数,本例中设置为 7 天;password_grace_time 参数要配合 password_life_time 参数
    使用,当超过使用天数后,用户第一次登录时,系统将提醒你在这个参数设置的天数内,
    更 换 口 令 , 如 果 超 过 这 些 天 数 没 有 更 换 , 则 口 令 过 期 ; password_reuse_time 和
    password_reuse_max 参数,需要配合使用,这里分别设置为 7 和 2 表示,用户可以在 7 天
    后,中间更换过两次以上的口令后,再次使用当前口令做为账户口令:

    时代朝阳会员专区 第 7 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    3 为 SCOTT 用户指派概要文件:

    4 验证概要文件的约束,首先,验证登录失败次数的约束,即验证 failed_login_attempts 参数
    的约束:

    5 将被锁定的 scott 用户解锁:

    时代朝阳会员专区 第 8 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    6 验证用户口令过期时间的约束,即验证 password_life_time 和 password_grace_time 这两个参


    数的约束,首先在 7 天后,用原口令登录 scott 账户,系统提示口令将在三天内过期

    7 天后:

    7 在三天后,再用原口令登录 scott 账户,系统提示口令过期,并要求更改新口令,将新口令


    暂时改为 tiger

    三天后:

    8 验证重用原则的约束,即验证 password_reuse_time 和 password_reuse_max 参数的约束,首


    先,以 sysdba 身份登录,尝试更改 scott 账户的口令为当前使用的口令 tiger:

    时代朝阳会员专区 第 9 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    9 以 sysdba 身份,先为 scott 账户更改两个不同的用户口令 tiger1 和 tiger2:

    10 七天后,再次将口令更改为用过的口令 tiger:

    11 强制用户口令的复杂度,首先,进入 D:\oracle\product\10.2.0\db_1\RDBMS\ADMIN 目录,


    找到 utlpwdmg.sql 文件:

    时代朝阳会员专区 第 10 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    12 打开 utlpwdmg.sql 文件:

    时代朝阳会员专区 第 11 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    13 要求用户口令不得少于 10 个字符,修改内容如下所示,保存修改:

    14 以系统管理员身份连接到数据库,运行脚本 utlpwdmg.sql,该脚本创建口令效验函数,同时
    修改缺省概要的定义。

    15 通过如下命令,可查询创建的口令效验函数:

    时代朝阳会员专区 第 12 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    16 通过如下命令,可查询修改的概要文件的设置:

    时代朝阳会员专区 第 13 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    17 测试修改 SCOTT 用户的口令:

    口令长度不符合要求,修改失败。

    18 满足要求的口令,才能成功创建或修改用户:

    时代朝阳会员专区 第 14 页
    www.zhaoyang-db.com/huiyuan
    北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com

    体会与总结
    1 数据库创建后,按照口令创建规则为管理员用户 SYS、SYSTEM、SYSMAN、DBSNMP
    创建新的口令。
    2 缺省状态下,其他数据库用户的账户处于被锁定的状态,并且口令过期。只在需要使用这
    个用户时,再激活账户,并为账户重新设置复杂度高的口令字符串。

    时代朝阳会员专区 第 15 页
    www.zhaoyang-db.com/huiyuan

    You might also like